defqon Opublikowano 1 Lutego 2011 Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Od pewnego czasu gdy włączam komputer juz przy napisie Zapraszamy stacja dyskietek włącza się przez jakies 8 sekund. A gdy włącze jakis program albo mój komputer tak samo. hijack nic nie wykrył zaś combofix pokazał informacje, że wykryto rootkit i nalezy uruchomić ponownie komputer. Po uruchomieniu z powrotem skanował od nowa, ale nadal stacja wariuje. I nie wiem czy usunął ten wirus czy nie. Za nie właściwe miejsce dodania bardzo przepraszam, bo nie wiedziałem gdzie go umieścić. Załączam log z combofix ComboFix.txt Dodaje OTL Extras.Txt OTL.Txt Gdzy skanuje się w GMER to po pewnym czasie sie komputer resetuje. Gdzy skończy skanowanie C i zaczyna skanować jakieś krótkie to wtedy nastepuje reset Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2011 Zgłoś Udostępnij Opublikowano 1 Lutego 2011 (edytowane) 1. Nie dodałeś pełnego raportu z OTL, tylko plik Extras dołączyłeś. EDIT: ale proszę nie usuwaj ComboFix! On musi też być podany do wglądu. Proszę ponownie go doczep. 2. W kwestii GMER: jest w ComboFix widzialny sterownik emulacji napędów wirtualnych SPTD, choć na statusie zatrzymanym, ale jest niejasnym czy to stan aktualny i proszę przeprowadź proces deinstalacji sterownika SPTD: KLIK. Po restarcie komputera, jeśli GMER nadal nie będzie mógł ukończyć skanu spróbuj z poziomu Trybu awaryjnego Windows. Edytowane 1 Lutego 2011 przez picasso Odnośnik do komentarza
defqon Opublikowano 1 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2011 W awaryjnym też się resetuje ;/ Odnośnik do komentarza
DragonFire Opublikowano 1 Lutego 2011 Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Skończy się to reinstalką systemu - mnie na to nic nie pomogło Tymczasowo, jeśli nie korzystasz ze stacji dyskietek, możesz wyłączyć jej sterownik w menadżerze urządzeń. A na przyszłość sprawdzaj wszystkie pliki, jakie pobierasz z niezbyt legalnych źródeł - bo raczej tylko w ten sposób się tego nabawiłeś - na stronie virustotal.com, bo to się na prawdę może skończyć dla Ciebie katastrofą. Odnośnik do komentarza
defqon Opublikowano 1 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2011 A jak nie usune to co może się stać ? Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2011 Zgłoś Udostępnij Opublikowano 1 Lutego 2011 defqon mówiłam = proszę nie usuwaj tego loga z ComboFix. Zrobiłeś to mimo dwukrotnych nakazów, by tego nie robić. Proszę go ponownie dołączyć w pierwszym poście do zestawu logów, bo musi być podane co robił, a ja nie pamiętam go co do kropki. Kolejna konsekwencja: inne osoby nie mają pojęcia co tam było i oceniają na oko infekcję. Zgłoszenie o rootkicie od niego = powątpiewam, że to było rzeczywiście związane z rootkitem. Przy okazji: mam nadzieję, że dokładnie poczytałeś o tym, iż uruchomienie ComboFix na własną rękę było niepożądane. 1. W kwestii tej dyskietki, rozpocznij od najprostszej rzeczy: konfiguracji Avasta. Przewertuj opcje i wyłącz wszystko co może być związane z dyskietką. Pierwsza z brzegu opcja w osłonie: 2. W kwestii tego wpisu w OTL: O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - File not found Start > Uruchom > regedit i z prawokliku wyeksportuj ten klucz do pliku REG: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5 Plik REG otwórz w Notatniku i przeklej zawartość do posta. . Odnośnik do komentarza
defqon Opublikowano 1 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Nie wiem czy dobrze zrobiłem, ale mysle że tak. Skanowałem też mks vir online i znalazł mi trojany i agenty tylko nie wiem czemu w combofix g.txt Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2011 Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Co z ustawieniami dyskietki w Avast? Nie wiem czy dobrze zrobiłem, ale mysle że tak. Do czego się odnosi ten komentarz? Skanowałem też mks vir online i znalazł mi trojany i agenty Skaner MKS to był dobry kilka lat temu. Aktualnie nie pokładam w nim żadnej wiary. Są lepsze skanery. To co wykrył to obiekty w System Volume Information (cache Przywracania systemu) i jeszcze nie czas na czyszczenie tego. Zadaję to zawsze na samym końcu, gdy zostaną przeprowadzone wszystkie akcje mające wpływ na konstrukcję punktu Przywracania systemu. Tu jeszcze nie skończyliśmy, będą kolejne zmiany, dlatego nie dostajesz instrukcji na tym etapie. MKS do czyszczenia tego zbędny, to i tak zniknie na skutek moich późniejszych akcji i to procesem poprawniejszym niż rżnięcie antywirusa po punktach przywracania. tylko nie wiem czemu w combofix Czy przeczytałeś opis ComboFix? Albo wcale, albo niedokładnie. Jest wyraźnie napisane jaki konflikt jest między ComboFix a antywirusami i co należy zrobić = nie dopuszczać antywirusa do składników ComboFix. Proszę nie podejmuj chaotycznych akcji na własną rękę, skoro nie potrafisz ocenić tego samodzielnie. Oceniając wygląd klucza, jest to poszkodowany wpis po Bonjour. Skorygujesz to wg następujących kroków: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000003 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Po tym zresetuj komputer. 2. Wygeneruj nowe logi z OTL dla potwierdzenia zmian i umieść je w nowym poście - nie zamieniaj logów pokazanych wcześniej! Za to ponownie proszę o przywrócenie oryginalnego loga z ComboFix do pierwszego posta. Ja muszę mieć w tym temacie wgląd do tego, by na bieżąco oceniać konsekwencje i porównywać. . Odnośnik do komentarza
defqon Opublikowano 1 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Dodałem log combofix i dziwne, bo zrobiłem drugi raz i znowu ukazało sie, że wykryto szkodliwe... typu rootkit i zalecane ponownie uruchomienie. Wziąłem ok i po restarcie podczas skanowania praktycznie cały czas odzywała się stacja dyskietek aż w nerw mozna by wpaść tak długo chodziła Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2011 Zgłoś Udostępnij Opublikowano 1 Lutego 2011 defqon proszę czytaj mnie uważnie. Ja w żadnym wypadku nie prosiłam o ponowne uruchamianie ComboFix! Ja prosiłam tylko i wyłącznie o dodanie loga, który powstał wtedy z pierwszego uruchomienia. Tylko ten log (ponieważ on pokazuje co usuwał), nie nowy log, który jest inny i kompletnie nie odpowiada tamtej sytuacji. Proszę wejdź do C:\Qoobox i wyciągnij stamtąd log z pierwszego uruchomienia. i znowu ukazało sie, że wykryto szkodliwe... typu rootkit i zalecane ponownie uruchomienie Póki co, nic nie wskazuje tu na rootkita. Mam jednak pytanie: czy ComboFix uruchamiasz zgodnie ze wskazówkami, tzn. całkowicie wyłączone osłony Avast? Nie może działać w ogóle w tle osłona rezydentna antywirusów. Wziąłem ok i po restarcie podczas skanowania praktycznie cały czas odzywała się stacja dyskietek aż w nerw mozna by wpaść tak długo chodziła Pytam po raz drugi: co z konfiguracją opcji Avast, by nie skanował w ogóle dyskietek? . Odnośnik do komentarza
defqon Opublikowano 1 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Wyłączam avast i zapore w windowsie, a dopiero póxniej włączam combo. A co podałaś screen do avasta to nie mam w ustawieniach takich opcjiComboFix2.txt Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2011 Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Wyłączam avast W jaki sposób? Czy to jest: Sterowanie osłonami Avast > Wyłącz na stałe > restart komputera i dopiero wtedy uruchomiony ComboFix? A co podałaś screen do avasta to nie mam w ustawieniach takich opcji Sprawdź to jeszcze raz: Osłony w czasie rzeczywistym > Osłona systemu plików > Ustawienia zaawansowane > Skanuj podczas załączania . Odnośnik do komentarza
defqon Opublikowano 1 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Wyłączam na stałe, włączam combo przygotowuje do działania nie pisze że skanuje tylko jak pojawi ise okienko ze znalezieniem wirusa, reset włącza się znów combo bez pojawiania się ikonek ani pasku start i dopiero skanuje. Co do avasta to są obie opcje zaznaczone Dodam, że jak poruszam kursorem to po jakieś sekundzie, 1.5 sekundzie lekko sie przytnie na ułąmek sekundy i tak bez przerwy Odnośnik do komentarza
picasso Opublikowano 1 Lutego 2011 Zgłoś Udostępnij Opublikowano 1 Lutego 2011 Co do avasta to są obie opcje zaznaczone Czyli opcje są. No to masz odznaczyć..... Zresetować komputer. Sprawdzić czy się odzywa napęd dyskietek. Odnośnik do komentarza
defqon Opublikowano 2 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 2 Lutego 2011 Nie odzywa się, ale teraz komputer sie strasznie długo włącza. Wydaje mi się, że spowodowane jest teraz tym iż jest podczas uruchomieniu mozna wybrać czy : ma microsoft odzyskiwanie, cos o debugowaniu pisało i normalnie microsoft windows. Ale nadal gdy ruszam myszką to kursor w pwcnych momentach na chwile się zacinał. Tez zauważyłem, że nawet jak muzyki słucham muzyki i przeglądam w przeglądarce to muzyka też jakby się zacinała i spowolniała się na sekunde dwie. Nigdy nie zdarzało mi sie to Odnośnik do komentarza
picasso Opublikowano 2 Lutego 2011 Zgłoś Udostępnij Opublikowano 2 Lutego 2011 defqon my jeszcze nie skończyliśmy z logami ... Czy zaimportowałeś FIX.REG? I miałeś po tym zrobić nowe logi OTL pokazujące zmiany. Ja zaś nie mogę przejść do dalszych porządków bez aktualizacji materiału.... Nie odzywa się, ale teraz komputer sie strasznie długo włącza. (...) Tez zauważyłem, że nawet jak muzyki słucham muzyki i przeglądam w przeglądarce to muzyka też jakby się zacinała i spowolniała się na sekunde dwie. Nigdy nie zdarzało mi sie to 1. Jeszcze dodatkowa sprawa na temat dyskietek. Wczoraj Sevard podesłał mi linki z forum Avast, gdzie problem dręczenia napędu dyskietek może być spowodowany przez skopconą osłonę Monitora zachowań: KLIK / KLIK. 2. Długo startuje: a nie sądzisz, że Avast jako taki może być przyczyną? Poza tym, nie wiem co narobiłeś na komputerze od czasu ostatniego sprawdzania logów, a widzę, że masz tendencje do uruchamia narzędzi "za plecami", wykonujesz w międzyczasie nieznane mi operacje. Może sam sobie czymś zaszkodziłeś. Zważ na to, że skanery (nawet te wyglądające na "portable") mogą ładować jakiś dodatkowy sterownik rozruchowy. Wydaje mi się, że spowodowane jest teraz tym iż jest podczas uruchomieniu mozna wybrać czy : ma microsoft odzyskiwanie, cos o debugowaniu pisało i normalnie microsoft windows defqon odsyłam do opisu ComboFix: KLIK. Tam jest wszystko opisane co oznacza to menu i to menu nie ma żadnego wpływu na szybkość ładowania systemu, bo ma zakres wyświetlania 2 sekundy.... . Odnośnik do komentarza
defqon Opublikowano 2 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 2 Lutego 2011 OTL.Txt Dodałem wczoraj do rejestru co kazałas i później zrobiłęm OTL. Przetłumaczyłem to co pisało w tym linku, ale za bardz nie zrozumiałem co dokłanie trzeba zrobic ;/. Nic innego nie robię, bo ja już nie wiem nawet co. Nie wiem czy cos danie pokazanie screenu z procesów w menedżerze zadań windows. Zauważyłem też w zarządzaniu komputerem jakieś niejasności w karcie sieciowym Odnośnik do komentarza
picasso Opublikowano 2 Lutego 2011 Zgłoś Udostępnij Opublikowano 2 Lutego 2011 Nie wiem czy cos danie pokazanie screenu z procesów w menedżerze zadań windows. Nie potrzebuję tego, mam przecież log z OTL, który wyciąga nienatywne procesy. Przetłumaczyłem to co pisało w tym linku, ale za bardz nie zrozumiałem co dokłanie trzeba zrobic ;/. Skoro po wyłączeniu opcji, którą wcześniej podawałam, ustał efekt budzenia dyskietki, to może to wystarczający krok. Gdyby jednak dyskietka się ponownie obudziła, to należy całkowicie odmontować komponent Avasta "Monitor zachowań" (nie wyłączyć, tylko właśnie odinstalować): Panel sterowania > Dodaj / Usuń programy > podświetlasz Avasta > wybierasz opcję Zmień/Usuń > wybierasz opcję Zmień > odznaczasz komponent "Monitorowanie zachowań": Inna sprawa: to Avast może męczyć komputer i jeśli system długo startuje i mieli podczas tradycyjnej pracy sprawdź jak to wygląda bez Avasta (czytaj: testowa deinstalacja). Widzę po logu, że Avast to jakiś stosunkowo świeży nabytek. Ale z deinstalacją wstrzymaj się jeszcze, ze względu na ten krok: Zauważyłem też w zarządzaniu komputerem jakieś niejasności w karcie sieciowym To filtr sieciowy pozostawiony na kartach przez nie do końca pełną deinstalację AVG. Panel sterowania > Połączenia sieciowe > wybierz opcją kontekstową Właściwości danego połączenia > w karcie Ogólne na liście komponentów podświetl filtr od AVG i klik w Odinstaluj. Teraz wykonaj drobne czyszczenie pozostałych śladów, w tym poniewierających się odpadków po odinstalowanych programach i wpisów wyłączonych w msconfig. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-606747145-1580818891-1343024091-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O9 - Extra Button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Key error. File not found O18 - Protocol\Handler\grooveLocalGWS {88FED34C-F0CA-4636-A375-3CB6248B04CD} - Reg Error: Key error. File not found O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Reg Error: Key error. File not found O34 - HKLM BootExecute: (C:\PROGRA~1\AVG\AVG10\avgchsvx.exe /sync) - File not found O34 - HKLM BootExecute: (C:\PROGRA~1\AVG\AVG10\avgrsx.exe /sync /restart) - File not found :Files c:\program files\Common Files\AskToolbarInstaller.exe C:\Documents and Settings\sławek\Dane aplikacji\AVG10 :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg] [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled] :Commands [emptyflash] [emptytemp] Uruchom proces przez opcję Wykonaj skrypt. Komputer będzie restartował. Po restarcie otrzymasz z tego usuwania log. 2. Wytwarzasz nowy log z OTL opcją Skanuj. Dołączasz także log uzyskany z usuwania w punkcie 1. Gdy finałowy log zostanie oceniony pozytywnie, dostaniesz kroki finalizujące. . Odnośnik do komentarza
defqon Opublikowano 2 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 2 Lutego 2011 Pisze teraz z komórki, bo robię to skanowanie przez skrypt i strasznie długo już to trwa. Z tego co widzę przy każdym wersie na końcu pisze, że pliku nie znaleziono albo reg error: key error. File not found. I nie wiem co zrobić. Jeszcze zostało 4 linijki ale to strasznie wolno idzie Odnośnik do komentarza
picasso Opublikowano 2 Lutego 2011 Zgłoś Udostępnij Opublikowano 2 Lutego 2011 . Z tego co widzę przy każdym wersie na końcu pisze, że pliku nie znaleziono albo reg error: key error. File not found. Ale w jaki sposób jest to napisane? Bo z tego co Ty tu cytujesz wynika, że patrzysz na skrypt oryginalny a nie na jego wyniki. Właśnie dlatego jest to zadane w skrypcie, bo jest "not found" lub "error" = czyli usuwam wadliwe wpisy. Dlaczego trwa to tak długo = nie wiem. Nie powinno to mieć miejsca. Chyba, że przeszkadza Avast. Dopóki OTL coś przetwarza i nie wygląda na to, że jest zawieszony, nie przerywaj mu i czekaj cierpliwie. Odnośnik do komentarza
defqon Opublikowano 2 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 2 Lutego 2011 Aha no to czekam. Kursor reaguje ale jak chce np. przesunąć okno otl to nie reaguje stoi w miejscu caly czas 4 linijka od dolu. 028 Resetowałem pc bo nic nie szło ;/ Odnośnik do komentarza
picasso Opublikowano 2 Lutego 2011 Zgłoś Udostępnij Opublikowano 2 Lutego 2011 Resetowałem pc bo nic nie szło ;/ Skoro restartowałeś, to teraz pokaż jak wygląda system po tym.... Czyli nowy log z OTL. Następnie: czy wykonałeś akcję z deinstalacją martwych filtrów AVG na kartach sieciowych? Odnośnik do komentarza
defqon Opublikowano 2 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 2 Lutego 2011 Pisze że nie można usunąc . Wymaga ponownego rozruchu komputera. Uruchomiłem i tak się nie da Odnośnik do komentarza
picasso Opublikowano 2 Lutego 2011 Zgłoś Udostępnij Opublikowano 2 Lutego 2011 Spróbuj użyć dedykowanego narzędzia usuwającego AVG, może ruszy ten filtr: AVG Remover. I czekam na nowy log z OTL. Odnośnik do komentarza
defqon Opublikowano 2 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 2 Lutego 2011 Extras.Txt OTL.Txt zaraz usune ten avg. Pojawił się komunikat, zeby tam pozamykać wszystkie procesy itd. Wziąłem ok doleciało szybko do końca w pare sekund i wyłączyło się okienko. Ale nadal są te żółte znaczki w karcie sieciowej Za Chiny nie mogę usunąć w karcie sieciowej bo aby urządzenie to może byc wymagane do rozruchu komputera. Załączam link i coś pisze błąd w szczegółach. Wpisałem w google i na angielskiej stronie pisało że niby wirus to jest hmm... Odnośnik do komentarza
Rekomendowane odpowiedzi