Blue Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Witam, nie było mnie kilka msc w domu i brat zrujnował PC A co dziwne używam NOD32 v8.Na początku nie chciało uruchomić się Centrum akcji windowsa (miał jakaś wiadomość), potem problem z nawiązaniem połączenia przez VPNOstatecznie nie uruchamiał się VirtualBox chociaż proces 8MB chodził w tle. Uruchomiłem ComboFix i wygląda że wszystko wróciło do normy, jednak czy jest możliwość by ktoś przejżał logi z systemu? Dodać jeszcze log z GMER, musiałbym odinstalowć wirtalny?Dodaje też log z CF. Dzięki z góry.PozdrawiamBlue PS Jak to możliwe że automatycznie mam avatar na forum? Addition.txt FRST.txt Shortcut.txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 PS Jak to możliwe że automatycznie mam avatar na forum? Użyty na forum e-mail jest tym samym, który jest związany z Gravatarem, o ile nie zmieniono w profilu na załadowanie inną metodą. Na początku nie chciało uruchomić się Centrum akcji windowsa (miał jakaś wiadomość), potem problem z nawiązaniem połączenia przez VPN Ostatecznie nie uruchamiał się VirtualBox chociaż proces 8MB chodził w tle. Uruchomiłem ComboFix i wygląda że wszystko wróciło do normy, jednak czy jest możliwość by ktoś przejżał logi z systemu? Temat przenoszę do działu Windows. ComboFix nie usuwał infekcji i nie ma też innych śladów tego typu. Problem był innej natury. Trudno stwierdzić jakiej, skoro brak raportów sprzed operacji ComboFix, ale Dziennik zdarzeń ma następujące rekordy: Application errors: ================== Error: (02/02/2015 07:39:43 PM) (Source: MsiInstaller) (EventID: 11920) (User: Szymon-i7) Description: Product: VMware Workstation -- Error 1920. Service 'VMware Authorization Service' (VMAuthdService) failed to start. Verify that you have sufficient privileges to start system services. Error: (02/02/2015 05:42:59 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: ) Description: Przetwarzanie wywołania OnIdentity() w obiekcie System Writer przez Usługi kryptograficzne nie powiodło się. Details: AddWin32ServiceFiles: Unable to back up image of service CyberGhost 5 Client Service since QueryServiceConfig API failed System Error: Nie można odnaleźć określonego pliku. . Error: (02/02/2015 05:42:58 PM) (Source: VSS) (EventID: 8194) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas badania interfejsu IVssWriterCallback. hr = 0x80070005, Odmowa dostępu. . To jest często spowodowane przez niepoprawne ustawienia zabezpieczeń w procesie zapisującym lub żądającym. Operacja: Zbieranie danych modułu zapisującego Kontekst: Identyfikator klasy modułu zapisującego: {e8132975-6f93-4464-a53e-1050253ae220} Nazwa modułu zapisującego: System Writer Identyfikator wystąpienia modułu zapisującego: {0148cc3e-91fb-4cfa-843c-7d584b6c6c98} Error: (02/02/2015 05:42:40 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: ) Description: Przetwarzanie wywołania OnIdentity() w obiekcie System Writer przez Usługi kryptograficzne nie powiodło się. Details: AddWin32ServiceFiles: Unable to back up image of service CyberGhost 5 Client Service since QueryServiceConfig API failed System Error: Nie można odnaleźć określonego pliku. . Error: (02/02/2015 05:42:39 PM) (Source: VSS) (EventID: 8194) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas badania interfejsu IVssWriterCallback. hr = 0x80070005, Odmowa dostępu. . To jest często spowodowane przez niepoprawne ustawienia zabezpieczeń w procesie zapisującym lub żądającym. Operacja: Zbieranie danych modułu zapisującego Kontekst: Identyfikator klasy modułu zapisującego: {e8132975-6f93-4464-a53e-1050253ae220} Nazwa modułu zapisującego: System Writer Identyfikator wystąpienia modułu zapisującego: {0148cc3e-91fb-4cfa-843c-7d584b6c6c98} Error: (02/02/2015 05:38:19 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: ) Description: Przetwarzanie wywołania OnIdentity() w obiekcie System Writer przez Usługi kryptograficzne nie powiodło się. Details: AddWin32ServiceFiles: Unable to back up image of service CyberGhost 5 Client Service since QueryServiceConfig API failed System Error: Nie można odnaleźć określonego pliku. . Error: (02/02/2015 05:31:50 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 513) (User: ) Description: Przetwarzanie wywołania OnIdentity() w obiekcie System Writer przez Usługi kryptograficzne nie powiodło się. Details: AddWin32ServiceFiles: Unable to back up image of service CyberGhost 5 Client Service since QueryServiceConfig API failed System Error: Nie można odnaleźć określonego pliku. . Error: (02/02/2015 05:31:50 PM) (Source: VSS) (EventID: 8194) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas badania interfejsu IVssWriterCallback. hr = 0x80070005, Odmowa dostępu. . To jest często spowodowane przez niepoprawne ustawienia zabezpieczeń w procesie zapisującym lub żądającym. Operacja: Zbieranie danych modułu zapisującego Kontekst: Identyfikator klasy modułu zapisującego: {e8132975-6f93-4464-a53e-1050253ae220} Nazwa modułu zapisującego: System Writer Identyfikator wystąpienia modułu zapisującego: {0148cc3e-91fb-4cfa-843c-7d584b6c6c98} Error: (02/02/2015 05:29:34 PM) (Source: VSS) (EventID: 8194) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas badania interfejsu IVssWriterCallback. hr = 0x80070005, Odmowa dostępu. . To jest często spowodowane przez niepoprawne ustawienia zabezpieczeń w procesie zapisującym lub żądającym. Operacja: Zbieranie danych modułu zapisującego Kontekst: Identyfikator klasy modułu zapisującego: {e8132975-6f93-4464-a53e-1050253ae220} Nazwa modułu zapisującego: System Writer Identyfikator wystąpienia modułu zapisującego: {0148cc3e-91fb-4cfa-843c-7d584b6c6c98} To nie wygląda na ingerencje infekcji, a błędy typu "Odmowa dostępu" to prędzej pasują do interferencji ESET. PS. Możesz wykonać kosmetykę, tzn. usunięcie martwych usług (m.in. VirtualBox i VMWare), pustych skrótów oraz sztucznych tworów dodanych przez ComboFix. W spoilerze operacja: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 VBoxUSB; C:\Windows\System32\Drivers\VBoxUSB.sys [113952 2014-02-25] (Oracle Corporation) S2 VMUSBArbService; "C:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator64.exe" [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz136; \??\F:\TEMP\cpuz136\cpuz136_x64.sys [X] U2 V2iMount; No ImagePath S3 VBoxNetAdp; system32\DRIVERS\VBoxNetAdp.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 XFDriver64; \??\E:\Xfire_New\XFDriver64.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3380270715-3188171858-2067456427-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3380270715-3188171858-2067456427-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch C:\ProgramData\McAfee C:\ProgramData\TEMP C:\ProgramData\VMware C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mp3tag C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HDDlife C:\Users\Szymon\.VirtualBox C:\Windows\System32\Drivers\VBoxUSB.sys C:\Windows\SysWOW64\%TMP% Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Odnośnik do komentarza
Blue Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Dzięki za pomoc, log z kosmetyki na dole. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2015 Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Fix wykonany. Skasuj G:\FRTST. Następnie zastosuj DelFix, usuń też wszystkie Java i zastąp najnowszą wersja: KLIK. Odnośnik do komentarza
Blue Opublikowano 4 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2015 Dzięki raz jeszcze za pomoc. Jave odinstalowałem, gdy będzie mi potrzebna dopiero zainstaluje. LOG z DelFixa na dole.Czy coś jeszcze? DelFix.txt Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2015 Zgłoś Udostępnij Opublikowano 5 Lutego 2015 Skasuj plik C:\Delfix.txt z dysku. To wszystko. Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi