Samoczynne wyłączanie się systemu

[Paragon16]

Witam,

przy próbie skanowania systemu programem HijackThis lub innym komputer mi się uruchamia ponownie. Wejście na stronę na której można sprawdzić logi programu HijackThis również uruchamia ponownie komputer.

W załączniku dodałem logi z programu OTL, proszę o pomoc.

Extras.Txt

OTL.Txt

FRST.txt

Addition.txt

gmer.txt

Shortcut.txt

[picasso]

Dostarczyłeś logi FRST ze strasznie starej wersji, która nie ma określonych skanów i komend:

 

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 21-07-2014 (ATTENTION: ====> FRST version is 95 days old and could be outdated)

 

Pomijając, że HijackThis to archaizm, z pewnością przyczyną niemożnością uruchomienia go i jemu podobnych są infekcje, conajmniej dwie: robak Brontok oraz wirus Jeefo atakujący pliki wykonywalne na wszystkich dyskach. Widocznym elementem Jeefo jest poniższa usługa, ale to jedynie cząstka problemu, pliki systemu i programów są infekowane i psute.

 

==================== Services (Whitelisted) =================
 

R2 PowerManager; C:\Windows\svchost.exe [36352 2001-08-24] (Microsoft Corporation) [File not signed]

 

 

Wstępne operacje:

 

1. Pobierz najnowszy FRST: KLIK. Jeśli nie da się z poziomu tego komputera, to skorzystaj z innego i za pomocą pendrive przenieś pobrany FRST. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R2 PowerManager; C:\Windows\svchost.exe [36352 2001-08-24] (Microsoft Corporation) [File not signed]
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\sempalong.exe [42675 2011-03-08] ()
HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\eksplorasi.exe" [42675 ] () 
HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Run: [Tok-Cirrhatus] => C:\Users\Damian\AppData\Local\smss.exe [42675 2011-03-08] ()
HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\Explorer: []
HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\Policies\Explorer: [NoFolderOptions] 1
HKU\S-1-5-21-2171216393-590708924-378717732-1000\...\MountPoints2: F - F:\Autorun.exe
Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt5] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt6] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt7] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers: [DropboxExt8] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt4] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt5] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt6] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt7] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File
ShellIconOverlayIdentifiers-x32: [DropboxExt8] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} => No File
Task: {10195F3A-9DAB-4D7B-A024-9C3B75D47462} - System32\Tasks\Seagate_Install_Launch => C:\Program Files (x86)\Seagate\Seagate Dashboard 2.0\Dashboard.exe
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - DefaultScope value is missing.
S3 OracleRemExecServiceV2; C:\Users\Damian\AppData\Local\Temp\\oraremservicev2\RemoteExecService.exe [X]
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Damian^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bron-Spizaetus" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Uploader" /f
CMD: for /d %f in (C:\Users\Damian\AppData\Local\*Bron*) do rd /s /q "%f"
C:\Program Files (x86)\Temp
C:\Users\Damian\AppData\Local\*.exe
C:\Users\Damian\AppData\Local\*Bron*
C:\Windows\eksplorasi.exe
C:\Windows\svchost.exe
C:\Windows\system32\Drivers\etc\hosts.new
C:\Windows\pss\Empty.pif.Startup
C:\Windows\ShellNew\sempalong.exe
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wykonaj skan za pomocą jeefogui.com.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[Paragon16]

Dzięki za odpowiedź. Lecz problem rozwiązałem przy pomocy programu Malwarebytes Anti-Malware usuwając wszystko co ten program uznał za  złośliwe.

[picasso]

Paragon16 nie tak szybko. MBAM nie jest programem antywirusowym i nie leczy wykonywalnych, więc sprawa infekcji Jeefo to tu raczej nadal aktualna. Poza tym, skoro coś usuwałeś, to proszę o: nowe logi z FRST wykazujące zmiany (przypominam: proszę pobierz najnowszą wersję programu) + pokazanie raportu z MBAM co usuwał.