Komputer szaleje (Brontok, autoreset, foldery nadrzędne, csrss.exe...)

[wszystkobedziedobrze]

To mój pierwszy post na tym forum także oficjalnie: Cześć wszystkim!

Na komputerze, z którego korzystam pojawiły się następujące problemy:

-samowłączająca się strona BRONTOK.A[16] [ By: HVM31 -- JowoBot #VM community ]
-bardzo wolna praca komputera (obciążający proces csrss.exe)
-przy wpisywaniu haseł typu: antywirus, brontok , ccleaner automatyczy restart komputera
-tworzenie się folderów nadrzędnych o takiej samej nazwie
-wcześniej bardzo słabe połączenie z internetem przez WiFi, teraz niemożność połączenia
-zawirusowały się także pendrivy - jest w nich folder nadrzędny, a gdy wrzuciłem utwory w mp3 to dźwięk jest wymieszany (tzn np gra poprawny utwór, potem nagle niby leci ten sam plik, ale już jest audio z zupełnie innego)

Załączam skany z FRST i GMER (podczas skanowania GMER pojawił się błąd -> załączam screenshota, który zrobiłem niestety dopiero, jak skanowałem drugi raz tylko po to, żeby zrobić właśnie tego screenshota). Daję 2 logi z GMERa (skoro je już zrobiłem), bo to raczej nie powinno zrobić tu bałaganu (nawet jak nic nie zmieni).

Po drugim skanie komputer był w jeszcze gorszym stanie:
-gdy chciałem otworzyć Painta był raz, może dwa razy komunikat ~"zasoby komputera są za niskie, by uruchomić program <ścieżka mspaint.exe>"
-gdy chciałem uruchomić ponownie komputer komunikat "nie masz uprawnień, by uruchomić ponownie komputer" (oczywiście na profilu administratora -> poleciał "twardy reset")
-tyle teraz kojarzę... ogólnie komputer szaleje i to coraz bardziej

Bardzo proszę o pomoc! Nie umiem sobie z tym poradzić, a komputer i dane na nim są dla mnie bardzo ważne  Nagrywam niekomercyjnie swoją muzykę; nawet nigdzie nie wrzucam do internetu tylko robię to póki co dla siebie z pasji i dla wyrobienia swojego stylu -> mam jednak dużo wersji roboczych i powoli zaczynam nagrywać to jeszcze raz w normalnym studio. Jak to stracę to "odtworzyć" utwory tzn nagrać jeszcze raz będzie dla  mnie baaardzo trudne; poza tym niektóre osoby po prostu się udzielały i nie chcą w to dalej brnąć, ale to chyba "największy kawałek" mojego życia, coś jak pamiętnik... ich zwrotek gościnnych/nagranych np dla kogoś na urodziny etc już raczej nie odtworzę. Ich strata byłaby dla mnie wielką tragedią...  jednak wierzę, ze wszystko będzie dobrze.

Jeszcze raz bardzo proszę o pomoc. Nie mam teraz łatwego dostępu do internetu, ale ten temat na pewno nie będzie martwy "z mojej strony" (choćbym nie odpowiadał np parę dni).

Pozdrawiam! Z góry BARDZO dziękuję!

PS: Na pewno się odwdzięczę. (póki co mam biedę, aczkolwiek będę pamiętał -> i to nie tak, że chcę Was przekupić czy coś, aby dostać szybko odpowiedź i rozwiązanie jak na tacy... żeby nie było; nie liczę, że będę przez to "równiejszy" -> po prostu wiem, że tak "wypada").

 

PS2: Mój "porządek" na pulpicie mówi chyba trochę sam za siebie... (mam na myśli jaki zrobiłem bałagan na kompie). Aż mi wstyd.

 

Logi z FRST i GMER oraz screenshoty:

 

FRST.txt Addition.txt Shortcut.txt gmer skan.txt gmer skan2.txt

[jessica]

Uwaga

Moje zalecenia wykonaj tylko w przypadku, gdy nie zacznie pomagać @Picasso (napisała, że dziś od rana będzie pomagać, ale w tej chwili nie widzę tej pomocy).

 

BRONTOK jest rzeczywiście.

 

1. Użyj Malwarebytes Anti-Malware. Podczas instalacji usuń zaznaczenie z okienka przy "Uruchom okres testowy Malwarebytes Anti-Malware Premium".

Zaznacz wszystko co wykryje, kliknij na Usuń zaznaczone.

Podaj z tego raport.

 

2. Zrób nowe logi FRST. Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".

 

jessi

[wszystkobedziedobrze]

Dzięki @jessica za szybka odpowiedz; w takim razie wstrzymam się do jutra do wieczora i jak nie pojawi się inna propozycja to zrobię tak jak piszesz.

 

 

Przypadkiem zdublowalem posta; piszę z telefonu i nie umiem go usunąć.

[picasso]

Jak sądzę już wykonałeś podane instrukcje, więc wymagane są raporty przedstawiające zmiany (log z MBAM oraz nowe logi FRST).

[wszystkobedziedobrze]

@jessica trochę się wytłumaczę: wykonałem Twoje instrukcje (bardzo długo zwlekałem z powodów "osobistych"), a to, że picasso odpisała w tym samym dniu jak wrzucam logi to nie tak, że zlekceważyłem Twoje rady i dopiero teraz je wykonałem. To naprawdę zbieg okoliczności, żeby nie było.

 

Do czasu wykonania logów komp był wyłączony; co najwyżej odpaliłem bez logowania, żeby naładować ipoda (domyślam się, że to niewskazane...).

 

Załączam logi i screena z komunikatem, który pokazał się po restarcie kompa po MBAM.

 

Pozdrawiam!

 

mbam1.txt FRST.txt Addition.txt Shortcut.txt

[picasso]

Z widocznych śladów po Brontok została modyfikacja plku Hosts, podmiana powłoki Trybu awaryjnego z obsługą wiersza polecenia i kilka drobnych pliczków. Do wdrożenia będą też dodatkowe działania.

 

1. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędne instalacje: Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 20 NPAPI, Java 8 Update 65, McAfee Security Scan Plus, Microsoft Security Essentials, Skaner on-line mks_vir. Microsoft Security Essentials od ponad roku nie wspiera już XP, całkowite odcięcie od aktualizacji.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe"
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0
S3 SWDUMon; C:\WINDOWS\System32\DRIVERS\SWDUMon.sys [13464 2014-04-13] ()
S1 bsnhlxrg; \??\C:\WINDOWS\system32\drivers\bsnhlxrg.sys [X]
S1 btyzzvkf; \??\C:\WINDOWS\system32\drivers\btyzzvkf.sys [X]
S1 gkxhbgzd; \??\C:\WINDOWS\system32\drivers\gkxhbgzd.sys [X]
S1 pkmdvkxa; \??\C:\WINDOWS\system32\drivers\pkmdvkxa.sys [X]
S1 rbhgtnay; \??\C:\WINDOWS\system32\drivers\rbhgtnay.sys [X]
S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
S1 spvulzxz; \??\C:\WINDOWS\system32\drivers\spvulzxz.sys [X]
S2 StarOpen; Brak ImagePath
S1 tenjscqb; \??\C:\WINDOWS\system32\drivers\tenjscqb.sys [X]
S1 tzyvpawd; \??\C:\WINDOWS\system32\drivers\tzyvpawd.sys [X]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-09-09]
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{EA4B762B-89EA-4906-AB05-8DCCD6DF3D7B}
C:\Documents and Settings\All Users\Menu Start\Programy\K-Lite Codec Pack\Help\Frequently Asked Questions.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\WinRAR\Podręcznik RAR-a dla konsoli.lnk
C:\Documents and Settings\Admin\Menu Start\Programy\WinRAR\Podręcznik RAR-a dla konsoli.lnk
C:\Documents and Settings\Admin\Moje dokumenty\MOJE\Bank 2.lnk
C:\Documents and Settings\Admin\Moje dokumenty\Moje wideo\DivX Movies\DivX.com.lnk
C:\Documents and Settings\Admin\Moje dokumenty\Moje wideo\DivX Movies\Enhance your video soundtracks.lnk
C:\Documents and Settings\Admin\SendTo\The Bat!.LNK
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Bron.tok.A16.em.bin
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\ListHost16.txt
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Comodo
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google
C:\Documents and Settings\Administrator
C:\Documents and Settings\ASPNET
C:\Documents and Settings\Gość
C:\Documents and Settings\Pomocnik
C:\Documents and Settings\SUPPORT_388945a0
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\System32\DRIVERS\SWDUMon.sys
CMD: netsh firewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox ze starych preferencji i śmieci narosłych aktualizacjami:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale zostanie usunięty Multirow Bookmarks Toolbar Plus. Twoja decyzja czy go reinstalować, ale zważ, że to program sponsorowany: KLIK.
• Menu Historia > Wyczyść całą historię przeglądania.

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

 

[wszystkobedziedobrze]

Zrobiłem to, co poleciłaś. Załączam log z FRST, fixlog.txt oraz listę stron, które otwierały mi się wraz z uruchomieniem FF po skanie (po oczyszczeniu FF chyba już jest ok).

 

Cały czas odłączony adapter WiFi, piszę z innego komputera.

 

Pozdrawiam!

 

Fixlog.txt FRST.txt url po uruchomieniu FF.txt

[picasso]

Niestety Brontok wrócił. Komputer nie był podłączony do internetu, więc albo uruchomiłeś przypadkowo jakiś plik Brontok pozostawiony gdzieś na dysku, albo zostało podpięte urządzenie zewnętrzne zainfekowane Brontok. Brontok tworzy w wielu folderach pliki udające w nazwach i wyglądzie foldery, a ich omyłkowe uruchomienie przeładowuje infekcję. Przykład z Twojego raportu:

 

2016-07-01 12:55 - 2011-04-25 10:38 - 00044433 _____ C:\Documents and Settings\Admin\Moje dokumenty\Moje dokumenty.exe

 

 

Zaczynamy od początku.

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\...\Run: [Bron-Spizaetus] => C:\WINDOWS\ShellNew\RakyatKelaparan.exe [44433 2011-04-25] ()
HKLM\...\Winlogon: [Shell] Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" [x ] ()
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Run: [Tok-Cirrhatus-1464] => C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\br3951on.exe [44433 2011-04-25] ()
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Run: [Tok-Cirrhatus] => 0
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\Explorer: [NoFolderOptions] 1
Startup: C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\Empty.pif [2011-04-25] ()
AlternateShell: cmd-brontok.exe
S3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.11.309\McCHSvc.exe" [X]
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome
C:\Documents and Settings\Admin\Moje dokumenty\Moje dokumenty.exe
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*.*
C:\Program Files\Java
C:\WINDOWS\KesenjanganSosial.exe
C:\WINDOWS\ShellNew\RakyatKelaparan.exe
C:\WINDOWS\system32\Admin's Setting.scr
C:\WINDOWS\system32\cmd-brontok.exe
C:\WINDOWS\Tasks\Microsoft Antimalware Scheduled Scan.job
CMD: for /d %f in ("C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*bron*") do rd /s /q "%f"
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu i powstanie kolejny plik fixlog.txt.

 

2. Zrób nowe logi: log FRST z opcji Skanuj (Scan) ponownie z Addition oraz log Farbar Service Scanner. Dołącz też plik fixlog.txt.

 

 

Cytat

oraz listę stron, które otwierały mi się wraz z uruchomieniem FF po skanie (po oczyszczeniu FF chyba już jest ok).

 

Tak, wiem, to było w skanie FRST widoczne:

 

FF Homepage: hxxp://www.surveycompare.pl/?mckv=c4U7vptkv
pcrid
39867592534
pkw
p%C5%82atne%20ankiety
pmt
&mckvcid=63rv316uw0&cid=5256849d95975&source=google&medium=cpc&campaign=164888494&adgroup=9262031614&targetid=kwd-948351076&keyword=p%C5%82atne%20ankiety&matchtype=&ad=39867592534&network=d&device=c&devicemodel=&target=&placement=olx.pl&position=none&aceid=&ismobile=0&issearch=0&geo=1011419&geointerest=&gclid=CI-Fm6q9p80CFQoTGwodsnwD6g

 

[wszystkobedziedobrze]

Załączam skany. Przepraszam, że to wszystko jest tak rozciągnięte w czasie.

 

Po tym jak wykonałem fixlist znów dałem się nabrać na Brontoka w pośpiechu (kliknąłem folder-aplikację). Znowu wykonałem ten sam fixlist i załączam ten drugi fixlog (mam nadzieję, że nic nie pokręciłem) oraz pozostałe skany.

 

Pozdrawiam!

 

FRST.txt Addition.txt Fixlog.txt FSS.txt

[picasso]

Wszystko wygląda na usunięte, oczywiście w cześci pokrytej przez raport FRST, co jest tylko wycinkiem obrazu. Konieczny jest porządny skan programem zdolnym wykrywać te replikacje plików Brontok w folderach. Dodatkowo, raport FSS wykazuje naruszenia usługi Instrumentacji Windows. Kolejna porcja działań:

 

1. Otwórz Notatnik i wklej w nim:

 

StartRegedit:
Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Instrumentacja zarządzania Windows"
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,04,00,03,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
"Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum]
"0"="Root\\LEGACY_WINMGMT\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
EndRegedit:
Reboot:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart Windows. Przedstaw wynikowy fixlog.txt.

 

2. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST z kwarantanną zawierającą pliki Brontok. Następnie wykonaj pełny skan (a nie "szybki") za pomocą Malwarebytes Anti-Malware i przedstaw wynikowy raport.

 

[wszystkobedziedobrze]

zrobiłem tak jak pisałaś

 

Fixlog

MBAM

MBAM Protection

 

pozdrawiam!

[wszystkobedziedobrze]

Znowu uruchomiłem aplikację-folder...  aż mi trochę wstyd.

 

Czy mam teraz zrobić tak:

 

1) FRST skrypt Picasso z 14-07-2016 - 15:00

2) FRST skrypt Picasso z 10-08-2016 - 12:55

3) pełny skan MBAM

4) log z FSS

 

czy to bez sensu i juz chodzi o inne pliki?

 

Piszę tego posta, bo poprzedni jest już chyba nieaktualny i nie chcę, aby ktoś działał na marne... wkrótce edytuję ten post i wrzucę bieżące logi (FRST, FSS, MBAM)

 

***

 

W tym tygodniu postaram się przekazać dotację.

 

Pozdrawiam!

[picasso]

1. Poprzedni skrypt tyczący naprawy Instrumentacji Windows do powtórzenia. Porównaj formatowanie w moim poście z formatowaniem Fixlog - naruszone wszystkie przejścia do nowej linii. Wklejony tekst do Notatnika musi mieć zachowane "entery". Przedstaw wynikowy Fixlog.

 

2. Jeśli chodzi o reinfekcję Brontok, skrypty z poprzednich operacji są już nieaktualne. I jeszcze mi się wydaje, że MBAM nie widzi wszystkich plików Brontok, gdyż uruchamiałeś aż dwa razy "aplikację-folder" już po skanie MBAM. W związku z tym poproszę o skorzystanie teraz z innego skanera czyli Kaspersky Virus Removal Tool (KVRT). Skonfiguruj go na pełny skan dysku C i usuń za jego pomocą to co wykryje od Brontok. Po tym zrób nowe raporty z FRST.

[wszystkobedziedobrze]

Masz rację, dopiero zauważyłem. Sorry.

Ok; zrobiłem skrypt z 10-8-2016 12:55 i skan C KVRT + czyszczenie

Załączam fixlog.txt i logi ze skanów FRST już po działaniach KVRT (bez restartu).

A ten folder z wirusami z dysku C usunąłem poprzez shift+del.
 
***

 

Dzięki, pozdrawiam!

 

Shortcut.txt Addition.txt FRST.txt Fixlog.txt

[picasso]

1. Na początek uwaga, byś omyłkowo nie uruchomił jakiegoś pliku Brontok, jeśli gdzieś jeszcze jest zakamuflowany: wyłącz ukrywanie rozszerzeń plików, a będzie widoczne że to plik EXE podrabiający folder a nie folder. Tzn. w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia dla znanych typów plików.

 

2. Usługa Winmgmt nadal notowana jako niesprawna - to może być wynik braku resetu komputera (konieczny) między Fixem FRST a nowymi loami FRST. Poza tym, już niewiele zostało w logach. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe"
S0 ttbietyp; System32\drivers\riyko.sys [X]
RemoveDirectory: C:\Avenger
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\KVRT_Data
CMD: del /q "C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt"
CMD: for /d %f in ("C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*bron*") do rd /s /q "%f"
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\winmgmt /s

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[wszystkobedziedobrze]

Zrobiłem to co napisałaś.

 

***

 

Dodatkowe info: (postaram się bardziej zdefiniować te rzeczy)

 

-od jakiegoś czasu przy odpalaniu kompa włącza się narzędzie odzyskiwania systemu (niebieskie tło); jest informacja, że pewne sektory dysku są uszkodzone; czy coś takiego;

-jak wyłączam system to jest jakiś komunikat (trwa wyłaczanie programu /zamknij teraz) <- nie mogłem zrzucić screena do painta przy wyłączaniu)

-jak coś to póki co mam w tamtym komputerze cały czas odpięty adapter Wi-Fi

 

PS1 trochę się boję, że pozarażałem pendrive'y i infekcja może wrócić tą drogą <- co z nimi zrobić?

PS2 czy mogę mieć np zarażone pliki mp3 z muzyką i wirus się aktywuje, gdy je włączam?

 

 

Pozdrawiam

 

Fixlog.txt

[picasso]

Logi FRST niepotrzebne i je usuwam, wyciąg stanu usługi Instrumentacji wydrukowany w Fixlog. Nie wiem o co chodzi, ale ten import REG robiony Fixem FRST w ogóle nie wykonał się. Zrób to ręcznie. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Instrumentacja zarządzania Windows"
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,04,00,03,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
"Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum]
"0"="Root\\LEGACY_WINMGMT\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Uruchom plik przez dwuklik, potwierdź import do rejestru i zresetuj system. Jeśli otrzymasz jakiś błąd, przepisz dokładnie.

 

 

Cytat

PS1 trochę się boję, że pozarażałem pendrive'y i infekcja może wrócić tą drogą

 

Dostarcz log z USBFix z opcji Listing zrobiony przy podpiętych urządzeniach.

 

Cytat

PS2 czy mogę mieć np zarażone pliki mp3 z muzyką i wirus się aktywuje, gdy je włączam?

 

Nie.

 

Cytat

-przy odpalaniu kompa włącza się narzędzie odzyskiwania systemu (od jakiegoś czasu); jest informacja, że pewne sektory dysku są uszkodzone; czy coś takiego;

 

Wątek do działu Hardware. Potem założysz tam nowy temat z danymi wymaganymi do diagnostyki dysku twardego: KLIK.
 

[wszystkobedziedobrze]

Uruchomiłem ten fix.reg. Po wykonaniu i restarcie brak komuniktatów.

 

Załączam log z USBFix (podpiąłem 3 pendrivey; czwartego mam w samochodzie, który stoi u mechanika, ale tamten chyba powinien być ok - najwyżej potem podeślę jego log).

 

Ok dzięki, potem założę tam temat.

 

Czy coś mam teraz jeszcze zrobić? I ogólnie przed podłączeniem internetu?

Program, o którym wspominałem to: main message window (przed zamknięciem systemu)

 

Pozdrawiam!

 

UsbFix Listing 1 MAINSERVER1.txt

[picasso]

Cytat

Załączam log z USBFix (podpiąłem 3 pendrivey; czwartego mam w samochodzie, który stoi u mechanika, ale tamten chyba powinien być ok - najwyżej potem podeślę jego log).

 

Poniższe pliki wyglądają na falsyfikaty zrobione przez Brontok (EXE powtarzające nazwę folderu w którym siedzą), wszystkie nabite w tym samym czasie i mają identyczny rozmiar:

 

[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Data ADMIN.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Big Daddy Kane - (1988) Long Live The Kane [320]\Big Daddy Kane - (1988) Long Live The Kane [320].exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Bonus_RPK_2009_Wkurwiony_Dzieciak-Bootleg--oNLe\Bonus_RPK_2009_Wkurwiony_Dzieciak-Bootleg--oNLe.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\deep house\deep house.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\diagnostyka\diagnostyka.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\diagnostyka\frst\frst.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\DJ Decks - Mixtape Vol.3 [2003]\DJ Decks - Mixtape Vol.3 [2003]`.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\do fury\do fury.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Gang Starr - No More Mr. Nice Guy [1989]\Gang Starr - No More Mr. Nice Guy [1989]`.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Gang Starr - Step in the Arena\Gang Starr - Step in the Arena\Gang Starr - Step in the Arena.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Kali & Paluch - Milion dróg do śmierci\Kali & Paluch - Milion dróg do śmierci.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\KONCERT 22 KWIETNIA 2016\bity\bity.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Obywatel MC - Getto Deluks\Obywatel MC - Getto Deluks.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Parzel & Siwers - Cos Sie Konczy, Cos Sie Zaczyna\Parzel & Siwers - Cos Sie Konczy, Cos Sie Zaczyna.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\SOMP WPL - Niewidzialny\SOMP WPL - Niewidzialny.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Somp WPL - Wciąż Płonie Lolek (2013)\Somp WPL - Wciąż Płonie Lolek (2013).exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\www\ESENCJA\studio\studio.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\www\ESENCJA\ubrania\ubrania.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - F:\_Serato_\_Serato_.exe

[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.Trashes\.Trashes`.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\DO ZABRANIA DO STUDIA\teksty\teksty.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\DO ZABRANIA DO STUDIA\robocze\robocze.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\DO ZABRANIA DO STUDIA\bity\bity.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.fseventsd\.fseventsd`.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.Spotlight-V100\Store-V1\Store-V1.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.Spotlight-V100\Store-V1\Stores\FFA69006-EFDE-445E-9236-96128FFFA39D\FFA69006-EFDE-445E-9236-96128FFFA39D.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\Digidesign Databases\Unicode\Unicode.exe
[25/04/2011 - 10:38:20 | A | 43 Ko] - K:\diagno\mbam-chameleon-3.1.33.0\Chameleon\Windows\windows.exe

 

Przypominam o wyłączeniu ukrywania rozszerzeń, by widzieć dokładnie że to EXE. I przez SHIFT+DEL (omija Kosz pendrive) skasuj wyliczone pliki. Ponadto pozbądź się z pendrive wszystkich wystąpień FRST i jego logów oraz innych skanerów.

 

Gdy uzyskasz dostęp do 4-tego pendrive, sprawdź go ręcznie na okoliczność występowania plików o podanej charakterystyce.

 

 

Cytat

Program, o którym wspominałem to: main message window (przed zamknięciem systemu)

 

To ponoć komunikat generowany przez aktualizator nVidia: KLIK. Posiadasz NVIDIA GeForce Experience, możesz to odinstalować, nie jest to komponent niezbędny.

 

 

Cytat

Czy coś mam teraz jeszcze zrobić? I ogólnie przed podłączeniem internetu?

 

Jeśli na pewno powielone falsyfikaty "aplikacja-folder" usunięte, to kończymy. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

[wszystkobedziedobrze]

Hej, skasowałem te złe pliki z pendriveów (też z 4-tego). Usunąłem także NVIDIA GeForce Experience.

Wstrzymałem się z DelFix, bo ciągle nękają mnie procesy -> tym razem svhost (chyba nękają? przesyłam screena; po prostu jest ich dużo). było też rundll32 x3

Dlatego też chcę się upewnić, czy mam użyć teraz DelFix czy zrobić jakieś inne ruchy.
 

Komputer działa lepiej i nigdzie nie widzę aplikacji, jednak naprawdę bardzo, bardzo wolno (nie jestem w stanie zrobić projektu w Cubase z ani jedną ścieżką dźwiękową - kiedyś lepiej by działał przy 30; gdy odtwarzam .mp3 w WMP to lekko "zamula" jakby się hmm... buforował; z .wave jest jeszcze gorzej).

 

Założę odpowiedni temat w dziale hardware, aby przeprowadzić diagnostykę (może to rzeczywiście dysk twardy).

 

Dzięki i pozdrawiam.

wbd

 

[picasso]

Cytat

Wstrzymałem się z DelFix, bo ciągle nękają mnie procesy -> tym razem svhost (chyba nękają? przesyłam screena; po prostu jest ich dużo). było też rundll32 x3

Dlatego też chcę się upewnić, czy mam użyć teraz DelFix czy zrobić jakieś inne ruchy.

 

Delfix nadal aktualny. Multiplikacja svchost.exe to standard, kilka lub kilkanaście wystąpień to nic dziwnego. Każda z instancji to grupa usług: KLIK. Podobny temat z forum: KLIK.

 

 

Cytat

Komputer działa lepiej i nigdzie nie widzę aplikacji, jednak naprawdę bardzo, bardzo wolno (nie jestem w stanie zrobić projektu w Cubase z ani jedną ścieżką dźwiękową - kiedyś lepiej by działał przy 30; gdy odtwarzam .mp3 w WMP to lekko "zamula" jakby się hmm... buforował; z .wave jest jeszcze gorzej).

 

Był uruchamiany GMER. Sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

[wszystkobedziedobrze]

Zrobiłem DelFix (załączam log), pkt przywracania (wyłączyłem i włączyłem), a także zlikwidowałem następstwa GMERa.

 

Założyłem temat w dziale hardware:

 

 

Co mam teraz zrobić zanim podepnę adapter WiFi? Nie chcę znowu wejść w błoto.

 

DelFix.txt

[picasso]

Delfix wykonał zadanie. Skasuj plik C:\delfix.txt.

 

 

Cytat

a także zlikwidowałem następstwa GMERa

 

Nastąpiła poprawa?

 

 

Cytat

Co mam teraz zrobić zanim podepnę adapter WiFi? Nie chcę znowu wejść w błoto.

 

To już wszystko.

[wszystkobedziedobrze]

Jest wyraźnie lepiej, wg mnie już działa normalnie. Właśnie sobie nagrywam i nie ma żadnego problemu

 

Skasowałem C:\delfix.txt

 

Wielkie dzięki za pomoc! Jakiś czas temu odwdzięczyłem się dotacją.

 

Pozdrawiam!

wbd

[picasso]

Temat rozwiązany. Zamykam.

 

Wielkie dzięki za dotację!