aztec74 Opublikowano 10 Marca 2013 Zgłoś Udostępnij Opublikowano 10 Marca 2013 Witam! Na początek trochę prywaty: Serdecznie pozdrawiam Cię picasso! Dlaczego? Dlatego, że pomogłaś mi kilka lat temu. Nie pamiętam na jakim forum, pamiętam że analizowałaś loga z Hijackthis i pomogłaś !!! Przyplątał się Ukash. Normalne próby z uruchomieniem przez F8 spełzły na niczym. Zarówno tryb awaryjny z obsługą sieci jak i z wierszem poleceń nie uruchamiały się wyświetlając: Press ESC to cancel loading a347bus.sys Pozostała tylko opcja uruchomienia przez bootowalny pendrive lub CD. Spróbowałem zarówno Kaspersky Rescue Disk 10 jak i AVG Rescue CD. Przy obu komunikat: Error boot. Szukałem dalej. Znalazłem Xboota i Yumi. Niestety oba narzędzia nie dały rady (w połączeniu z Dyskiem Kasperskiego-ale to chyba nie ma znaczenia) bo w obu przypadkach pojawił się komunikat: ERROR: No configuration file found NO DEFAULT or UI configuration directive found! boot: Co dalej? Pozdrawiam Spóźnione z okazji ósmego marca: picasso Odnośnik do komentarza
Landuss Opublikowano 11 Marca 2013 Zgłoś Udostępnij Opublikowano 11 Marca 2013 Spróbuj wykonać logi z poziomu OTLPE Odnośnik do komentarza
aztec74 Opublikowano 11 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 11 Marca 2013 Udało się. W załączniku log. OTL.txt Odnośnik do komentarza
picasso Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 Tu są także resztki starej źle doczyszczonej infekcji Bagle. Poza tym, log w części skanu Winsock sugeruje, że jest tu gorsza infekcja niż "policja", ale ze względu na staroć OTL wmontowanego w płytę OTLPE nie mogę tego ani potwierdzić ani naprawić w pierwszym podejściu i potrzebne mi skany z nowszych narzędzi. 1. Z poziomu płyty OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :Files C:\Documents and Settings\aztec\Dane aplikacji\skype.dat C:\Documents and Settings\aztec\Dane aplikacji\skype.ini C:\Documents and Settings\aztec\Dane aplikacji\avdrn.dat C:\Documents and Settings\aztec\Dane aplikacji\hidires C:\Documents and Settings\aztec\Dane aplikacji\kikin C:\Documents and Settings\aztec\Dane aplikacji\PriceGong C:\Documents and Settings\NetworkService\Dane aplikacji\rbuwzv.dat C:\Documents and Settings\NetworkService\Dane aplikacji\cqfyto.dat C:\Documents and Settings\NetworkService\Dane aplikacji\sgcpom.dat C:\Documents and Settings\NetworkService\Dane aplikacji\fvgqad.dat C:\Documents and Settings\LocalService\Dane aplikacji\fvgqad.dat C:\WINDOWS\tasks\At*.job C:\WINDOWS\System32\*.tmp.dll C:\WINDOWS\System32\winmds.exe.a_a :Reg [HKEY_USERS\aztec_ON_C\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" :OTL DRV - File not found [Kernel | On_Demand] -- -- (MSICDSetup) DRV - File not found [Kernel | On_Demand] -- -- (mbr) DRV - File not found [Kernel | On_Demand] -- -- (EagleNT) DRV - File not found [Kernel | Boot] -- -- (dwshd7bf9c440) DRV - File not found [Kernel | On_Demand] -- -- (cpuz130) DRV - [2012/03/29 15:09:14 | 000,000,000 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\System32\drivers\uozxkve.sys -- (uozxkve) IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found IE - HKU\aztec_ON_C\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found O2 - BHO: (kikin Plugin) - {E601996F-E400-41CA-804B-CD6373A7EEE2} - File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\aztec_ON_C\..\Toolbar\ShellBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Device Detector] File not found O4 - HKLM..\Run: [hldrrr] File not found O4 - HKLM..\Run: [internet Connection Wizard Setup Tool] File not found O4 - HKLM..\Run: [nTrayFw] File not found O4 - HKU\aztec_ON_C..\Run: [ALLUpdate] File not found O4 - HKU\aztec_ON_C..\Run: [bitComet] File not found O4 - HKU\aztec_ON_C..\Run: [hldrrr] File not found O9 - Extra 'Tools' menuitem : My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - File not found O20 - Winlogon\Notify\dimsntfy: DllName - Reg Error: Value error. - Reg Error: Value error. File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. System zostanie odblokowany, toteż możesz logować się normalnie do Windows w celu: 2. Przez Dodaj/Usuń programy odinstaluj adware Ask Toolbar, Ask Toolbar Updater, AVG Security Toolbar, uTorrentBar Toolbar oraz archaiczny firewall nVidia Network Access Manager. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Ten log przedstaw. 4. Zrób nowy log ze standardowego OTL z opcji Skanuj (ma powstać też plik Extras) oraz log z GMER. Przed uruchomieniem GMER musisz odinstalować Alcohol, by zniknęły ofensywne sterowniki kolidujące z pracą GMER: DRV - [2004/04/30 04:37:02 | 000,160,640 | ---- | M] ( ) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\a347bus.sys -- (a347bus)DRV - [2004/04/30 04:33:00 | 000,005,248 | ---- | M] ( ) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\a347scsi.sys -- (a347scsi) . Odnośnik do komentarza
aztec74 Opublikowano 15 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2013 Oto logi: OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 16 Marca 2013 Zgłoś Udostępnij Opublikowano 16 Marca 2013 Infekcja ZeroAccess tu jest, ale zanim przejdę do czyszczenia chcę mieć komplet poprawnych raportów: - Log z OTL zrobiony na złym ustawieniu, opcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania. Zrób nowy poprawny log. - Log z AdwCleaner całkowicie niekompletny, prawie pusty. Usuwam. Dołącz log właściwy. - Dodaj też log z Farbar Service Scanner. . Odnośnik do komentarza
aztec74 Opublikowano 17 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 17 Marca 2013 Nowe Logi: OTL.Txt FSS.txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 7 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2013 (edytowane) To chyba na pół aktywny ZeroAccess. Log z OTL nadal źle zrobiony. Przecież mówiłam: "opcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania" 1. Start > Uruchom > regedit i z prawokliku skasuj ten klucz: HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1} Zresetuj system. 2. Start > Uruchom > cmd i wpisz komendę: netsh winsock reset Zresetuj system. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\aztec\Ustawienia lokalne\Dane aplikacji\{f4afc632-4e26-53a7-6bfb-114d18642d8f} :OTL O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "ImagePath"=hex(2):"%SystemRoot%\system32\svchost.exe -k netsvcs" "Start"=dword:00000003 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "ImagePath"=hex(2):"%SystemRoot%\system32\svchost.exe -k netsvcs" "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\csrss.exe"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 4. Zrób nowy log OTL z opcji Skanuj oraz Farbar Service Scanner. Przypominam po raz trzeci: opcja Rejestr ustawiona na Użyj filtrowania. Pliku Extras po raz kolejny zaś nie dołączaj. . Edytowane 17 Maja 2013 przez picasso 17.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi