Miszel03 Opublikowano 9 Grudnia 2017 Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 To już dużo mi mówi. Problem nie wydaje się być duży. Rozumiem, że oprócz dialogu przed startem Windows i niedziałającym Trybem awaryjnym awaryjnym nie ma innych problemów?. Musimy zweryfikować sumy kontrolne (zaszłą jakaś zamiana) i ewentualnie podmienić pliki na poprawne. W FRST w polu Search wklep nazwę osloader.exe, klik w Search files i dostarcz log. Odnośnik do komentarza
leliwka Opublikowano 9 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 Poza tym system wolno się zamyka i wolno uruchamia, wydaje mi się, że nic innego się nie dzieje, wszystko sprawnie chodzi i dobrze działa no tylko trochę wolniej niż zwykle Search.txt Odnośnik do komentarza
Miszel03 Opublikowano 9 Grudnia 2017 Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 Dzięki. O to mi chodziło. Wynik jasno symbolizuję to, że plik nie jest podpisany i raczej nieoryginalny. Wg VirusTotal nie jest zarażony, ale też brak wykrycia podpisu cyfrowego. Musimy podmienić ten plik na oryginalny, ale ja niestety posiadam inny system. Poprosiłem o ten plik picasso - może go gdzieś ma, w każdym razie powinienem go niebawem załatwić. To powinno rozwiązać problem. Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2017 Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 Loaderem systemu Windows 7 jest winload.exe a nie osloader.exe. Ten plik wygląda na malware pomimo opisu "Microsoft Corporation", pierwszy log pokazywał że plik został utworzony w grupie malware: ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2017-10-12 20:39 - 2017-10-12 20:39 - 000000266 __RSH C:\Users\Agata\ntuser.pol 2017-10-12 17:52 - 2017-10-13 01:28 - 000000008 _____ C:\ProgramData\hgf.3dew 2017-10-12 17:52 - 2017-10-13 01:20 - 000000000 ____D C:\Windows\SysWOW64\.ipfs 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-6cd7-1 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-4af5-0 2017-10-12 17:51 - 2017-10-12 17:51 - 001370624 _____ C:\Windows\windefender.exe 2017-10-12 17:51 - 2017-10-12 17:51 - 000024312 _____ C:\Windows\System32\Tasks\{7D7A7E47-0A0D-0A7E-0511-0B7E087D1178} 2017-10-12 17:51 - 2017-10-12 17:51 - 000021540 _____ C:\Windows\System32\Tasks\L0qObltTFUur 2017-10-12 17:50 - 2017-10-12 17:51 - 005547752 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlmp.exe 2017-10-12 17:50 - 2017-10-12 17:51 - 000633296 _____ (Microsoft Corporation) C:\Windows\system32\osloader.exe 2017-10-12 17:49 - 2017-10-12 17:49 - 000016706 _____ C:\Windows\System32\Tasks\Moon Manager 2017-10-12 17:48 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\8ZCB25VOSK 2017-10-12 17:47 - 2017-10-13 01:20 - 000000000 ____D C:\Users\Agata\AppData\Roaming\nt0qd4ngbvo 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\L0qObltTFUur 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\fbg33l1j5hc 2017-10-12 17:46 - 2017-10-13 01:20 - 000000000 ____D C:\Users\Agata\AppData\Roaming\qtbfehtpxob 2017-10-12 17:46 - 2017-10-12 17:46 - 000003474 _____ C:\Windows\System32\Tasks\8f5924d3f0decf6b4ab73c990a7a077b 2017-10-12 17:46 - 2017-10-12 17:45 - 002904064 _____ (Adobe Systems Incorporated) C:\ProgramData\KeService.exe 2017-10-12 17:45 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\129TZA7WHV 2017-10-12 17:45 - 2017-10-12 17:50 - 000003158 _____ C:\Windows\System32\Tasks\3ff2108d7185625d7293e4213106116d 2017-10-12 10:14 - 2017-10-13 02:30 - 000000000 ____D C:\Users\Agata\Desktop\Agata 2017-10-11 21:45 - 2017-10-11 21:45 - 000358400 _____ C:\Windows\0c27bc2489ccbd6abf90736157684dfa.exe 2017-10-11 21:45 - 2017-10-11 21:45 - 000037170 _____ C:\Windows\uninstaller.dat Był też przecież robiony skan SFC i to dwa razy, w żadnym skanie ten plik nie jest wykrywany jako naruszony, a byłby gdyby należał do plików systemowych. Poproszę o nowy skan FRST z zaznaczoną opcją Lista BCD, Addition i Shortcut niepotrzebne. Dodatkowo, wklej w polu Szukaj ntkrnlmp.exe i klik w Szukaj plików. Odnośnik do komentarza
leliwka Opublikowano 9 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 Witam, FRST.txt http://wklej.org/id/3318403/ Search.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2017 Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 Infekcja dodała nową pozycję startową Windows Fast Mode (zgłaszaną przez Ciebie na zrzucie ekranu z msconfig) powiązaną z dwoma fałszywymi plikami "Microsoftu" cytowanymi przeze mnie powyżej: Moduł ładujący rozruchu systemu Windows --------------------------------------- Identyfikator {default} device partition=C: path \Windows\system32\osloader.exe description Windows Fast Mode inherit {bootloadersettings} recoveryenabled Yes osdevice partition=C: systemroot \Windows kernel ntkrnlmp.exe resumeobject {12d7614e-af7c-11e7-aa78-806e6f6e6963} nx OptIn 1. Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako administrator. W karcie Rozruch podświetl pozycję "Windows 7" i kliknij Ustaw jako domyślne. Następnie podświetl pozycję Windows Fast Mode i kliknij w Usuń. Zresetuj system, by zweryfikować naprawę rozruchu. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: Task: {02A87268-D054-4BF3-9498-E960654F0618} - System32\Tasks\{D729A34A-4E63-43ED-9915-7E80F68DBE09} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe Task: {07F4C288-08ED-45E1-A51E-CBA49E5E95C3} - System32\Tasks\{DC1475FA-5460-4B87-89F0-E7D216FBB415} => C:\Windows\system32\pcalua.exe -a C:\Users\Agata\Downloads\windirstat1_1_2_setup.exe -d C:\Users\Agata\Downloads Task: {23B63F3E-1A83-4A59-906C-FA51F4D55B97} - System32\Tasks\{7E4349BD-F604-4FE3-9F0E-DBE4D263ABC5} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe Task: {3C0F6439-588F-49FC-BA0F-9836F2148267} - System32\Tasks\{778711A2-51A4-40BF-856D-ACC826CF2597} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\Downloads\FC MpTool(04.03.08)\FC MpTool.exe" -d "C:\Users\Agata\Downloads\FC MpTool(04.03.08)" Task: {68DF0F1D-4413-495E-A32D-51761E0522BE} - System32\Tasks\{CA190B01-7F80-449C-918C-05B2ED748B1D} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PWMQ8V52\JavaSetup8u111.exe" -d C:\Users\Agata\Desktop Task: {77E60949-61D7-4280-AA71-E6E08EDC975B} - System32\Tasks\JetCleanLoginCheckUpdate => C:\Users\Agata\Desktop\JetCleanPortable_1.5.0.129\AutoUpdate.exe Task: {78629897-A6F3-4B1D-B2C4-AD9FEF67E17D} - System32\Tasks\{BCF316B5-84B8-4058-97CE-C63F16F12A0F} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\JetCleanPortable_1.5.0.129 program do czyszczenia\Install.exe" -d "C:\Users\Agata\JetCleanPortable_1.5.0.129 program do czyszczenia" TTask: {EAF1649C-8C9F-4688-83F8-39831ADA17F0} - System32\Tasks\{F0E04983-07AF-44DB-ADCB-B3AAACF7E1CB} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe MSCONFIG\startupreg: Spotify => "C:\Users\Agata\AppData\Roaming\Spotify\Spotify.exe" -autostart -minimized MSCONFIG\startupreg: Spotify Web Helper => "C:\Users\Agata\AppData\Roaming\Spotify\SpotifyWebHelper.exe" DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\ProgramData\TEMP C:\ProgramData\hgf.3dew C:\Users\Agata\AppData\Roaming\Duo-Dox.bin C:\Users\Agata\AppData\Roaming\Transex.exe C:\Windows\system32\ntkrnlmp.exe C:\Windows\system32\osloader.exe Folder: C:\Windows\SysWOW64\.ipfs C:\Windows\SysWOW64\.ipfs Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
leliwka Opublikowano 10 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 Zrobione Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Grudnia 2017 Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 Picasso prowadzi temat, ja jedynie napiszę, że przepraszam leliwka za zamieszanie - nie zwróciłem uwagi na ten komponent, który rzeczywiście wygląda na infekcje. Odnośnik do komentarza
leliwka Opublikowano 10 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 Nic nie szkodzi ważne, że ruszyło i dziękuję Ci za cierpliwość Miszel03 Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2017 Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 Wszystko zostało wykonane. Proszę wypowiedz się jaka jest obecnie sytuacja i co jeszcze wymaga naprawy. Odnośnik do komentarza
leliwka Opublikowano 10 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 Na pierwszy rzut oka wszystko funkcjonuje normalnie i poprawnie. Po uruchomieniu laptopa rozruch następuje od planszy Samsung, następnie przełącza się na czarną planszę z logo Windows, potem króciutko czarna plansza, następnie niebieska z zapraszamy do Windows, znowu przez ułamek sekundy czarna plansza jeszcze raz niebieska i już Windows. Programy uruchamiają się bez problemów, wszystkich nie sprawdzałam, ale te najważniejsze dobrze. Jeśli chodzi o o Zaawansowane opcje rozruchu, to po wciśnięciu F8 wszystko powróciło na swoje miejsce. To oczywiście tak na pierwszy rzut oka dalej się okaże "w praniu". Wszystkie poprzednie objawy, które wymieniłam na początku zniknęły.Odrobinę przymula laptopa. Odnośnik do komentarza
leliwka Opublikowano 14 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2017 Po kilku dniach mogę powiedzieć , że wszystko działa dobrze, tylko system trochę wolniejszy . Odnośnik do komentarza
leliwka Opublikowano 9 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2018 Nie wiem czy jeszcze coś trzeba robić, żeby zakończyć tą naprawę czy to już wszystko? Odnośnik do komentarza
Miszel03 Opublikowano 9 Stycznia 2018 Zgłoś Udostępnij Opublikowano 9 Stycznia 2018 Jeśli wszystko jest już w porządku to kończymy. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
leliwka Opublikowano 10 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2018 Zrobione . DelFix.txt Odnośnik do komentarza
Miszel03 Opublikowano 10 Stycznia 2018 Zgłoś Udostępnij Opublikowano 10 Stycznia 2018 Akcja pomyślnie wykonana. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi