Skocz do zawartości

Strasznie wielki syf z laptopem


Fiszer

Rekomendowane odpowiedzi

Witam.

Zabrałem się za pożądki w laptopie żony. niestety jest całkowity nieład.

brakuje msconfig.

"mój komputer" ładuje sie 2 minuty

połowa plików na komputerze jes zaatakowana wirusem szyfrującym

laptop bardzo długo się włącza

grzeje się,

zacina,

wyskakują blue screeny o ati2dvag.dll

jest problem z automatycznym powiązaniem z siecią wi-fi

ktoś jest w stanie pomóć mi się z tym uporać ?

 

ze zdobytych informacji wiem że system nie jest orginalny, servis pack 3

win Xp black edition v8.2

nie posiadam płyty z zainstalowanym windowsem

 

dodam Tylko ze zdążyłem wyczyścic lapka w środku porządnie i położyłem świerzą pstę. oraz wykonałem defragmentację dysków C i D.

oraz dodaje raporty z otl, frst,gmer i security checka (w poście) bo wyczytałem że trzeba :)

z dalszych info jakie wyczytałem, to wiem że żona używała sporo ccleanerai ponoć użyła combofixa! (bo ktoś jej zalecał, a że laptop się przegrzewał i wyłączał to nawet nie doszedł do końca działania)

 

Results of screen317's Security Check version 0.99.79

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````Antivirus/Firewall Check:``````````````

WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

TuneUp Utilities Language Pack (pl-PL)

CCleaner

Java 7 Update 51

Adobe Flash Player 12.0.0.43

Adobe Reader XI

Mozilla Firefox (26.0)

Mozilla Thunderbird (24.1.0)

Google Chrome 32.0.1700.102

Google Chrome 32.0.1700.76

Google Chrome plugins...

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

 

pozdrawiam Serdecznie

 

Fiszer

gmer.txt

OTL.Txt

Addition.txt

Extras.Txt

FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

ze zdobytych informacji wiem że system nie jest orginalny, servis pack 3

win Xp black edition v8.2

Generalnie powinieneś dostać bana na forum.

 

Na wirusa szyfrującego nic nie poradzę. Piszesz że wykonałeś defragmentację, jak się to ma do aktualnośći logów z FRST i OTL? Zostały wykonane po defragmentacji czy przed ?

 

Programy i funkcje - odinstaluj: SaveSense

 

Na wszelki wypadek:

Otwórz notatnik i wklej:

 

Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe <==== ATTENTION

Task: C:\WINDOWS\Tasks\YourFile DownloaderUpdate.job => C:\Program Files\YourFileDownloader\YourFileUpdater.exe <==== ATTENTION

HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.qooqlle.com/

HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.myhoome.com/

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.myhoome.com/

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myhoome.com/

SearchScopes: HKLM - DefaultScope value is missing.

SearchScopes: HKCU - DefaultScope 241433449C2C40FBAB5CC8929A5B3533 URL = http://mystart.incredibar.com/mb203?a=6PQWPYpgc3&search={searchTerms}&i=26

SearchScopes: HKCU - 241433449C2C40FBAB5CC8929A5B3533 URL = http://mystart.incredibar.com/mb203?a=6PQWPYpgc3&search={searchTerms}&i=26

SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

SearchScopes: HKCU - {3DFAB2B5-06E7-44C1-98D8-137B4EEBA75B} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=86E3FCA1-C622-41A0-9EA6-4FED90173C81&apn_sauid=7C2EE6B1-2287-457F-BDFC-51E99C71A73C

SearchScopes: HKCU - {42168F92-DA71-42E6-BC7F-132EAC1F1899} URL = http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F <===== ATTENTION

BHO: No Name - {71e129ff-6c2a-4984-818c-7e2c998b8d99} - No File

Toolbar: HKLM - No Name - {8660E5B3-6C41-44DE-8503-98D99BBECD41} - No File

Toolbar: HKCU - No Name - {8660E5B3-6C41-44DE-8503-98D99BBECD41} - No File

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

CHR HKLM\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\DOCUME~1\kUlka\USTAWI~1\Temp\ccex.crx [2013-08-14]

S3 CiSvc; %SystemRoot%\system32\cisvc.exe [X]

S2 ERSvc; %SystemRoot%\System32\ersvc.dll [X]

S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]

S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]

S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]

S1 iSafeNetFilter; \??\C:\Program Files\iSafe\iSafeNetFilter.sys [X]

R4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]

U3 uxddqpog; \??\C:\DOCUME~1\kUlka\USTAWI~1\Temp\uxddqpog.sys [X]

C:\Documents and Settings\kUlka\Dane aplikacji\Toolbar4

C:\WINDOWS\Tasks\YourFile DownloaderUpdate.job

C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineCore.job

C:\Documents and Settings\kUlka\Dane aplikacji\CamLayout.ini

C:\Documents and Settings\kUlka\Dane aplikacji\CamShapes.ini

C:\Documents and Settings\All Users\nvwiz.exe

C:\Documents and Settings\Default User\ytb.exe

C:\Documents and Settings\kUlka\ytb.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

Odnośnik do komentarza

Logi zrobione oczywiscie po defragmentacji.
Savesense odinstalowany
Fixlist zrobiony. Wygenerowalo nowy plik. Laptop zdechł. Po włączeniu przeprowadzil sprawdzanie systemu plików na C. Sprawdzanie plików poszło gładko natomiast poziom 2 i 3 tj indeksy i deskryptory zabezpieczenia szły bardzo mozolnie.
Po skończeniu laptop zrobił restart i po 10 minutach załadował pulpit. załączam nowe logi oraz wygenerowany fixlog.

 

czekam na dalsze instrukcje.

Pozdrawiam :)

OTL.Txt

Addition.txt

Extras.Txt

Fixlog.txt

FRST.txt

Odnośnik do komentarza

pobrany, ustawiony, usunięte.

po restarcie pokazała mi się chmurka "alert zabezpieczeń systemu windows" (nie widziałem jej od baardzo dawna) zamieszczem nowe logi oraz log mbam

Edit.

Będąc w pracy dostałem od żony info że zniknęła ikona zasięgu wi-fi, "połączenia sieciowe" również sa puste... :( nie ma mozliwosci połączenia się z netem. . Wieć już się nasluchalem że to moja wina...

Pozdraiwam

MBAM-log-2014-02-05 (10-24-35).txt

OTL.Txt

Addition.txt

Extras.Txt

FRST.txt

Odnośnik do komentarza

zniknęła ikona zasięgu wi-fi, "połączenia sieciowe" również sa puste

Wieć już się nasluchalem że to moja wina...

Start >>> Run (Uruchom) >>> services.msc   Sprawdź czy masz włączoną usługę: Network Connections (Połączenia sieciowe)

 

Start >>> Uruchom >>> cmd i wpisz:

 

regsvr32 netshell.dll

regsvr32 netcfgx.dll

regsvr32 netman.dll

 

Reset komputera.

 

Wykonaj reset Repozytorium. Start > Uruchom > services.msc  i na liście zatrzymaj usługę Instrumentacja zarządzania Windows. Następnie skasuj cały folder C:\Windows\system32\wbem\repository. Wznów pracę usługi Instrumentacji

 

Masz XP na dodatek pirata, za 70 dni kończy się wsparcie dla tego systemu. Może zamiast męczyć się z tym systemem lepiej zainwestować kilka zł i przesiąść się na Vistę lub Windows 7. Sam zobacz co by tutaj nie ruszyć to pojawiają się kolejne problemy. Masz 3 GB RAM dysk ok. 250 GB, nie wiem tylko jaki procesor ma sprzęt - w takiej konfiguracji Vista czy 7 będą spokojnie pracować.

 

Daj znać jak poszło, bo jest jeszcze trochę do zrobienia.

Odnośnik do komentarza

net działał jak dotarłem do domu.

jak odpaliłem kompa wykonało się znowu spr. dysku C. nie wiem czemu wszystkie ikony i foldery wyleciały do C:\found.001

na chwilę obecną laptop chodzi bardzo chaotycznie (co chwila wentylator na pełnych obrotach), długo zamuje mu wykonanie niektórych  operacji, przywieszał się przy starcie na czarnym ekranie z migającym białym paskiem. musiałem po włączeniu wciskać F2 żeby wszystko poszło dalej.

załączam na wszelki wypadek najświeższe logi

Pozdrawiam

OTL.Txt

Addition.txt

Extras.Txt

FRST.txt

Odnośnik do komentarza

muzyk75

 

Piszesz że wykonałeś defragmentację, jak się to ma do aktualnośći logów z FRST i OTL? Zostały wykonane po defragmentacji czy przed ?

"Przed" i "po" nie ma znaczenia. Wykonanie defragmentacji nie ma odbicia w raportach FRST i OTL. Jedyny log mający cokolwiek zazębiającego się jawnie, to SecurityCheck z linią "Total Fragmentation on Drive C:", ale temu ufać nie można, na wielu systemach narzędzie nie jest w ogóle w stanie wykryć realnego progu defragmentacji.

 

 

 

Fiszer

 

Na początek podsumuję: tu nie było w raportach oznak czynnej infekcji w rozumieniu trojanów, tylko adware (w szczątkach). Ma się to nijak do wielu zgłoszonych problemów, które sugerują całkiem inny poziom usterek (Windows i sprzęt). Przeprowadzone tu czyszczenie możesz uznać za "kosmetyczne". Ono i tak nie jest skończone, ale tego na razie nie adresuję, gdyż w dalszej części neguję zasadność podejmowania jakichkolwiek drobnych akcji sprzątających w konfrontacji z resztą usterek.

 

 

połowa plików na komputerze jes zaatakowana wirusem szyfrującym

Widzę, że robiłeś już przymiarkę z C:\te94decrypt.exe od Doctor Web. To nie wygląda na poprawne narzędzie, mogło zaszkodzić (zmieniając tylko nazwy plików, niestety ich nie deszyfrując). Są wpisy w logu odpowiadające szyfrowaniu, czyli taki oto plik TXT w starcie oraz inny wpis z przyrostkiem "EnCiPhErEd":

 

Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\ĘŔĘ ĐŔŃŘČÔĐÎÂŔŇÜ ÔŔÉËŰ.txt ()

Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\Styler.lnk.EnCiPhErEd

 

Ów przyrostek "EnCiPhErEd" wskazuje, że należy użyć narzędzie F-Secure Ransomcrypt Decryption Script linkowane w przyklejonym: KLIK. Jednakże może się okazać (zwłaszcza po uprzednim majstrowaniu narzędziem Dr. Web), że tu się nie da już nic odszyfrować i nastąpi realna utrata danych.... Ogólnie rzecz biorąc to ta infekcja "EnCiPhErEd" jest stara i jest tu podejrzenie jej pobytu przez bardzo długi okres czasu, a w tym czasie mogły się dziać inne rzeczy, które jeszcze bardziej pogrążyły sprawę.

 

 

po restarcie pokazała mi się chmurka "alert zabezpieczeń systemu windows" (nie widziałem jej od baardzo dawna)

MBAM po prostu wykrył i "naprawił" błahą rzecz, czyli konfigurację wyłączonych alertów Centrum zabezpieczeń:

 

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.

HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji.

 

Z tym, że wątpliwe, by to pochodziło od infekcji. Jest tu "XP black edition v8.2", nienormalny XP z licznymi modyfikacjami. Takie przeróbki zwykle próbują mieszać w ustawieniach Centrum, albo wyłączając je tylko, albo kompletnie wycinając tęże usługę z systemu.

 

 

brakuje msconfig

Wygląda na kolejny skutek "XP black edition v8.2". Przypuszczalnie: ów msconfig.exe miał na przeróbce atypową lokalizację (czyli C:\Windows\system32), a że użyto ComboFix, który w ogóle nie uznaje żadnych przerobionych XP, to ComboFix usunął ten plik, gdyż nie spełnia warunków domyślnych. Tak to już jest na przeróbkach, powycinane / zmanipulowane za dużo, a domyślić się co jest standardem danej przeróbki to już zupełnie inna historia. I na takowym dziwie jest trudno diagnozować określone defekty. Zresztą muzyk75 już Ci zaczął tego Windowsa jeszcze bardziej molestować, bo usunął skryptem FRST usługi Windows CiSvc + ERSvc. One były poszkodowane nie dlatego, że coś tu się stało, tylko dlatego że ten "Black" miał te modyfikacje przeprowadzone w taki niedokładny sposób ...

 

 

Ten system i tak będzie do wymiany, prędzej i czy później, gdyż jak już wspominane kończy się wsparcie XP (KLIK). Ja tu zdecydowanie przychylam się do zdania muzyk75, że nie opłaca się czyścić i naprawiać tego lewego systemu. To nie jest spławianie Ciebie, tylko ocena zasadności działań, ich efektywności oraz czasu wykonania, który przekroczy stawianie nowego Windows. Podsumujmy:

- piracki zmodyfikowany system o trudnym zakresie oceny modyfikacji "Black"

- przestarzałe sterowniki i określone ingerencyjne programy (G Data InternetSecurity sprzed ponad 3 lat)

- śmietnik adware (częściowo usunięty, nadal jednak są odpadki w Google Chrome i Firefox), zaszyfrowane dane (dekrypcja na bardzo dalekim horyzoncie)

- defekty systemowe, brak msconfig.exe i nie wiadomo czego jeszcze oraz widoczne uszkodzenie WMI (nie zostało to w ogóle naprawione, nadal widać w raportach to uszkodzenie)

 

Na dodatek są problemy wskazujące na sprzęt i to jest obecnie problem nadrzędny.

 

 

Laptop zdechł. Po włączeniu przeprowadzil sprawdzanie systemu plików na C. Sprawdzanie plików poszło gładko natomiast poziom 2 i 3 tj indeksy i deskryptory zabezpieczenia szły bardzo mozolnie.

Po skończeniu laptop zrobił restart i po 10 minutach załadował pulpit.

 

(...)

 

jak odpaliłem kompa wykonało się znowu spr. dysku C. nie wiem czemu wszystkie ikony i foldery wyleciały do C:\found.001

C:\FOUND.00X powstaje, gdy zostały wykryte błędy struktury plików i wadliwe fragmenty zostały odcięte. Powtarzające się sprawdzanie dysku z wynikami w postaci odpadkowych danych może sugerować także ogólny problem z dyskiem.

 

Dodatkowa uwaga, w Dzienniku zdarzeń były błędy tego pokroju:

 

System errors:

=============

Error: (02/04/2014 00:17:07 PM) (Source: 0) (User: )

Description: \Device\Ide\IdePort0

 

Prawdopodobnie jest to skutek uruchomienia GMER. Do wglądu Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

grzeje się,

wyskakują blue screeny o ati2dvag.dll

(..)

laptop się przegrzewał i wyłączał to nawet nie doszedł do końca działania

Problemy sprzętowe (przede wszystkim "przegrzewanie się"), możliwe że i sterownikowe (jednakże BSOD punktujący sterownik graficzny ATI może być także odbiciem problemów sprzętowych a nie kłopotów z wersją sterownika per se). Toteż temat przenoszę do działu Hardware. Dostosuj się do zasad działu: KLIK. Gdy zostanie zdiagnozowany sprzęt i owe "grzanie się" w sposób jednoznaczny, moja kolejna rada to: reinstalacja XP z czystej niemodyfikowanej płyty (to załatwi wszystkie problemy stricte systemowe za jednym zamachem), a na dalszą metę rozważenie kompletnej wymiany systemu np. Windows 7 (Vista nie polecam, to także stary już system z ograniczonym wsparciem).

 

 

nie posiadam płyty z zainstalowanym windowsem

Niestety dalsze rozważania są już poza zakresem tego forum. Obecnie jest zainstalowana "z powietrza" piracka wersja XP. Użytkownik pokazujący tu taki typ systemu i mówiący, że nie ma płyty, nie może liczyć na to, że otrzyma wskazówki skąd zdobyć płytę metodami innymi niż legalne.

 

 

 

.

Odnośnik do komentarza

Czyli w zaistniałej sytuacji zostaje mi tylko format i wgrywanie nowszego systemu... :-( bo już na chwilę obecna laptop nie ląduje pulpitu. Mam tylko tło i "8" na środku. Jak się do niego dostanę n przewale laptop. Najważniejsze pliki przezuce na dysk zewnętrzny i zaopatrzenie się w 7. Skąd mogę zaciągnąć najpewniej odpowiednie sterowniki i jak przeprowadzic całkowity format ?

Odnośnik do komentarza

 

Skąd mogę zaciągnąć najpewniej odpowiednie sterowniki

Ze strony producenta sprzętu. Podaj markę i model laptopa.

 

 

jak przeprowadzic całkowity format ?

Zanim zrobisz format, przydałoby się sprawdzić i wyzerować dysk twardy MHDD oraz przeczyścić laptop z kurzu i najprawdopodobniej położyć nową pastę termoprzewodzącą.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...