[Problem]Norton 360 i wyskakujące okienki

[Cripzore]

Witam, moja znajoma ma problem z antywirusem ponieważ wyskakuje Jej taki oto komunikat i nie da się go zamknąć:

 

 

 

i nie wiem co zrobić by to zamknąć - komputer był skanowany antywirusem Online - Bitdefender oraz zainstalowanym Nortonem 360 wykrył trojana i został On usunięty

Jakieś pomysły i sugestie by zamknąć to okienko?

[Fr3shMak3r]

To pewnie ten wirus z Facebooka niedawno testowałem.

Ale to pojawia się się cały czas ?

Przecież kliknąć OK się nie da?

Do tego zrób loga OTL .

[Cripzore]

Sorrki że tak późno odp. ale co do tematu...

Okno tak, cały czas się pojawia a klikając "Ok" okno wyświetla się ponownie - co prawda inny adres e-mail itd. ale w non-stop się wyświetla

I tak to jest ten wirus z Fb - bo przyjaciółka przez przypadek go pobrała i no...stało się

Co do logów - to zrobię za jakiś czas

[Fr3shMak3r]

Ten log się robi 10 -20 min

Więc spokojnie rób

[Cripzore]

Okey, logi dodane jak co

Extras.Txt

OTL.Txt

[Fr3shMak3r]

Jedno proste pytanie .

Jak robiłeś loga to dałeś wszystko na użyj filtrowania ?

Bo ten log wydaje się być trochę długi .

[Cripzore]

@Down

Już, tutaj wyniki

Wynik.txt

[Fr3shMak3r]

Tu masz jak ustawić poprawnie OTL .

http://www.mpcforum....tlogi-co-i-jak/

I zrób jeszcze raz .

 

Otwórz OTL i w oknie Własne Opcje Skanowania /Wklej :

 

 

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva400.sys -- (XDva400)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 File not found
O4 - HKU\S-1-5-21-220523388-1220945662-1417001333-1004..\Run: [MSConfig] C:\Documents and Settings\Home\xfhz.exe (TODO: <Название компании>)
O4 - HKLM..\Run: []  File not found

O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll File not found
O2 - BHO: (Norton Identity Protection) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton 360\Engine\6.4.0.9\coieplg.dll (Symantec Corporation)
O2 - BHO: (YouTube To ALLPlayer) - {61DB16C5-B733-43F4-872E-B20DC9E72740} - C:\Program Files\ALLPlayer\YouTubeToALLPlayer.dll (ALLPlayer.org)
O2 - BHO: (Norton Vulnerability Protection) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton 360\Engine\6.4.0.9\ips\ipsbho.dll (Symantec Corporation)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (DataMngr) - {B939CF93-F2CB-443d-956C-DC523D85C9DB} - C:\Program Files\BearShare Applications\MediaBar\Datamngr\BrowserConnection.dll (MusicLab, LLC)
O2 - BHO: (Wincore Mediabar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files\BearShare Applications\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll ()
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O2 - BHO: (IplexToALLPlayer) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - C:\Program Files\ALLPlayer\Iplex\IplexToALLPlayer.dll (ALLCinema Ltd.)
O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton 360\Engine\6.4.0.9\coieplg.dll (Symantec Corporation)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll File not found
O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files\BearShare Applications\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll ()
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

:Files
C:\Documents and Settings\Home\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
C:\Documents and Settings\Home\xfhz.exe
C:\Documents and Settings\Home\Dane aplikacji\.#
C:\Documents and Settings\Home\Dane aplikacji\Babylon
C:\Documents and Settings\Home\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
netsh reset firewall /C
:Commands
[emptytemp]
[resethosts]

 

 

 

 

I kliknij na wykonaj skrypt .

Zatwierdź restart komputera i pokaż log z usuwania.

[Cripzore]

Okey, tutaj z powrotem te dwa pliki o które prosiłeś

Extras.Txt

OTL.Txt

[Fr3shMak3r]

Nic nie wspominasz jak sytuacja z Nortonem .

Co gorsza widzę tu ten wpis w Extras

 

Error - 2012-12-27 07:41:59 | Computer Name = HOME-D54DCB60ED | Source = Disk | ID = 262151
Description = W urządzeniu \Device\Harddisk0\D wystąpił zły blok.

 

Twoja koleżanka ma problemy z dyskiem czyli tak zwane badsektory.

Niewiadomo czy to są logiczne czy fizyczne ale wykonaj analizę dysku.

Pobierz HDTune zainstaluj .

Przejdź do zakładki Error Scan i Kliknij Start .

Po zakończeniu zrób screena i daj tutaj.

[Cripzore]

Oks, spoko się robi mistrzuniu

a co do Nortona...to cały cały czas się wyświetla - ale dopiero po pewnym okresie czasu, z tego co mi mówiła to 30 min. do godziny.

PS.okienko uruchamia się po około 20 min. po uruchomieniu komputera

zaraz dodam screeny, bo wszystko robimy przez Skype'a ;>

[Fr3shMak3r]

Po pewnym okresie czasu od wlaczenia kompa ?

Siedze teraz na telefonie jakby co.

[Cripzore]

Spoczko, tak jak piszę - po pewnym czasie to jest właśnie dokładniej 15-25 min. po uruchomeniu

podejrzewam że jest w autostarcie ustawione żeby się uruchomiało...ale to tylko przypuszczenia

wiem że w którąś komendą - chyba msconfig się robiło...

[Fr3shMak3r]

msconfig i uruchamianie .

Zobacz czy tam jest plik xfhz.exe

Ale pojawilo sie znowu?

[Cripzore]

Tak, z tego co mi znajoma powiedziała - pojawiło się i nadal jest

i zaraz zrobię to z msconfig

 

@Edit

jest ten proces xfhz.exe, zamknąć go tzn. usunąć z procesów?

[Fr3shMak3r]

Usun go jesli nie pomoze to daj nowy log OTL bo dzis zmeczony jestem i byc moze przeoczylem cos .

Postaram sie jutro dokladnie przeanalizowac log.

[Cripzore]

Spoko, nie śpieszmy się - jakoś da rade

 

@Edit

Niestety nie da się odznaczyć tego xfhz.exe - wyskakuje błąd że trzeba być na koncie administratora mimo iż robimy to z poziomu administratora

[TrueFaith]

Wiem że Fr3sh lubi po pewniaku jechać, jednak ja każdemu polecam Dr.Web Cure It, usuwa rootkity, Weelsofy i właściwie wszystko. Ale nie musisz korzystać (Fr3sh pewnie woli przeanalizować logi więc daj mu tą przyjemność :P)

[Cripzore]

Oks True...dobrze wiedzieć

swoją drogą - tutaj screen z folderu C:/Document and Setings/Home/

 

 

Plik próbowaliśmy usunąć, zmienić nazwe, format i w ogóle ALE plik się kopiował, robił swoją kopię jakby...

plik możemy zobaczyć dlatego że w Opcjach Folderów ustawił aby były widoczne Ukryte pliki i foldery.

[TrueFaith]

Masz go w procesach ?

[Cripzore]

Nie, nie ma go w procesach - i nie da się go odznaczyć z autostartu

 

PS.Za parę minut dodam fotki z skanem z VirusTotal

 

VirusTotal

 

 

 

 

 

 

 

@Edit

Screen z HDTune

 

 

[Fr3shMak3r]

Dałeś screena z HDTune i widzę 1 czerwony blok .

Nie wiem czy to badsector logiczny czy fizyczny .

Być może pomoże zerowanie dysku

Nadal nie dostarczyłeś mi nowy log OTL .

Zrób go i prześlij mi jeszcze raz.

Wiem że Fr3sh lubi po pewniaku jechać, jednak ja każdemu polecam Dr.Web Cure It, usuwa rootkity, Weelsofy i właściwie wszystko. Ale nie musisz korzystać (Fr3sh pewnie woli przeanalizować logi więc daj mu tą przyjemność :P)

 

Nie chodzi mi tu o przyjemność ,chodzi o to by sprawdzić co dokładnie jest w systemie .

Dr.Webem owszem może i usuniesz wirusa .

Ale czy naprawisz szkody spowodowane wirusem ?

No chyba nie .

 

Przykładem jest ZeroAccess który usuwa z rejestru Centrum Zabezpieczeń , Zaporę Systemową i Windows Update.

Oraz zresetować Łańcuch sieciowy Winsock.

By to naprawić trzeba zresetować łańcuch winsock i naprawić usługi :P

[Cripzore]

Okey, tutaj nowe logi z OTL

Extras.Txt

OTL.Txt

[Fr3shMak3r]

Wlep to do OTL

 

:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-220523388-1220945662-1417001333-1004..\Run: [MSConfig] C:\Documents and Settings\Home\xfhz.exe (TODO: <Название компании>)
:Commands
[emptytemp]

I kliknij na Wykonaj skrypt i pokaż raport z usuwania tamten skrypt coś się nie powiódł.

[Cripzore]

Tutaj te nowe wyniki z OTL po wklepaniu tego wyżej

wynik_nowy_otl.txt