Vírusvédelmi szoftver hiányolása, pedig telepítve van!?
Veres Sándor
veresh at kossuthzs-szeged.sulinet.hu
2010. Nov. 22., H, 14:37:29 CET
Sziasztok!
Egyik PC frissítése közben azt vettem észre, hogy az értesítési
területnél megjelenő "sárga buborékban" a
"Lehetséges, hogy nincs víruskereső szoftver telepítve."
üzenet jelenik meg.
Ezt a "Vezérlőpult > Biztonsági központ"-ot választva a Vírusvédelem
részben figyelmeztető üzenet is megerősíti:
"A Windows nem talált víruskereső szoftvert a számítógépen"
Pedig a PC-n VirusBuster van telepítve.
A PC-n Windows XP SP3 van és az Automatikus frissítés be van kapcsolva,
NINCS tartományba léptetve. A PC-t a tanulók korlátozott jogú
felhasználói fiókkal használják, ez az iskolarádió PC.
Eddig ezeket csináltam végig:
1.) Azt gondoltam, hogy a VirusBuster frissítésekor történ valami hiba
ezért csináltam egy javító telepítést, de a hibajelenség ezután sem
szűnt meg.
2.) Leszedtem a VB-t és raktam rá avastot. A biztonsági központban most
az jelent meg, hogy a (nem szó szerint) "... az avast jelenti, hogy a
vírusadatbázis nem naprakész, ...". Na ekkor azt gondoltam a hiba
megoldódott, de sajnos nem. Csináltam egy rendszer indításkori
ellenőrzést, az avast talált is 2 db. *.wmv trójait, de miután
újraindult a Biztonsági központban ismét az a szöveg jelent meg ami
korábban (A Windows nem talált víruskereső szoftvert a számítógépen).
Ezek után leszedtem az avastot.
3.) AVG Rescue CD-vel frissített vírusdefiníciós adatbázissal futtattam
egy keresést, nem talált semmit.
4.) Telepítettem a SpywareTerminatort, csökkentett módban futtatva nem
talált semmit. Leszedtem a SpywareTerminatort.
5.) Telepítettem a Spybot S&D-t, csökkentett módban futtatva csak azokat
a registy bejegyzéseket találta meg, amelyeket én állítottam be a
gpedit.msc-ben (ActivDesctop letiltása stb.), de a biztonság kedvéért
töröltem őket. Leszedtem a Spybot S&D-t.
6.) Telepítettem a VirusBustert, de a Biztonsági központban továbbra is
az a szöveg jeleni meg ami korábban (A Windows nem talált víruskereső
szoftvert a számítógépen).
7.) Kikapcsoltam a VB állandó védelmét (a következő pont miatt)
8.) Letöltöttem a ComboFix.exe-t majd futtattam, két fájlt karanténba
rakott ("Other Deletions" rész a csatolt fájlban).
9.) Telepítettem a VirusBuster egy korábbi változatát, de nincs változás.
Csatoltam a ComboFix általt készített naplóállományt, kérlek nézzétek
már át, hogy ti láttok-e benne további kártevőre, hibára utaló jeleket.
- Mi lehet a hiba oka, hol keressem a megoldást?
- Még mindig vírus lenne a gépen?
- Windows javító telepítés?
- Windows teljes újratelepítés?
Ha találkoztatok már a hibajelenséggel és tudjátok a megoldást, vagy van
ötletetek, hogy mi lehet a probléma kérlek írjátok meg!
Előre is köszönöm a segítségeteket!
Üdvözlettel, Veres Sándor
--------- következő rész ---------
ComboFix 10-11-21.02 - user-name 010.11.22. 12:21:36.1.1 - x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.3.1250.36.1038.18.480.293 [GMT 1:00]
Running from: c:\documents and settings\user-name\Asztal\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
----- BITS: Possible infected sites -----
hxxp://au.download.windowsupdatej+|Cv+@J:NGD_DQ{zcxLJS@q$@oNk"`Java Update
.
((((((((((((((((((((((((( Files Created from 2010-10-22 to 2010-11-22 )))))))))))))))))))))))))))))))
.
2010-11-22 07:56 . 2010-11-22 10:46 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-11-22 07:56 . 2010-11-22 10:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-11-18 13:22 . 2010-11-18 13:22 -------- d-----w- c:\program files\Alwil Software
2010-11-18 13:22 . 2010-11-18 13:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Alwil Software
2010-11-18 12:59 . 2010-11-18 12:59 -------- d-----w- c:\documents and settings\user-name\Application Data\Foxit Software
2010-11-18 12:53 . 2009-09-04 16:29 1892184 ----a-w- c:\windows\system32\D3DX9_42.dll
2010-11-18 12:52 . 2006-09-28 15:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll
2010-11-18 12:52 . 2010-11-18 12:52 -------- d-----w- c:\windows\Logs
2010-11-18 12:52 . 2010-11-18 12:54 -------- d-----w- c:\documents and settings\user-name\Application Data\Winamp
2010-11-18 12:52 . 2010-11-18 12:53 -------- d-----w- c:\program files\Winamp
2010-11-18 12:50 . 2010-11-18 12:50 -------- d-----w- c:\documents and settings\user-name\Application Data\vlc
2010-11-18 12:49 . 2010-11-18 12:49 -------- d-----w- c:\program files\VideoLAN
2010-11-18 12:49 . 2010-11-18 12:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Panda Security
2010-11-18 12:49 . 2010-11-18 12:49 -------- d-----w- c:\program files\Panda USB Vaccine
2010-11-18 12:49 . 2010-11-18 12:49 -------- d-----w- c:\windows\system32\Adobe
2010-11-18 12:47 . 2008-09-24 18:41 839680 ----a-w- c:\windows\system32\lameACM.acm
2010-11-18 12:47 . 2010-01-17 15:18 151552 ----a-w- c:\windows\system32\ac3acm.acm
2010-11-18 12:47 . 2010-06-08 16:10 790528 ----a-w- c:\windows\system32\xvidcore.dll
2010-11-18 12:47 . 2010-06-08 16:10 134144 ----a-w- c:\windows\system32\xvidvfw.dll
2010-11-18 12:47 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2010-11-18 12:47 . 2010-10-18 08:00 108032 ----a-w- c:\windows\system32\ff_vfw.dll
2010-11-18 12:47 . 2010-11-18 12:48 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-11-18 12:35 . 2010-11-18 12:35 16856 ----a-w- c:\program files\Mozilla Firefox\plugin-container.exe
2010-11-18 12:35 . 2010-11-18 12:35 719832 ----a-w- c:\program files\Mozilla Firefox\mozcpp19.dll
2010-11-18 12:32 . 2010-11-18 12:32 -------- d-----w- c:\program files\Common Files\Java
2010-11-18 12:30 . 2010-09-15 03:50 472808 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
2010-11-18 12:30 . 2010-09-15 03:50 472808 ----a-w- c:\windows\system32\deployJava1.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:23 . 2004-08-18 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2004-08-18 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2004-08-18 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2004-08-18 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-15 01:29 . 2009-10-14 14:54 73728 ----a-w- c:\windows\system32\javacpl.cpl
2010-09-10 05:52 . 2004-08-18 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:52 . 2004-08-18 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:52 . 2004-08-18 12:00 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2010-09-03 19:58 . 2010-09-03 19:58 169824 ----a-w- c:\windows\system32\drivers\vbshld.sys
2010-09-03 19:18 . 2010-09-03 19:18 20440 ----a-w- c:\windows\system32\drivers\vbrec.sys
2010-09-03 19:17 . 2010-09-03 19:17 27320 ----a-w- c:\windows\system32\drivers\vbfilter.sys
2010-09-01 11:52 . 2004-08-18 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:57 . 2004-08-18 12:00 1852800 ----a-w- c:\windows\system32\win32k.sys
2010-08-27 08:03 . 2004-08-18 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2010-08-27 05:54 . 2004-08-18 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-08-18 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="c:\windows\htpatch.exe" [2002-10-30 28672]
"Smapp"="c:\program files\Analog Devices\SoundMAX\SMTray.exe" [2002-10-11 98304]
"VBSysTrayProf"="c:\program files\VirusBuster\Professional\Bin\vbsystry.exe" [2010-09-03 394200]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSimpleStartMenu"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2010-05-14 10:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Winamp\\winamp.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
"AllowOutboundDestinationUnreachable"= 1 (0x1)
R0 VBFilter;VBFilter;c:\windows\system32\drivers\vbfilter.sys [2010.09.03. 20:17 27320]
R0 VBRec;VBRec;c:\windows\system32\drivers\vbrec.sys [2010.09.03. 20:18 20440]
S2 VBServProf;VirusBuster Professional;c:\program files\VirusBuster\Professional\Bin\vbcmserv.exe [2010.09.06. 16:29 138768]
S2 VBShld;VBShld;c:\windows\system32\drivers\vbshld.sys [2010.09.03. 20:58 169824]
S3 VBEngNT;VBEngNT;c:\windows\system32\drivers\vbengnt.sys [2010.05.21. 15:09 237664]
.
Contents of the 'Scheduled Tasks' folder
2010-11-22 c:\windows\Tasks\PandaUSBVaccine.job
- c:\program files\Panda USB Vaccine\RunInteractiveWin.exe [2010-11-18 15:45]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
IE: E&xportálás Microsoft Excel formátumba - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\user-name\Application Data\Mozilla\Firefox\Profiles\jfpaldhp.default\
FF - plugin: c:\program files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
---- FIREFOX POLICIES ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHANS REMOVED - - - -
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-22 12:25
Windows 5.1.2600 Szervizcsomag 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HTpatch = c:\windows\htpatch.exe?ows\CurrentVersion\Run?z[ C??????@_??????x???????????x????????B??x????C??????P??????????? ???????x????B??(???H_???????B??????x??????????????????????|?OA??N??????????????P???????????H_??? ??????2???0M??????????st.I????????????(???????xN?
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@DACL=(02 0011)
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
@DACL=(02 0011)
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@DACL=(02 0011)
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@DACL=(02 0011)
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@DACL=(02 0011)
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@DACL=(02 0011)
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@DACL=(02 0011)
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Completion time: 2010-11-22 12:29:04
ComboFix-quarantined-files.txt 2010-11-22 11:29
Pre-Run: 7 248 982 016 bájt szabad
Post-Run: 7 338 893 312 bájt szabad
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional - magyar" /noexecute=optin /fastdetect
- - End Of File - - A14EA2B4EEE4DB2491D4F14AF9EC476E
További információk a(z) Techinfo levelezőlistáról