Fiszer Opublikowano 4 Lutego 2014 Zgłoś Udostępnij Opublikowano 4 Lutego 2014 Witam. Zabrałem się za pożądki w laptopie żony. niestety jest całkowity nieład. brakuje msconfig. "mój komputer" ładuje sie 2 minuty połowa plików na komputerze jes zaatakowana wirusem szyfrującym laptop bardzo długo się włącza grzeje się, zacina, wyskakują blue screeny o ati2dvag.dll jest problem z automatycznym powiązaniem z siecią wi-fi ktoś jest w stanie pomóć mi się z tym uporać ? ze zdobytych informacji wiem że system nie jest orginalny, servis pack 3 win Xp black edition v8.2 nie posiadam płyty z zainstalowanym windowsem dodam Tylko ze zdążyłem wyczyścic lapka w środku porządnie i położyłem świerzą pstę. oraz wykonałem defragmentację dysków C i D. oraz dodaje raporty z otl, frst,gmer i security checka (w poście) bo wyczytałem że trzeba z dalszych info jakie wyczytałem, to wiem że żona używała sporo ccleanerai ponoć użyła combofixa! (bo ktoś jej zalecał, a że laptop się przegrzewał i wyłączał to nawet nie doszedł do końca działania) Results of screen317's Security Check version 0.99.79 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` WMI entry may not exist for antivirus; attempting automatic update. `````````Anti-malware/Other Utilities Check:````````` TuneUp Utilities Language Pack (pl-PL) CCleaner Java 7 Update 51 Adobe Flash Player 12.0.0.43 Adobe Reader XI Mozilla Firefox (26.0) Mozilla Thunderbird (24.1.0) Google Chrome 32.0.1700.102 Google Chrome 32.0.1700.76 Google Chrome plugins... ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` pozdrawiam Serdecznie Fiszer gmer.txt OTL.Txt Addition.txt Extras.Txt FRST.txt Odnośnik do komentarza
muzyk75 Opublikowano 4 Lutego 2014 Zgłoś Udostępnij Opublikowano 4 Lutego 2014 ze zdobytych informacji wiem że system nie jest orginalny, servis pack 3 win Xp black edition v8.2 Generalnie powinieneś dostać bana na forum. Na wirusa szyfrującego nic nie poradzę. Piszesz że wykonałeś defragmentację, jak się to ma do aktualnośći logów z FRST i OTL? Zostały wykonane po defragmentacji czy przed ? Programy i funkcje - odinstaluj: SaveSense Na wszelki wypadek: Otwórz notatnik i wklej: Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files\SaveSenseLive\Update\SaveSenseLive.exe <==== ATTENTION Task: C:\WINDOWS\Tasks\YourFile DownloaderUpdate.job => C:\Program Files\YourFileDownloader\YourFileUpdater.exe <==== ATTENTION HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.qooqlle.com/ HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.myhoome.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.myhoome.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myhoome.com/ SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - DefaultScope 241433449C2C40FBAB5CC8929A5B3533 URL = http://mystart.incredibar.com/mb203?a=6PQWPYpgc3&search={searchTerms}&i=26 SearchScopes: HKCU - 241433449C2C40FBAB5CC8929A5B3533 URL = http://mystart.incredibar.com/mb203?a=6PQWPYpgc3&search={searchTerms}&i=26 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {3DFAB2B5-06E7-44C1-98D8-137B4EEBA75B} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=86E3FCA1-C622-41A0-9EA6-4FED90173C81&apn_sauid=7C2EE6B1-2287-457F-BDFC-51E99C71A73C SearchScopes: HKCU - {42168F92-DA71-42E6-BC7F-132EAC1F1899} URL = http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F <===== ATTENTION BHO: No Name - {71e129ff-6c2a-4984-818c-7e2c998b8d99} - No File Toolbar: HKLM - No Name - {8660E5B3-6C41-44DE-8503-98D99BBECD41} - No File Toolbar: HKCU - No Name - {8660E5B3-6C41-44DE-8503-98D99BBECD41} - No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKLM\...\Chrome\Extension: [pacgpkgadgmibnhpdidcnfafllnmeomc] - C:\DOCUME~1\kUlka\USTAWI~1\Temp\ccex.crx [2013-08-14] S3 CiSvc; %SystemRoot%\system32\cisvc.exe [X] S2 ERSvc; %SystemRoot%\System32\ersvc.dll [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S1 iSafeNetFilter; \??\C:\Program Files\iSafe\iSafeNetFilter.sys [X] R4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U3 uxddqpog; \??\C:\DOCUME~1\kUlka\USTAWI~1\Temp\uxddqpog.sys [X] C:\Documents and Settings\kUlka\Dane aplikacji\Toolbar4 C:\WINDOWS\Tasks\YourFile DownloaderUpdate.job C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineCore.job C:\Documents and Settings\kUlka\Dane aplikacji\CamLayout.ini C:\Documents and Settings\kUlka\Dane aplikacji\CamShapes.ini C:\Documents and Settings\All Users\nvwiz.exe C:\Documents and Settings\Default User\ytb.exe C:\Documents and Settings\kUlka\ytb.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Odnośnik do komentarza
Fiszer Opublikowano 5 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2014 Logi zrobione oczywiscie po defragmentacji.Savesense odinstalowanyFixlist zrobiony. Wygenerowalo nowy plik. Laptop zdechł. Po włączeniu przeprowadzil sprawdzanie systemu plików na C. Sprawdzanie plików poszło gładko natomiast poziom 2 i 3 tj indeksy i deskryptory zabezpieczenia szły bardzo mozolnie.Po skończeniu laptop zrobił restart i po 10 minutach załadował pulpit. załączam nowe logi oraz wygenerowany fixlog. czekam na dalsze instrukcje. Pozdrawiam OTL.Txt Addition.txt Extras.Txt Fixlog.txt FRST.txt Odnośnik do komentarza
muzyk75 Opublikowano 5 Lutego 2014 Zgłoś Udostępnij Opublikowano 5 Lutego 2014 Pobierz Malwarebytes Anti-Malware https://www.malwarebytes.org/w zakładce ustawienia-->ustawienia skanera zaznacz PUP , PUM -->pokazuj i zaznacz przy usuwaniu. Załącz log z MBAM, a to co znajdzie usuń. Odnośnik do komentarza
Fiszer Opublikowano 5 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2014 pobrany, ustawiony, usunięte. po restarcie pokazała mi się chmurka "alert zabezpieczeń systemu windows" (nie widziałem jej od baardzo dawna) zamieszczem nowe logi oraz log mbam Edit. Będąc w pracy dostałem od żony info że zniknęła ikona zasięgu wi-fi, "połączenia sieciowe" również sa puste... nie ma mozliwosci połączenia się z netem. . Wieć już się nasluchalem że to moja wina... Pozdraiwam MBAM-log-2014-02-05 (10-24-35).txt OTL.Txt Addition.txt Extras.Txt FRST.txt Odnośnik do komentarza
muzyk75 Opublikowano 5 Lutego 2014 Zgłoś Udostępnij Opublikowano 5 Lutego 2014 zniknęła ikona zasięgu wi-fi, "połączenia sieciowe" również sa puste Wieć już się nasluchalem że to moja wina... Start >>> Run (Uruchom) >>> services.msc Sprawdź czy masz włączoną usługę: Network Connections (Połączenia sieciowe) Start >>> Uruchom >>> cmd i wpisz: regsvr32 netshell.dll regsvr32 netcfgx.dll regsvr32 netman.dll Reset komputera. Wykonaj reset Repozytorium. Start > Uruchom > services.msc i na liście zatrzymaj usługę Instrumentacja zarządzania Windows. Następnie skasuj cały folder C:\Windows\system32\wbem\repository. Wznów pracę usługi Instrumentacji Masz XP na dodatek pirata, za 70 dni kończy się wsparcie dla tego systemu. Może zamiast męczyć się z tym systemem lepiej zainwestować kilka zł i przesiąść się na Vistę lub Windows 7. Sam zobacz co by tutaj nie ruszyć to pojawiają się kolejne problemy. Masz 3 GB RAM dysk ok. 250 GB, nie wiem tylko jaki procesor ma sprzęt - w takiej konfiguracji Vista czy 7 będą spokojnie pracować. Daj znać jak poszło, bo jest jeszcze trochę do zrobienia. Odnośnik do komentarza
Fiszer Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 net działał jak dotarłem do domu. jak odpaliłem kompa wykonało się znowu spr. dysku C. nie wiem czemu wszystkie ikony i foldery wyleciały do C:\found.001 na chwilę obecną laptop chodzi bardzo chaotycznie (co chwila wentylator na pełnych obrotach), długo zamuje mu wykonanie niektórych operacji, przywieszał się przy starcie na czarnym ekranie z migającym białym paskiem. musiałem po włączeniu wciskać F2 żeby wszystko poszło dalej. załączam na wszelki wypadek najświeższe logi Pozdrawiam OTL.Txt Addition.txt Extras.Txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2014 Zgłoś Udostępnij Opublikowano 6 Lutego 2014 muzyk75 Piszesz że wykonałeś defragmentację, jak się to ma do aktualnośći logów z FRST i OTL? Zostały wykonane po defragmentacji czy przed ? "Przed" i "po" nie ma znaczenia. Wykonanie defragmentacji nie ma odbicia w raportach FRST i OTL. Jedyny log mający cokolwiek zazębiającego się jawnie, to SecurityCheck z linią "Total Fragmentation on Drive C:", ale temu ufać nie można, na wielu systemach narzędzie nie jest w ogóle w stanie wykryć realnego progu defragmentacji. Fiszer Na początek podsumuję: tu nie było w raportach oznak czynnej infekcji w rozumieniu trojanów, tylko adware (w szczątkach). Ma się to nijak do wielu zgłoszonych problemów, które sugerują całkiem inny poziom usterek (Windows i sprzęt). Przeprowadzone tu czyszczenie możesz uznać za "kosmetyczne". Ono i tak nie jest skończone, ale tego na razie nie adresuję, gdyż w dalszej części neguję zasadność podejmowania jakichkolwiek drobnych akcji sprzątających w konfrontacji z resztą usterek. połowa plików na komputerze jes zaatakowana wirusem szyfrującym Widzę, że robiłeś już przymiarkę z C:\te94decrypt.exe od Doctor Web. To nie wygląda na poprawne narzędzie, mogło zaszkodzić (zmieniając tylko nazwy plików, niestety ich nie deszyfrując). Są wpisy w logu odpowiadające szyfrowaniu, czyli taki oto plik TXT w starcie oraz inny wpis z przyrostkiem "EnCiPhErEd": Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\ĘŔĘ ĐŔŃŘČÔĐÎÂŔŇÜ ÔŔÉËŰ.txt () Startup: C:\Documents and Settings\Default User\Menu Start\Programy\Autostart\Styler.lnk.EnCiPhErEd Ów przyrostek "EnCiPhErEd" wskazuje, że należy użyć narzędzie F-Secure Ransomcrypt Decryption Script linkowane w przyklejonym: KLIK. Jednakże może się okazać (zwłaszcza po uprzednim majstrowaniu narzędziem Dr. Web), że tu się nie da już nic odszyfrować i nastąpi realna utrata danych.... Ogólnie rzecz biorąc to ta infekcja "EnCiPhErEd" jest stara i jest tu podejrzenie jej pobytu przez bardzo długi okres czasu, a w tym czasie mogły się dziać inne rzeczy, które jeszcze bardziej pogrążyły sprawę. po restarcie pokazała mi się chmurka "alert zabezpieczeń systemu windows" (nie widziałem jej od baardzo dawna) MBAM po prostu wykrył i "naprawił" błahą rzecz, czyli konfigurację wyłączonych alertów Centrum zabezpieczeń: HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Złe: (1) Dobre: (0) -> Nie wykonano akcji. Z tym, że wątpliwe, by to pochodziło od infekcji. Jest tu "XP black edition v8.2", nienormalny XP z licznymi modyfikacjami. Takie przeróbki zwykle próbują mieszać w ustawieniach Centrum, albo wyłączając je tylko, albo kompletnie wycinając tęże usługę z systemu. brakuje msconfig Wygląda na kolejny skutek "XP black edition v8.2". Przypuszczalnie: ów msconfig.exe miał na przeróbce atypową lokalizację (czyli C:\Windows\system32), a że użyto ComboFix, który w ogóle nie uznaje żadnych przerobionych XP, to ComboFix usunął ten plik, gdyż nie spełnia warunków domyślnych. Tak to już jest na przeróbkach, powycinane / zmanipulowane za dużo, a domyślić się co jest standardem danej przeróbki to już zupełnie inna historia. I na takowym dziwie jest trudno diagnozować określone defekty. Zresztą muzyk75 już Ci zaczął tego Windowsa jeszcze bardziej molestować, bo usunął skryptem FRST usługi Windows CiSvc + ERSvc. One były poszkodowane nie dlatego, że coś tu się stało, tylko dlatego że ten "Black" miał te modyfikacje przeprowadzone w taki niedokładny sposób ... Ten system i tak będzie do wymiany, prędzej i czy później, gdyż jak już wspominane kończy się wsparcie XP (KLIK). Ja tu zdecydowanie przychylam się do zdania muzyk75, że nie opłaca się czyścić i naprawiać tego lewego systemu. To nie jest spławianie Ciebie, tylko ocena zasadności działań, ich efektywności oraz czasu wykonania, który przekroczy stawianie nowego Windows. Podsumujmy: - piracki zmodyfikowany system o trudnym zakresie oceny modyfikacji "Black" - przestarzałe sterowniki i określone ingerencyjne programy (G Data InternetSecurity sprzed ponad 3 lat) - śmietnik adware (częściowo usunięty, nadal jednak są odpadki w Google Chrome i Firefox), zaszyfrowane dane (dekrypcja na bardzo dalekim horyzoncie) - defekty systemowe, brak msconfig.exe i nie wiadomo czego jeszcze oraz widoczne uszkodzenie WMI (nie zostało to w ogóle naprawione, nadal widać w raportach to uszkodzenie) Na dodatek są problemy wskazujące na sprzęt i to jest obecnie problem nadrzędny. Laptop zdechł. Po włączeniu przeprowadzil sprawdzanie systemu plików na C. Sprawdzanie plików poszło gładko natomiast poziom 2 i 3 tj indeksy i deskryptory zabezpieczenia szły bardzo mozolnie. Po skończeniu laptop zrobił restart i po 10 minutach załadował pulpit. (...) jak odpaliłem kompa wykonało się znowu spr. dysku C. nie wiem czemu wszystkie ikony i foldery wyleciały do C:\found.001 C:\FOUND.00X powstaje, gdy zostały wykryte błędy struktury plików i wadliwe fragmenty zostały odcięte. Powtarzające się sprawdzanie dysku z wynikami w postaci odpadkowych danych może sugerować także ogólny problem z dyskiem. Dodatkowa uwaga, w Dzienniku zdarzeń były błędy tego pokroju: System errors: ============= Error: (02/04/2014 00:17:07 PM) (Source: 0) (User: ) Description: \Device\Ide\IdePort0 Prawdopodobnie jest to skutek uruchomienia GMER. Do wglądu Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. grzeje się, wyskakują blue screeny o ati2dvag.dll (..) laptop się przegrzewał i wyłączał to nawet nie doszedł do końca działania Problemy sprzętowe (przede wszystkim "przegrzewanie się"), możliwe że i sterownikowe (jednakże BSOD punktujący sterownik graficzny ATI może być także odbiciem problemów sprzętowych a nie kłopotów z wersją sterownika per se). Toteż temat przenoszę do działu Hardware. Dostosuj się do zasad działu: KLIK. Gdy zostanie zdiagnozowany sprzęt i owe "grzanie się" w sposób jednoznaczny, moja kolejna rada to: reinstalacja XP z czystej niemodyfikowanej płyty (to załatwi wszystkie problemy stricte systemowe za jednym zamachem), a na dalszą metę rozważenie kompletnej wymiany systemu np. Windows 7 (Vista nie polecam, to także stary już system z ograniczonym wsparciem). nie posiadam płyty z zainstalowanym windowsem Niestety dalsze rozważania są już poza zakresem tego forum. Obecnie jest zainstalowana "z powietrza" piracka wersja XP. Użytkownik pokazujący tu taki typ systemu i mówiący, że nie ma płyty, nie może liczyć na to, że otrzyma wskazówki skąd zdobyć płytę metodami innymi niż legalne. . Odnośnik do komentarza
Fiszer Opublikowano 6 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2014 Czyli w zaistniałej sytuacji zostaje mi tylko format i wgrywanie nowszego systemu... :-( bo już na chwilę obecna laptop nie ląduje pulpitu. Mam tylko tło i "8" na środku. Jak się do niego dostanę n przewale laptop. Najważniejsze pliki przezuce na dysk zewnętrzny i zaopatrzenie się w 7. Skąd mogę zaciągnąć najpewniej odpowiednie sterowniki i jak przeprowadzic całkowity format ? Odnośnik do komentarza
muzyk75 Opublikowano 7 Lutego 2014 Zgłoś Udostępnij Opublikowano 7 Lutego 2014 Skąd mogę zaciągnąć najpewniej odpowiednie sterowniki Ze strony producenta sprzętu. Podaj markę i model laptopa. jak przeprowadzic całkowity format ? Zanim zrobisz format, przydałoby się sprawdzić i wyzerować dysk twardy MHDD oraz przeczyścić laptop z kurzu i najprawdopodobniej położyć nową pastę termoprzewodzącą. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się