Eragras Opublikowano 18 Marca 2013 Zgłoś Udostępnij Opublikowano 18 Marca 2013 Witam. Dostałem w rączki laptopa siostry, w celu naprawy systemu. Objawy poczatkowe to, tak jak w temacie, dwuklik powodujący wycinanie skrótów, zamiast otwieranie aplikacji do których skróty prowadzą. Brak możliwości usunięcia jakiegokolwiek programu. Brak możliwości włączenia IE8( pod downgradzie do IE6 nie działa Wupdate). Brak mozliwości odinstalowania servicepacka 3, jak również jego zainstalowania. Format jest niestety wykluczony, ale zapewne na tym forum format nie istnieje Kombinuje nad tym lapkiem jakieś 1,5tyg. Różne manewry ze strony MS. typu http://support.microsoft.com/kb/822798 Ręcznie usunąłem aplikacje typu adobe reader wszelkie toolbary. itp. Programem unlocker usunąłem wiele śmieci po aktualizacjach z folderów na dysku C: Skanowałem parę razy programem Tdsskiller, znalazł usunął ale nadal jest to samo. Wedle podpowiedzi, uruchomiłem CureIt, coś znalazł(niestety nie zapisałem nazwy) wyleczył/usunął ale to i tak nic nie dało. Nie działa dużo opcji typu, otwórz folder docelowy z okienka pobierania FF. Z autouruchamiania USB nie działa żadna opcja. Trzeba wchodzić ręcznie przez moj komp. Starałem się uruchomić różne "FixIt" ze strony M$, ale za każdym razem mam info że skrypt nie został wykonany. OS - XP media Center sp3 Dodam, że za którymś razem Avast znalazł rootkita podczas skanowania startowego. Lok. C:\Windows\assembly\GAC_MSIL\Desktop(2)(2)(2).ini win32:Sirefef -PL [Rtk] Z góry dziękuję za jakąkolwiek pomoc. Będę bardzo wdzięczny. Pozdro. Dziś avast znalazł kolejne 2 zagrożenia, które usunął, ale jak można się było spodziewać, nic to nie dało. Pomoże ktoś pozbyć się tego syfu z kompa? Powoli tracę nadzieje. Skan Dr Web CureIt znalazł 14 zagrożeń. Mam screen po neutralizacji Fotka Kombinowałem dalej, ale nic a nic to nie pomaga. Jedyny plus to taki że komp chodzi jakby dostał nowe bebechy. Szybko bez zacięć. Niestety problemy występujące wcześniej są również teraz. Brak możliwości odinstalowania wielu programów w tym sp3 i update'ów. Nie da się zainstalować sp3. Dwuklik nadal sprawia że skrót się wycina. IE8 nie działa po wielu reinstalkach i gruntownym czyszczeniu. Odrzuciłem możliwość formatu ze względu na wiele danych i programów. Ale niestety bez Waszej pomocy będę zmuszony to wszystko skasować, boje się coś kopiować żeby nie wdał się jakiś syf na PD a potem na innego kompa. Nowe logi ---->>> OTL.Txt Extras.Txt Gmer.txt oraz Results of screen317's Security Check version 0.99.61 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` Windows Firewall Enabled! avast! Antivirus Antivirus up to date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` CCleaner Adobe Flash Player 11.6.602.180 Adobe Reader XI Mozilla Firefox (19.0.2) Mozilla Thunderbird (17.0.2) ````````Process Check: objlist.exe by Laurent```````` Programy Avast AvastSvc.exe Programy Avast avastUI.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: 5% ````````````````````End of Log`````````````````````` Odnośnik do komentarza
Landuss Opublikowano 24 Marca 2013 Zgłoś Udostępnij Opublikowano 24 Marca 2013 Dopiero teraz miałem czas aby zerknąć uważniej w temat. Patrząc na najnowsze logi są ślady starej infekcji ZeroAccess w postaci linku symbolicznego: Hard Links - Junction Points - Mount Points - Symbolic Links ==========[C:\windows\$NtUninstallKB14293$] -> -> Unknown point type Tak jak wspominam to tylko szczątek i nie jest ta infekcja obecnie aktywna na tym systemie. Poza tym widzę tylko trochę pustych wpisów do skorygowania i w sumie tyle. 1. Uruchom GrantPerms i w oknie wklej:C:\Windows\$NtUninstallKB14293$Klik w Unlock. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst::OTLSRV - File not found [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\qagentrt.dll -- (napagent)SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\kmsvc.dll -- (hkmsvc)SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\eapsvc.dll -- (EapHost)SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\dot3svc.dll -- (Dot3svc) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\SAVRKBootTasks.sys -- (SAVRKBootTasks)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\378.tmp -- (MEMSWEEP2)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\fcdabus.sys -- (fcdabus)DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avgidsdriverx.sys -- (AVGIDSDriver) IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{24735BE4-9E1F-4FFD-B8F4-BBD05126FD2B}: "URL" = "http://www.searchgateway.net/search-Google-Gateway.php?q=%7BsearchTerms%7D&sa=Search+Here&client=pub-4642981363251965&forid=1&ie=ISO-8859-1&oe=ISO-8859-1&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BL"C%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A11IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{2A7553C1-C0F4-426A-81EA-EEB7BED73382}: "URL" = "http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63009&p=%7BsearchTerms%7D" IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{9709F1F7-26EA-4E47-A8FC-BE17774DA05A}: "URL" = "http://www.mysearchresults.com/search?&c=2652&t=03&q=%7BsearchTerms%7D" O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found.O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\ShellBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.O4 - HKU\.DEFAULT..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not foundO4 - HKU\S-1-5-18..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found:Filesfsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB14293$ /C:Commands[emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Farbar Service Scanner Odnośnik do komentarza
Eragras Opublikowano 24 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2013 Bardzo długo kombinowałem jak sie pozbyć tej infekcji. Różnymi programami. Możliwe, że mi sie udało ale zostały śmieci. Zrobiłem krok po kroku co poleciłeś. Log po wykonaniu skryptu --->> Skrypt log.txt Niestety dwuklik nadal powoduje wycięcie skrótu. Zapewne to pozostałości po infekcji, ale nie mam pojęcia jak to naprawić. Nadal są problemy z uruchamianiem jakiejkolwiek opcji z autostartu po włożeniu pd bądź płyty. Z menu startu każdy program muszę uruchamiać kliknieciem Prawy Przyciskiem Myszy i kliknięciem w uruchom. Lewy przycisk myszy nie działa. Nadal nie moge zainstalować SP3 ponownie... Wyskakuje błąd "An internal error occurred." Log z nowego Skanowania -->> OTL.Txt Edit: Dodam jeszcze że nie mogę odpalić msconfig z polecenia Uruchom z menu start. Tak było również wcześniej. Odnośnik do komentarza
Eragras Opublikowano 25 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2013 Niestety coś się posypało jeszcze gorzej. Korzystając z porady na innym forum, skopiowałem plik msconfig.exe z folderu pchealtl .... do system32. MSconfig udało się odpalić. W autostarcie odptaszkowałem pozycję z adobe flash updater. i wyszedłem z msconfiga. Prosił o ponowne uruchomienie no to uruchomiłem. Od tego momentu nie mogę uruchomić żadnej usługi avasta. w autostarcie siedzi jakiś syf .txt w menedżerze urządzeń nie ma listy z urządzeniami. Nie działa net. Nie zrobiłem nic co w normalnych warunkach zaszkodziłoby systemowi. Usunięcie z autostartu updatera od flasha nie mogło spowodować takich problemów. Chyba się poddaje. Jeśli ktoś czegoś nie wymyśli do wieczora zrobię mu chamowi zerowanie dysku. i postawie windę od nowa. To by było na tyle. Dziękuję Landuss za pomoc w wyczyszczeniu infekcji. Wiem, że po Twoich podpowiedziach komp jest czysty i mogłem zgrać spokojnie większość danych. Właśnie czyszczę dysk i wgrywam od nowa windowsa. Starałem się poprawić cokolwiek, ale jak jedno zadziałało to drugie przestało. Najlepszym wyjściem teraz jest reinstalacja. Temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi