T9K Opublikowano 29 Lipca 2012 Zgłoś Udostępnij Opublikowano 29 Lipca 2012 Witam. Pacjent to laptop dell inspiron 1525, vista 32bit, po odpaleniu dluuuugo się ładuje, pojawia się kuersor ale explorer.exe już nie startuje, da się go odpalić przez menadżer zadań. Zauważyłem już jedną przypadłość - "Opcje folderów i wyszukiwania" - jest nieaktywna (zaszarzona w menu rozwijanym). Dysk F to pendrive którym przenosiłem otl'a i gmera bo lapciak nie był podłączany do netu w czasie skanowania. Co było na nim robione i co jest przyczyną - nie wiem, daję logi w załącznikach (w przypadku gmer'a wziąłem zapisz i czy to dobrze zrobione?) Extras.Txt gmer.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 29 Lipca 2012 Zgłoś Udostępnij Opublikowano 29 Lipca 2012 Jest tu infekcja Brontok. Zastosuj z trybu awaryjnego ComboFix. Gdy ukończy pracę wklej z niego log oraz sporządź nowe logi z OTL. Odnośnik do komentarza
T9K Opublikowano 30 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Lipca 2012 Combofix (uruchamiany jako administrator) "wykrzacza" się na robieniu kopii bezpieczeństwa rejestru, ot komputer zaczyna się resetować (ale nie nagle tylko "trwa zamykanie..." i reset), nie kontynuuje dalszych operacji po restarcie zarówno do trybu normalnego jak i awaryjnego (ofc po tym restarcie z combo) Uruchomienie combofix w trybie normalnym, też system sam się resetuje ale po zniknięciu robienia kopii i na tym koniec... Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 To trzeba będzie OTLem usuwać, może da rade. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\bronstab.exe () O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000..\Run: [Tok-Cirrhatus] C:\Users\User\AppData\Local\smss.exe () O4 - Startup: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found O18 - Protocol\Handler\AutorunsDisabled\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll File not found [2012-07-29 12:50:02 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-29 [2012-07-22 22:30:32 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-22 [2012-07-18 19:55:29 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-18 [2012-07-16 18:52:53 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-16 [2012-07-15 00:00:01 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-15 [2012-07-14 22:44:51 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Loc.Mail.Bron.Tok [2012-07-14 22:44:08 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Ok-SendMail-Bron-tok [2012-07-14 22:38:49 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-14 [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\winlogon.exe [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\smss.exe [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\services.exe [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\lsass.exe [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\inetinfo.exe [2010-01-09 16:16:10 | 000,042,089 | ---- | C] () -- C:\Users\User\AppData\Local\csrss.exe :Files C:\Windows\eksplorasi.exe C:\Users\User\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
T9K Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Franca się nie daje... od razu się zaczyna resetować po wciśnięciu "wykonaj skrypt" (w awaryjnym się wylogowuje) i po tym nic się nie robi... Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Bo wirus jest zapisany tutaj do shella explorer.exe i dlatego pewnie tak się dzieje. Może spróbuj tak: Zapisz skrypt w Notatniku na dysku. Wejdź w Tryb awaryjny z obsługą Wiersza polecenia (to nie załaduje powłoki graficznej). W linii komend wpisz polecenie notepad + ENTER, z poziomu Notatnika otwórz plik skryptu, następnie komenda F:\OTL.exe + ENTER, do okna przeklej ten skrypt. Odnośnik do komentarza
T9K Opublikowano 31 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Poszedł, log wynikowy w załączniku (z trybu awaryjnego) OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Tak potwierdzam, infekcja usunięta. Przejdź do kroków końcowych: 1. Wklej do OTL skrypt poprawkowy: :OTL SRV - File not found [Disabled | Stopped] -- C:\Program Files\AVG\AVG9\avgemc.exe -- (avg9emc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY) O7 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [2012-07-31 08:18:06 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-31 [2012-07-30 16:39:44 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-30 Klik w Wykonaj skrypt. Logó nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.6001.19120) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
T9K Opublikowano 1 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Sierpnia 2012 Zrobione poza ie9 bo próbuje instalować jakieś aktualizacje z internetu (jest podłączony doń), ale wywala błąd że nie może zakończyć instalacji więc podjąłem próbę poprzez windows update i okazuje się że nie można włączyć WU bo usługa nie działa... i takowej nawet nie ma w services.msc(!). Próba naprawy przez MS fixit nie podołała... Odnośnik do komentarza
Landuss Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 W takim razie wykonaj log z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
T9K Opublikowano 2 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Log wynikowy: Farbar Service Scanner Version: 26-07-2012Ran by User (administrator) on 02-08-2012 at 16:55:49 Running from "C:\Users\User\Downloads" Microsoft® Windows Vista™ Home Premium Service Pack 2 (X86) Boot Mode: Normal **************************************************************** Internet Services: ============ Connection Status: ============== Localhost is accessible. LAN connected. Google IP is accessible. Google.com is accessible. Yahoo IP is accessible. Yahoo.com is accessible. Windows Firewall: ============= Firewall Disabled Policy: ================== System Restore: ============ System Restore Disabled Policy: ======================== Security Center: ============ Windows Update: ============ BITS Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist. Checking ServiceDll: ATTENTION!=====> Unable to open BITS registry key. The service key does not exist. Windows Autoupdate Disabled Policy: ============================ Windows Defender: ============== WinDefend Service is not running. Checking service configuration: The start type of WinDefend service is OK. The ImagePath of WinDefend service is OK. The ServiceDll of WinDefend service is OK. Windows Defender Disabled Policy: ========================== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=DWORD:1 Other Services: ============== sharedaccess Service is not running. Checking service configuration: The start type of sharedaccess service is set to Demand The ImagePath of sharedaccess service is OK. The ServiceDll of sharedaccess service is OK. File Check: ======== C:\Windows\system32\nsisvc.dll => MD5 is legit C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit C:\Windows\system32\dhcpcsvc.dll => MD5 is legit C:\Windows\system32\Drivers\afd.sys => MD5 is legit C:\Windows\system32\Drivers\tdx.sys => MD5 is legit C:\Windows\system32\Drivers\tcpip.sys [2011-08-10 20:37] - [2011-06-17 22:13] - 0905104 ____A (Microsoft Corporation) 2756186E287139310997090797E0182B C:\Windows\system32\dnsrslvr.dll => MD5 is legit C:\Windows\system32\mpssvc.dll => MD5 is legit C:\Windows\system32\bfe.dll => MD5 is legit C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit C:\Windows\system32\SDRSVC.dll => MD5 is legit C:\Windows\system32\vssvc.exe => MD5 is legit C:\Windows\system32\wscsvc.dll => MD5 is legit C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit C:\Windows\system32\wuaueng.dll => MD5 is legit C:\Windows\system32\qmgr.dll => MD5 is legit C:\Windows\system32\es.dll => MD5 is legit C:\Windows\system32\cryptsvc.dll => MD5 is legit C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit C:\Windows\system32\ipnathlp.dll [2008-01-21 04:24] - [2008-01-21 04:24] - 0288256 ____A (Microsoft Corporation) E1499BD0FF76B1B2FBBF1AF339D91165 C:\Windows\system32\svchost.exe => MD5 is legit C:\Windows\system32\rpcss.dll => MD5 is legit **** End of log **** Odnośnik do komentarza
Landuss Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Rzeczywiście coś tu z usługą BITS od zapory jest nie tak, a właściwie to w ogóle jej nie ma w rejestrze. Wklej do notatnika: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:0000086c "Last Counter"=dword:0000087c "First Help"=dword:0000086d "Last Help"=dword:0000087d "Object List"="2156" "PerfMMFileName"="Global\\MMF_BITS_s" "1008"=hex(:ed,6c,91,96,c4,35,cd,01 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 Zapisz jako FIX.Reg i zaimportuj do rejestru. Pokaż nowy log z FSS i daj znać czy jest OK. Odnośnik do komentarza
T9K Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Jest ok, w logu nie wywala już nic podejrzanego, przy restarcie zrobił jakąś(?) aktualizację ale usługi WU dalej nie idzie odpalić, wywala "Usługa WU nie może obecnie wyszukać aktualizacji, ponieważ usługa nie jest uruchomiona. konieczne być może ponowne uruchomienie komputera" Fixit niby ją naprawił i nawet po restarcie wywala dalej to samo... I teraz najważniejsze dwie rzeczy: "Wyczarował" się IE9 (bo próbowałem znów go instalować z ściągniętego instalatora i wywalił że jest nowsza wersja), jest w angielskiej wersji i... właśnie teraz zajarzyłem że komputer był sprowadzony ze stanów z ANGIELSKĄ vistą (a teraz jest polska poza IE9)... i chyba musiał być użyty przez kogoś ten cały vistalizator (system nigdy nie był reinstalowany)... I być może nie dokończymy tego bo właściciel już się upomina o laptopka... Odnośnik do komentarza
Landuss Opublikowano 4 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 To może jeszcze wykonaj dwie rzeczy: 1. Sprawdź poprawność integralności plików - Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. 2. Przeskanuj się na koniec za pomocą Kaspersky Virus Removal Tool Odnośnik do komentarza
T9K Opublikowano 4 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 SFC nie wykrył żadnych nieprawidłowości ale Kasper z kolei tak - Trojan.Win32.AntiAV w obiekcie c:\windows\update.tray-15-0-lnk\svchost.exe i próba kasacji tego przy restarcie (ofc zainicjowana przez kaspera) nie powodzi się, przy kolejnym skanie znów to wykrywa. Odnośnik do komentarza
Landuss Opublikowano 4 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2012 Kasper z kolei tak - Trojan.Win32.AntiAV w obiekcie c:\windows\update.tray-15-0-lnk\svchost.exe To tak zwana infekcja z Facebooka, która jakieś pół roku temu występowała tutaj na forum. Tyle, że logi nic takiego nie pokazały. Pokaż mi ponownie logi z OTL zrobione na ustawieniach "Wszystko" w każdej sekcji. Odnośnik do komentarza
T9K Opublikowano 5 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 O ile kaspersy nie mógł tego folderu usunąć to udało mi się to przez... SHIFT+DEL i potem już tego nie wykrywał... logi z otla+extras w załączniku + screen z WU (rzuca się tu w oczy tajemniczy "null") : Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 5 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 Nic tutaj prawie nie ma. Usuń jeszcze te dwa pliki po infekcji: [2011-08-21 22:51:11 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe [2011-08-21 22:48:27 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok Wcześniej nie widać było tego w logu bo infekcja siedziała na tym systemie jak widać od sierpnia ubiegłego roku a logi mają ograniczone pole widzenia czasowego na filtrowaniu. W kwestii WU podaj mi raz jeszcze nowy log z FSS Odnośnik do komentarza
T9K Opublikowano 5 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 5 Sierpnia 2012 Obydwa pliki skasowane + FSS log FSS.txt Odnośnik do komentarza
Landuss Opublikowano 6 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Według loga usługa WU działa poprawnie czy nadal więc jest ten problem? Odnośnik do komentarza
T9K Opublikowano 6 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2012 Wywala błąd jaki jest na screenie kilka postów wyżej i nie idzie zrobić aktualizacji... Odnośnik do komentarza
T9K Opublikowano 10 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2012 Laptop oddany, problem z Wu nie rozwiązany, do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi