Kilka wirusów

[Grigory]

Dobry wieczór dzisiaj na komputerze żony wyskoczył błąd: trwa zamykanie systemu... Proces systemowy C:\WINDOWS\system32\Issas.exe został nieoczekiwanie zakończony z kodem stanu 1073741819. Przeczytałem że może to być wirus, przeskanowałem Kasperski kilka wykrył nie wiem czy usunął (dziwny ten antyvirus). Załączam logi

FRST.txt

gmer.txt

Extras.Txt

Addition.txt

OTL.Txt

[picasso]

Proces systemowy C:\WINDOWS\system32\Issas.exe został nieoczekiwanie zakończony z kodem stanu 1073741819.

Z raportów nic nie wynika, ale wątpię w infekcję jako przyczynę. Na dysku widzę świeże pliki zrzutów pamięci w C:\WINDOWS\Minidump, więc ostatecznie jeszcze można je drążyć w oparciu o punkt 5 ogłoszenia: KLIK.

 

2014-08-16 19:26 - 2014-08-16 19:55 - 00114688 _____ () C:\WINDOWS\Minidump\Mini081614-01.dmp

2014-08-15 18:09 - 2014-08-15 19:44 - 00114688 _____ () C:\WINDOWS\Minidump\Mini081514-01.dmp

 

Dodam, że partycja systemowa jest sformatowana w archaicznym FAT32:

 

==================== Drives ================================
 

Drive c: (SYSTEMOWY) (Fixed) (Total:34.83 GB) (Free:9.11 GB) FAT32 ==>[Drive with boot components (Windows XP)]

Drive e: (MULTIMEDIA) (Fixed) (Total:56.2 GB) (Free:30.01 GB) NTFS

Drive f: () (Fixed) (Total:58 GB) (Free:6.43 GB) NTFS

Drive h: (Plus) (CDROM) (Total:0.01 GB) (Free:0 GB) CDFS

 

Rezultat to większa awaryjność obrazowana intensywnymi "naprawami" checkdiska:

 

2014-08-20 17:22 - 2014-08-20 17:22 - 00000000 __SHD () C:\FOUND.005

2014-08-16 19:55 - 2014-08-16 19:55 - 00000000 __SHD () C:\FOUND.004

2014-08-15 19:43 - 2014-08-15 19:43 - 00000000 __SHD () C:\FOUND.003

 

 

przeskanowałem Kasperski kilka wykrył nie wiem czy usunął (dziwny ten antyvirus).

Te tytułowe "kilka wirusów" w czym wykryte? Bez raportu nie jestem w stanie ocenić czy wyniki miały jakikolwiek związek oraz jaki był poziom zagrożeń. W podanych logach nie widzę wirusów / trojanów, tylko odpadkowy sterownik po adware ({9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt) i jakieś martwe wpisy sweet-page (nieistotne). I jest tu notowany jakiś niesprecyzowany problem z usługą MBAM - widnieje jako zablokowana, nie jest jasnym dlaczego (może uszkodzenie):

 

Locked "MBAMSwissArmy" service could not be unlocked.

 

Na razie doczyść śmieci i odpadki:

 

1. Odinstaluj zbędny Browser Configuration Utility.

 

2. Otwórz Notatnik i wklej w nim:

 

R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt; C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys [55224 2014-05-24] (StdLib)
C:\WINDOWS\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gt.sys
S3 gdrv; \??\C:\WINDOWS\gdrv.sys [X]
S3 StarOpen; No ImagePath
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1401005059&from=cor&uid=WDCXWD1600AAJS-00PSA0_WD-WMAP9144668346683&q={searchTerms}
SearchScopes: HKCU - {9EFF213E-EE6E-4319-9735-E6D65723236A} URL = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A4067623346&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4067623346
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Documents and Settings\użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\gaymxknm.default\searchplugins\avg-secure-search.xml
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\mozilla firefox\plugins
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
AV: AVG Anti-Virus Free Edition 2012 (Disabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstaller" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[Grigory]

Wykonane, dziękuję za instrukcje. MBAM nie działa mi obecnie ale działał. teraz próbuje ściągać aktualną bazę potem wyskakuje na czerwono błąd pobiera coś jeszcze i z powrotem, więc odinstalowałem.

(Z tym FAT32 to stara sprawa, przed konwersją zrobiłem kopię systemu/partycji Partition magic sektor po sektorze, następnie spaprałem coś w systemie chyba "odkurzaczem" i przestało działać USB więc również internet. Przywróciłem partycję z obrazu i dopiero narobiłem bałaganu, wyskoczył  kod błędu 0x80090006 https://www.fixitpc.pl/topic/23074-kod-b%C5%82%C4%99du0x80090006/ jak z tym się uporam to zrobię konwersję).

Fixlog.txt

FRST.txt

[Bonifacy]

 

 

MBAM nie działa mi obecnie ale działał. teraz próbuje ściągać aktualną bazę potem wyskakuje na czerwono błąd pobiera coś jeszcze i z powrotem, więc odinstalowałem

Zastosuj Malwarebytes Anti-Malware Cleanup Utility - http://www.softpedia.com/get/Antivirus/Malwarebytes-Anti-Malware-Cleanup-Utility.shtml , po czym ponów instalację MBAM.
Druga ewentualna opcja: Malwarebytes Chameleon - http://www.softpedia.com/get/Antivirus/Malwarebytes-Chameleon.shtml jeśli jakiś wirus blokuje MBAM.

 

Z tym FAT32 to stara sprawa

Swego czasu dostałeś ode mnie radę jak dokonać konwersji FAT32 --> NTFS ( nie chce mni się jej szukać: pamiętasz?). Nie skorzystałeś z niej...

[Grigory]

Tak Bonifacy mam tę instrukcję, na razie wolę się nie śpieszyć jak uporządkuję wszystko będę działać dalej . 

[picasso]

MBAM nie działa mi obecnie ale działał. teraz próbuje ściągać aktualną bazę potem wyskakuje na czerwono błąd pobiera coś jeszcze i z powrotem, więc odinstalowałem.

Deinstalacja programu usunęła zablokowaną usługę.

 

Wyniki Kasperskiego: ze spisu wynika, że zostały wykryte tylko obiekty w katalogu Przywracania systemu (C:\System Volume Information), czyli nieaktywne kopie, bez wpływu na system. Skrypt wykonany. W zakresie czyszczenia już tylko końcówka:

 

1. Usuń pobrane narzędzia diagnostyczne z F:\Pobierane pliki oraz odpadkowy plik C:\WINDOWS\system32\Drivers\mbamswissarmy.sys. Popraw DelFix.

 

2. Wyczyść foldery Przywracania systemu. KLIK.

 

3. Delikwenci do deinstalacji/aktualizacji:

 

==================== Installed Programs ======================
 

Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.0.32.18 - Adobe Systems Incorporated)

Adobe Flash Player 11 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 11.7.700.224 - Adobe Systems Incorporated)

Adobe Reader X (10.1.11) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.11 - Adobe Systems Incorporated)

Java™ 6 Update 31 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216031FF}) (Version: 6.0.310 - Oracle)

 

 

 

 

.