sztukmistrz Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Witam, Mój komputer został zainfekowany przez robiący ostatnio wielką karierę wirus typu UKASH. W akcie desperacji postanowiłem wypróbować możliwości programu ComboFix. Przyznaję, ze podjąłem tę decyzję bez uprzednich konsultacji z ekspertem, nie mając bladego pojęcia o specyfice rzeczonego narzędzia. Combofix pomógł, komunikaty o blokadzie komputera przestały mnie nękać. Pojawiły się natomiast drobne problemy w pracy systemu operacyjnego. Nie mogę cofnąć samoistnej zmiany stylu wizualnego ("Nie można zastosować stylów wizualnych. Odmowa dostępu"), gdyż niektóre spośród funkcji panelu sterowania zostały zablokowane (Windows Defender, Opcje regionalne i językowe, Zarządzanie kolorami). Playery audio/video wariują, przed odtworzeniem pliku pokazują komunikat o niekompatybilności kodeków z aktualnie używanym systemem operacyjnym. Korzystając z przeglądarki internetowej często otrzymuję komunikaty o nieprawidłowej nazwie certyfikatu. Skróty klawiszowe nie działają, mam problemy z polskimi znakami diakrytycznymi. Pytanie brzmi: czy powinienem teraz próbować odzyskać rejestr działając zgodnie z instrukcjami z tematu Dezynfekcja: narzędzie ComboFix? I czy przywrócenie rejestru cofnie wyżej wymienione zmiany? Proszę również o sprawdzenie logów pod kątem obecności śladów infekcji. Z góry dziękuję i łącze pozdrowienia! ComboFix.txt OTL.Txt Extras.Txt 3.txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Combofix pomógł, komunikaty o blokadzie komputera przestały mnie nękać. Pojawiły się natomiast drobne problemy w pracy systemu operacyjnego. Proponuję od razu: systemowe Przywracanie systemu do daty sprzed użycia ComboFix. To przywróci też infekcję i adware, ale nie szkodzi. Przejdziesz w Tryb awaryjny i stworzysz nowe raporty OTL, na podstawie których zadam ręczne usuwanie. . Odnośnik do komentarza
sztukmistrz Opublikowano 24 Października 2012 Autor Zgłoś Udostępnij Opublikowano 24 Października 2012 Niestety, nie mogę tego zrobić. System proponuje mi tylko dwa punkty przywracania. Oba z dzisiejszą datą, tj. z dnia po użyciu programu ComboFix. Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 ComboFix wg swojego raportu był uruchamiany dzisiaj (a nie dzień wcześniej jak sugerujesz): ComboFix 12-10-23.01 - user 2012-10-24 0:52.1.2 - x86 MINIMAL ComboFix powinien utworzyć punkt Przywracania systemu podczas swojego działania ... Na pewno w tym zestawie punktów jeden z nich nie jest właśnie utworzony przez ComboFix? . Odnośnik do komentarza
sztukmistrz Opublikowano 24 Października 2012 Autor Zgłoś Udostępnij Opublikowano 24 Października 2012 Źle się wyraziłem. ComboFix był uruchomiony dzisiaj, zaraz po północy, ale dostępne punkty przywracania zostaly utworzone później (13:13 - instalacja dodatku Service Pack 2 do systemu Windows Vista; i 19:17 - Windows Update). Też jestem zdziwiony. Mógłbym przysiąc, że ComboFix utworzył punkt przywracania. Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Niestety, to instalacja SP2 najwyraźniej wymazała poprzednie punkty Przywracania systemu. Poza tym, sprawy się jeszcze bardziej komplikują, nie można w tym momencie cofnąć już rejestru w oparciu o kopię utworzoną przez Combofix, ponieważ po tym czasie został zainstalowany pakiet SP2, który prowadzi liczne modyfikacje rejestru i plików na dysku. Cofnięcie rejestru rozsynchronizuje wszystko ... Pozwól mi przemyśleć wątek. Ale mam pytanie: czy jesteś pewien, że opisywane objawy to skutki uruchomienia ComboFix a nie instalacji aktualizacji Windows? . Odnośnik do komentarza
sztukmistrz Opublikowano 24 Października 2012 Autor Zgłoś Udostępnij Opublikowano 24 Października 2012 Jestem pewien, że to sprawka ComboFix'a. Naiwnie sądziłem, że instalacja SP2 rozwiąże wszystkie problemy... Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Na razie odsuwam czyszczenie systemu, a jest tu co robić (adware, szczątki infekcji - ComboFix nie usunął skrótu infekcji - oraz szczątki niepełnie odinstalowanego Norton Internet Security). Zajmijmy się problemem podstawowym. Otóż po analizie danych mnie się nie wydaje, że to skutki ComboFix. Tu jest dziwna sprawa z Twoimi ścieżkami konta, a ścieżki te już były przed uruchomieniem ComboFix. Popatrz skąd uruchamiałeś ComboFix: Uruchomiony z: c:\users\TEMP\Desktop\ComboFix.exe ... oraz skąd startuje skrót infekcji: O4 - Startup: C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = File not found Oba pracują z C:\Users\TEMP, a nazwa zalogowanego konta to user: Computer Name: USER-PC | User Name: user | Logged in as Administrator. TEMP sugeruje, że utraciłeś swój profil użytkownika i system loguje Cię przez zastępczy profil tymczasowy. Taką sytuację da się naprostować, poprzez rozlinkowanie konta z katalogiem, a po tym ponowne zlinkowanie z właściwym. Zanim do tego przystąpimy powiedz mi czy na dysku widzisz katalog C:\Users\user + za pomocą skryptu sid.vbs stwórz log z listą kont: KLIK (punkt 3). Log krótki, toteż wklej go wprost do posta. . Odnośnik do komentarza
sztukmistrz Opublikowano 25 Października 2012 Autor Zgłoś Udostępnij Opublikowano 25 Października 2012 Widzę coś takiego: C:\Users\user oraz obok: C:\Users\user.user-PC A oto log: Lista kont, identyfikatorów SID i ścieżek dostępu. Nazwa użytkownika : Administrator SID : S-1-5-21-2100993769-1281832080-2806274643-500 Katalog profilu : Nazwa użytkownika : Gość SID : S-1-5-21-2100993769-1281832080-2806274643-501 Katalog profilu : Nazwa użytkownika : user SID : S-1-5-21-2100993769-1281832080-2806274643-1000 Katalog profilu : C:\Users\TEMP Odnośnik do komentarza
picasso Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 Widzę coś takiego:C:\Users\user oraz obok: C:\Users\user.user-PC Folder jest zreplikowany, co oznacza, że problem z dostępem do tego konta występował kilkukrotnie. 1. Uruchom Reprofiler. W programie rozłącz konto user z folderem C:\Users\TEMP (opcja Detach), następnie połącz konto user z folderem C:\Users\user (opcja Assign). 2. Po operacji linkowania konta sprawdź czy występują nadal określone problemy. Zrób też nowe logi z OTL. Będą inne, ponieważ konto zostanie załadowane z całkiem innego katalogu. . Odnośnik do komentarza
sztukmistrz Opublikowano 25 Października 2012 Autor Zgłoś Udostępnij Opublikowano 25 Października 2012 Reprofiler wyeliminował wszystkie problemy opisane w pierwszym poście. Pierwszemu rozruchowi po linkowaniu towarzyszyła zmiana ustawień pulpitu. Wszystkie programy działają prawidłowo. Martwi mnie jedynie fakt, że w folderze C:\Users powstał nowy podfolder o nazwie user.user-PC.000. Oto fragment loga z listą kont: Nazwa użytkownika : user SID : S-1-5-21-2100993769-1281832080-2806274643-1000 Katalog profilu : C:\Users\user.user-PC.000 Czy to oznacza, że źle przeprowadziłem linkowanie? Poniżej zamieszczam nowe logi. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 26 Października 2012 Zgłoś Udostępnij Opublikowano 26 Października 2012 Temat przenoszę do działu Vista, gdyż główne zagadnienie to problem z profilami. Infekcja + adware to podrzędna historia. W ramach porządków wykonaj te działania: 1. Odinstaluj adware Browser Manager, Softonic toolbar on IE and Chrome, uTorrentBar Toolbar. Następnie popraw via AdwCleaner (opcja Delete). 2. Przez SHIFT+DEL skasuj cały już rozłączony od konta folder C:\Users\TEMP (m.in. zawiera szczątki infekcji). 3. Usuń resztki Symantec. Zastartuj do Trybu awaryjnego i posłuż się narzędziem Norton Removal Tool. Reprofiler wyeliminował wszystkie problemy opisane w pierwszym poście. Pierwszemu rozruchowi po linkowaniu towarzyszyła zmiana ustawień pulpitu. Wszystkie programy działają prawidłowo. Wiemy na pewno, że jest to problem profilu tracącego kontakt z własnym folderem. I na pewno nie zrobił tego ComboFix, ponieważ on już leciał na gruncie C:\Users\TEMP. Tu się coś innego dzieje, że konto się rozłącza. Prawdopodobnie problem liczy sobie dłuższy czas, mogłeś go nie zauważyć. Spójrz na to, optycznie problemów już nie widzisz, ale: Martwi mnie jedynie fakt, że w folderze C:\Users powstał nowy podfolder o nazwie user.user-PC.000. Oto fragment loga z listą kont: Nazwa użytkownika : user SID : S-1-5-21-2100993769-1281832080-2806274643-1000 Katalog profilu : C:\Users\user.user-PC.000 Czy to oznacza, że źle przeprowadziłem linkowanie? + z raportu OTL świeżo zrzucony na dysk folder: [2012-10-25 23:00:01 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Roaming\WinRAR[2012-10-25 23:00:01 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\Documents\reprofiler[2012-10-25 22:34:33 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Roaming\Opera[2012-10-25 22:34:33 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Local\Opera[2012-10-25 22:32:55 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Roaming\Adobe[2012-10-25 22:32:30 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Roaming\Macromedia[2012-10-25 22:30:29 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Roaming\ATI[2012-10-25 22:30:29 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Local\ATI[2012-10-25 22:29:21 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup[2012-10-25 22:29:21 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\Searches[2012-10-25 22:29:21 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools[2012-10-25 22:28:55 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Roaming\Identities[2012-10-25 22:28:51 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\Contacts[2012-10-25 22:28:02 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Local\VirtualStore[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\Ustawienia lokalne[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\AppData\Local\Temporary Internet Files[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\Szablony[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\SendTo[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\Recent[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\PrintHood[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\NetHood[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\Documents\Moje wideo[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\Documents\Moje obrazy[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\Moje dokumenty[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\Documents\Moja muzyka[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\Menu Start[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\AppData\Local\Historia[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\Dane aplikacji[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\AppData\Local\Dane aplikacji[2012-10-25 22:27:09 | 000,000,000 | -HSD | C] -- C:\Users\user.user-PC.000\Cookies[2012-10-25 22:27:08 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance[2012-10-25 22:27:08 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories[2012-10-25 22:27:08 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Local\temp[2012-10-25 22:27:08 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Local\Microsoft Help[2012-10-25 22:27:08 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Local\Microsoft[2012-10-25 22:27:08 | 000,000,000 | ---D | C] -- C:\Users\user.user-PC.000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink DVD Suite[2012-10-25 22:27:07 | 000,000,000 | --SD | C] -- C:\Users\user.user-PC.000\AppData\Roaming\Microsoft[2012-10-25 22:27:07 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\Videos[2012-10-25 22:27:07 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\Saved Games[2012-10-25 22:27:07 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\Pictures[2012-10-25 22:27:07 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\Music[2012-10-25 22:27:07 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\Links[2012-10-25 22:27:07 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\Favorites[2012-10-25 22:27:07 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\Downloads[2012-10-25 22:27:07 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\Documents[2012-10-25 22:27:07 | 000,000,000 | R--D | C] -- C:\Users\user.user-PC.000\Desktop[2012-10-25 22:27:07 | 000,000,000 | -H-D | C] -- C:\Users\user.user-PC.000\AppData Folder user nie został zaakceptowany i system stworzył kopię o antykolizyjnej nazwie. W związku z tym, że w C:\Users są już foldery o konkretnych nazwach, system stosuje sekwencję doklejania nazwy komputera, a następnie numerów: C:\Users\user C:\Users\user.user-PC C:\Users\user.user-PC.000 Nie, nie wygląda na to byś popełnił błąd w Reprofiler. Po raz kolejny następuje to samo, czyli desynchronizacja konta ze względu na niemożność załadowania oryginału C:\Users\user przez Windows. Z tego wynika, że jest jakiś inny podskórny czynnik, który uniemożliwia interpretację katalogu. Na razie nie wiadomo w czym leży problem, ani czy folder C:\Users\user jest w ogóle prawidłowy (może ma jakiś defekt całkowicie wykluczający podłączenie go). Na początek: 1. Sprawdź dysk pod kątem błędów. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę chkdsk /f /r i zresetuj system. Odbędzie się przy starcie sprawdzanie błędów. Przeklej z Dziennika zdarzeń statystyki tego procesu. Checkdisk nagrywa w gałęzi Aplikacja rekord z Wininit. Pobierz szczegóły tego rekordu. 2. Dostarcz pełne Dzienniki zdarzeń do analizy. Przekopiuj na Pulpit katalog C:\Windows\system32\winevt\Logs, zapakuj do ZIP i shostuj gdzieś podając tu link. . Odnośnik do komentarza
sztukmistrz Opublikowano 26 Października 2012 Autor Zgłoś Udostępnij Opublikowano 26 Października 2012 Porządki zakończone, działałem zgodnie z instrukcjami z punktów 1-3. Poniżej zamieszczam materiał do dalszej analizy. http://speedy.sh/2WnNa/Logs.zip Wininit.txt Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 W Dzienniku owszem wystąpił poniższy błąd (tylko dwa razy), nie ma konkretów, choć zwrot sugeruje, że być może katalog C:\Users\user jest trefny i tam nie ma kluczowego elementu. Żródło: User Profile Service Identyfikator zdarzenia: 1500Do zdarzenia dołączono następujące informacje: Nie można odnaleźć określonego pliku. Przeprowadź test: załóż nowe konto użytkownika i zaloguj się na nie, porób kilka restartów z przelogowaniem na to konto i sprawdź czy w C:\Users z folderem tego konta coś się dzieje, tzn. czy się też powiela jak folder starego konta. Jeśli nic złego by się nie ujawniło, to proponuję to nowe konto spożytkować jako główne, zaś stare konto i wszystkie repliki jego folderu z C:\Users usunąć. Uwaga poboczna: w Dzienniku zdarzeń w kółko męczy błąd WMI numer 10. To nic strasznego, ale napraw sobie na podstawie instrukcji z KB950375. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się