Проблем с антивирусна, SAS и MBAM

[ares85ares]

Имам проблем. Не мога да сканирам с антивирусната, SAS или MBAM. Koгато кликна на иконите започва да сканира и се затваря, след което ми изписва, че програмата е недостьпна.

ОС е Windows 7

[Night_Raven]

Приложенията се затварят веднага след стартирането им или чак когато започне самото сканиране?

[ares85ares]

Kогато започне самото сканиране

[Night_Raven]

Изтегли GMER. Разархивирай, ако е в архив. Стартирай я. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после постави съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.

 

*****

 

Изтегли OTL и го запази на работния плот:

- стартирай инструмента;

- постави отметка в горната част на Scan All Users;

- в поле Standard Registry избери All;

- от падащо меню File Age избери 90 Days;

- постави отметки още на: Skip Microsoft Files, LOP Check и Purity Check;

- в поле Custom Scans/Fixes (в долната част на програмата) постави следния текст (маркирай го, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

netsvcs
netsvcs
msconfig
safebootminimal
safebootnetwork
%SYSTEMDRIVE%\*.*
%USERPROFILE%\*.*
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Roaming\*.*
%ProgramData%\*.*
%CommonProgramFiles%\*.*
%PROGRAMFILES%\*.*
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /90
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\Spool\prtprocs\w32x86\*.dll
/md5start
hlp.dat
winlogon.exe
wininit.exe
userinit.exe
explorer.exe
volsnap.sys
/md5stop

- кликни бутон Run Scan;

Изчакай сканирането да приключи. След края на сканирането автоматично ще се отворят двата новосъздадени на работния плот файла: OTL.txt и Extras.txt.

 

Моля, прикачи тези два файла (поотделно или в архив) към следващия си коментар.

[ares85ares]

GMER 1.0.15.15641 - http://www.gmer.net

Rootkit quick scan 2012-01-06 21:16:18

Windows 6.1.7600 Harddisk0\DR0 -> \Device\0000005d SAMSUNG_ rev.GF10

Running: gmer.exe; Driver: C:\Users\User\AppData\Local\Temp\kxldapob.sys

 

 

---- Threads - GMER 1.0.15 ----

 

Thread System [4:228] 885F0E40

Thread System [4:232] 885F0E40

Thread System [4:236] 84FCEE95

Thread System [4:240] 84FCEE95

Thread System [4:388] 84EC7161

Thread System [4:408] 85B46C30

 

---- EOF - GMER 1.0.15 ----

[ares85ares]

OTL.TxtExtras.Txt

[ares85ares]

Появи се син екран и трябваше да рестартирам. Надявам се да не е проблем

[Night_Raven]

Стартирай отново OTL. В празното поле "Custom Scans/Fixes" (в долната част на програмата) постави следния текст (маркирай го, натисни Ctrl+C и после в полето на OTL натисни Ctrl+V):

 

:OTL
@Alternate Data Stream - 816 bytes -> C:\Windows\3753243489:2651605536.exe
:Files
C:\WINDOWS\*.tmp
C:\WINDOWS\system32\*.tmp
:Commands
[emptytemp]
[reboot]

Копирай текста точно както е в полето. Внимавай да не изтървеш началното двуеточие и всяка команда да е на отделен ред, както е в полето.

 

Кликни бутон Run Fix. Потвърди с OK на съобщението, че е нужен рестарт на системата.

 

След рестарта ще се появи текстов дневник/лог. Същият файл се намира в C:\_OTL\MovedFiles. Моля, прикачи го към следващия си коментар.

 

*****

 

Опитай отново да сканираш с Malwarebytes Anti-Malware.

[ares85ares]

Не се получава - замръзва на черен екран след Run Fix

[Night_Raven]

Ако имаш антивирусна програма инсталирана, я спри, както и всякакви други излишни програми. Изтегли ComboFix (ако случайно вече имаш някаква версия, я замени) и го запази на работния плот.

Стартирай го, кликни I Agree, изчакай да се разархивира и сканира докрай. Не кликай по прозореца на инструмента. Ако бъдеш попитан(а) дали да бъде инсталирана Recovery Console, кликни Yes и потвърди след това с OK и отново Yes (два пъти). Сканирането ще продължи. Ако има нужда от рестарт, компютърът ще се рестартира автоматично. След рестарта трябва да продължи сканирането. Отново не закачай прозореца, докато той не се самозатвори. След това постави съдържанието на текстовия файл C:\ComboFix.txt тук или го прикачи към коментара си.

[ares85ares]

ComboFix.txt

[Night_Raven]

Постави следния текст в нов текстов документ и го запази на работния плот под името CFScript:

Folder::
c:\windows\$NtUninstallKB11219$
c:\users\User\AppData\Local\61f3b5df

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"PromptOnSecureDesktop"= dword:00000001

Провлачи текстовия файл върху ComboFix, както е показано тук:

http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif

 

Изчакай ComboFix да си свърши работата, което може да включва и рестартиране на компютъра.

 

След това дай новия лог.

 

Внимание: това са инструкции за конкретния потребител. Ако сте друг потребител със същия или подобен проблем, НЕ прилагайте текущите инструкции в действие.

[ares85ares]

Извинете за закъснението, но сега дойдох при братовчедка ми.

Изпълних инструкциите и успях да сканирам с MBAM.

Това е новия лог:combofix.txt

[ares85ares]

Мисля, че всичко е наред. Сканирах и със SAS.

Благодаря за помощта

[Night_Raven]

Дори и да е така, ще е добре да се направят допълнителни проверки.

 

Постави следния текст в нов текстов документ и го запази на работния плот под името CFScript:

Folder::
c:\windows\$NtUninstallKB11219$

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"DeleteEngineAfterUpdate"=-

DDS::
uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2233703

Firefox::
FF - ProfilePath - c:\users\User\AppData\Roaming\Mozilla\Firefox\Profiles\h4bpwcn5.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2776682&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2776682&SearchSource=13

Провлачи текстовия файл върху ComboFix, както е показано тук:

http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif

 

Изчакай ComboFix да си свърши работата, което може да включва и рестартиране на компютъра.

 

След това дай новия лог.

 

Внимание: това са инструкции за конкретния потребител. Ако сте друг потребител със същия или подобен проблем, НЕ прилагайте текущите инструкции в действие.