Skocz do zawartości

Zablokowana możliwość wyświetlania plików ukrytych


Rekomendowane odpowiedzi

Objawy infekcji:

- najważniejszy - samoistnie przywraca się opcja "Nie pokazuj ukrytych plików i folderów",

- wolna praca systemu,

- kliknięcie rolką myszy na linku w firefoxie otwiera kilka takich samych kart ze stroną klikniętego adresu (ale to może być kwestia wiekowości używanej myszki);

 

- i wcześniej (skan EsetNOD32 wyeliminował problem) zamierało połączenie z internetem (tzn ikona w tray'u pokazywała połączenie, ale skype się gubił, przeglądarki nie wyświetlały stron) - pomagał dopiero reset routera.

 

 

dotychczasowe działania:

- instalacja i uruchomienie skanu Eset NOD32: link do zrzutu kwarantanny http://img828.imageshack.us/img828/5860/kwarantannaeset.jpg oraz tekst pliku dziennika raport EsetNOD32.txt

- Użycie COMBOFix (niestety w zbyt wielu miejscach polecają to narzędzie nawet laikom komputerowym) - nie udane - po 50 etapie: niebieski ekran windows, na szczęście restart się powiódł ale nie mam żadnych plików raportów z działań ComboFixa

 

obowiązkowe logi:

- OTL: OTL.Txt, Extras.Txt

- RootRepeal (GMER od razu wywala do niebieskiego ekranu): RootRepeal report 12-25-10 (20-45-54).txt

- SecurityCheck:

Results of screen317's Security Check version 0.99.8

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

ESET Smart Security

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 23

Java 6 Update 7

Out of date Java installed!

Adobe Flash Player 10.0.45.2

Adobe Reader 9 Lite

Out of date Adobe Reader installed!

Mozilla Firefox (3.6.13)

Mozilla Thunderbird (2.0.0) Thunderbird Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

``````````End of Log````````````

 

 

Jak pozbyć się szkodników bez reinstalacji?

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

melduję:

0. Udało mi się uruchomić GMER w trybie awaryjnym (za pierwszym razem mimo, że skan ładnie przeszedł nie mogłem skopiować raportu, bo "buttonik-KOPIUJ" był niewidoczny - musiałem użyć ResizeEnable i odpalić GMER jeszcze raz i wtedy udało się przeskalować okno, wszystkie przyciski były widoczne, ale po kilkunastu godzinach skanowania system pracował tak wolno, że praktycznie skanowanie utknęło w miejscu, więc je przerwałem i skopiowałem to co zrobił do tej pory (jestem pewien, że jest to identyczne z tym co zrobił poprawnie do końca za pierwszym razem - więc chyba można potraktować że raport jest kompletny): gmer_TrybAwaryjny_2010.12.26 15.00.txt

 

i zgodnie z zaleceniami:

1. log z OTL na dodatkowym warunku i w oknie Własne opcje skanowania/Skrypt wpisz netsvcs a nastepnie kliknij w Skanuj (nie w Wykonaj skrypt): OTL_2010.12.26 15.33.Txt Extras_2010.12.26 15.33.txt

 

2. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport: UsbFix_2010.12.26 15.37.txt

 

Czekam na dalsze instrukcje.

Odnośnik do komentarza

Chciałem cichutko przypomnieć o moim problemie :( .

Jeśli ten przypadek wymaga dłuższej analizy to przepraszam za brak cierpliwości :unsure: .

 

Edit 2010.12.28 18:41:

Problem się powiększył - nie mogę uruchomić systemu - po mniej więcej 10s ładowania Windowsa pojawia się BlueScreen: unmountable boot volume linkBlueScreen. Tryb awaryjny też nie idzie.

Sprawdzałem w BIOS - dysk jest widoczny, i pod KNOPPIXem - daje się go odczytać. Może pomogłaby próba skorzystania z Konsoli Odzyskiwania, którą instalował swego czasu ComboFix - tylko ... nie wiem jak, i czy to pomoże, i nie chcę czegoś dodatkowo "sknocić". Poza tym jak pisałem działanie ComboFixa nie skończyło się normalnie. Ech ...

Odnośnik do komentarza

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
NetSvcs: hcscwtiq - C:\WINDOWS.0\System32\yfolfs.dll File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer.

 

 

 

 

Odnośnik do komentarza

raport OTL po wykonaniu skryptu:

OTL_postWykonajSkrypt_2010.12.29 22.15.txt

 

raport OTL po restarcie i skanowaniu:

OTL_2010.12.29 22.25.txt

ExtrasOTL_2010.12.29 22.25.txt

 

raport GMER (tryb awaryjny):

gmer_TrybAwaryjny_2010.12.30 02.19.txt

 

(w międzyczasie walczyłem z przegrzewającym się procesorem - zainstalowałem programik HWMonitor ver. 1.17.0 i zmieniłem wentylator)

Odnośnik do komentarza

1. Sprzątanie z OTL zrobione.

 

2. Przywracanie systemu wyzerowane.

 

wszystko wygląda ładnie przede wszystkim można zobaczyć pliki ukryte, ale:

 

3. Podpiąłem dysk twardy przez USB do innego komputera z zainstalowanym McAfee i wykonałem dokładny skan. McAfee wykrył kilka zainfekowanych plików i wrzucił do kwarantanny (niestety nie można zrobić z tego żadnego raportu, jak wrócę do domu do wrzucę PrintScreeny).

 

4. Jak wyleczyć i zabezpieczyć (najprawdopodobniej zainfekowane) karty pamięci używane za pośrednictwem czytnika na USB - czy załączyć raporty z opcji Listing z USBfix przy podpięciu każdego z nich?

 

5. Przez jakiś czas używałem tych kart pamięci na kilku komputerach (komp1: laptop WinXP+NOD32, komp2: netbook Win7_32bit+NOD32, komp3: stacjonarny Win7_64bit+McAfee, no i komp0: stacjonarny ten z tego wątku WinXP+różneTrialeAV a obecnieNOD32). AntyVir'y raportowały wykrycie i unieszkodliwienie zagrożeń. Ponieważ padał mi system na komp0 to w obawie przed awarią HDD skopiowałem na komp3 najważniejsze dla mnie pliki (jeszcze przed wyczyszczeniem infekcji z komp0). Potem po wyczyszczeniu infekcji, by dokończyć kopie bezpieczeństwa ważnych plików to co opisałem w pkt3.

Komp1,2,3, poza sygnalizacją AntyVir po włożeniu czytnika do USB raczej nie wykazują objawów infekcji tym bardziej, że komp2 i komp3 to nowe jednostki ze świeżo zainstalowanymi systemami.

Czy zasadne jest profilaktyczne wygenerowanie z komp1,2,3 logów obowiązkowych i wrzuceniu tu to analizy?

 

Edit:

dodanie oznaczeń wersji systemów Win7 w komp2 i komp3

Odnośnik do komentarza
Jak wyleczyć i zabezpieczyć (najprawdopodobniej zainfekowane) karty pamięci używane za pośrednictwem czytnika na USB - czy załączyć raporty z opcji Listing z USBfix przy podpięciu każdego z nich?

 

Dokładnie tak. Opcja Listing wszystko pokarze.

 

Czy zasadne jest profilaktyczne wygenerowanie z komp1,2,3 logów obowiązkowych i wrzuceniu tu to analizy?

 

Jeśli chcesz to możesz zrobić logi i pokazać do wglądu. Tylko zrób to czytelnie żeby się komputery nie pomieszały.

Edytowane przez picasso
31.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...