System nie chciał startować, nie działa pokaż ukryte pliki

[olczak]

Witam

 

Mam następujący problem. Przestał mi się włączać windows xp. Zrobiła się pętla, że w czasie ładowania system się restartuje i tak w kółko. Nawet do awaryjnego nie wchodzi. Przyszedł kolega i odpalił konsolę odzyskiwania ale był jakiś problem, że nie chciało wyswietlić zawartości c: za pomocą komedy DIR. Był komunikat - Wystąpił błąd w czasie wyliczania katalogów i dysk wydawał dziwny dźwięk. Kolega zrobił chkdsk /p i po naprawieniu kilku błędów dir działa i system się ładuje. Jednak znajomy spojrzał na mój dysk i stwierdził, że komputer na pewno jest zainfekowany bo na dyskach jest wiele plików o losowych nazwach. Pod konsolą te pliki było widać ale teraz nie widać i nie mogę włączyć żeby pokazywało ukryte pliki. Polecił mi, żeby, napisał tutaj.

 

Oto logi jakie wytworzyłam:

OTL.Txt

Extras.Txt

gmer.txt

UsbFix.txt

 

Zapomniałam jeszcze wspomnieć, że system nie chce się zamknąć ani uruchomić ponownie. Muszę wyłączać komputer guzikiem.

[Landuss]

W logach infekcja z mediów przenośnych i to jest skutek właśnie problemu z plikami ukrytymi.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
RECYCLER /alldrives
09lf.exe /alldrives
12gn6id2.exe /alldrives
1gkbvsni.exe /alldrives
1j038ki.exe /alldrives
1thes92p.exe /alldrives
2bbi1ax.exe /alldrives
2ul.exe /alldrives
33r.exe /alldrives
9d6resf.exe /alldrives
9keibj.exe /alldrives
9rfpp.exe /alldrives
albkpq3.exe /alldrives
apqpm.exe /alldrives
autorun.inf /alldrives
awb3ryk.exe /alldrives
b9v.exe /alldrives
biriprg.exe /alldrives
bu8.exe /alldrives
bud3mkqr.exe /alldrives
ca.exe /alldrives
cbbw88s.exe /alldrives
cgaqyi.exe /alldrives
cobn8w3.exe /alldrives
dqm.exe /alldrives
dwh.exe /alldrives
eer6ril9.exe /alldrives
egmjjb.exe /alldrives
et3ypes.exe /alldrives
eyruu.exe /alldrives
f662sjd.exe /alldrives
g6jk.exe /alldrives
ggb6w.exe /alldrives
h3wp9.exe /alldrives
ho0q.exe /alldrives
i00dvoym.exe /alldrives
i8gcgmg.exe /alldrives
i8ikdjwt.exe /alldrives
io3yalc.exe /alldrives
iuvvl9f3.exe /alldrives
jeo3ky.exe /alldrives
jofk1wf.exe /alldrives
krwyrv0d.exe /alldrives
kyme.exe /alldrives
l10.exe /alldrives
lhhr8.exe /alldrives
lpl.exe /alldrives
mk28sp.exe /alldrives
n0qls.exe /alldrives
n6eyw.exe /alldrives
o1o.exe /alldrives
p6xebrnt.exe /alldrives
p9rs.exe /alldrives
q0wfr.exe /alldrives
qhbfqx.exe /alldrives
r3fhr.exe /alldrives
r3q63rok.exe /alldrives
r3x0k.exe /alldrives
rfg.exe /alldrives
rhwhin.exe /alldrives
rpw.exe /alldrives
rxf.exe /alldrives
twhvna.exe /alldrives
utcddeq.exe /alldrives
vgyn6ewc.exe /alldrives
vi8f.exe /alldrives
w9.exe /alldrives
wa.exe /alldrives
wkimt.exe /alldrives
wq.exe /alldrives
wyskq6lt.exe /alldrives
x2hjdx.exe /alldrives
x3xh.exe /alldrives
xcr.exe /alldrives
xjb3.exe /alldrives
yqq8eqil.exe /alldrives
yveqsh93.exe /alldrives
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.yahoo.com"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.yahoo.com"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb"
IE - HKU\S-1-5-21-1292428093-1645522239-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?"
[2009-10-17 07:28:57 | 000,000,000 | ---D | M] (MediaBar) -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\fx38k6ny.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593}
[2009-07-18 00:02:48 | 000,002,476 | ---- | M] () -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\fx38k6ny.default\searchplugins\BearShareWebSearch.xml
[2010-08-18 16:14:48 | 000,000,937 | ---- | M] () -- C:\Documents and Settings\Mama\Dane aplikacji\Mozilla\Firefox\Profiles\fx38k6ny.default\searchplugins\conduit.xml
[2009-04-05 16:09:13 | 000,024,684 | ---- | M] (MyWebSearch.com) -- C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll
[2009-07-18 00:02:48 | 000,002,476 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.)
O4 - HKLM..\Run: [l33t] C:\WINDOWS\system\iexplore.exe ()
O4 - HKLM..\Run: [My Web Search Bar] C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (MyWebSearch.com)
O4 - HKLM..\Run: [MyWebSearch Plugin] C:\Program Files\MyWebSearch\bar\3.bin\M3PLUGIN.DLL (MyWebSearch.com)
O4 - HKLM..\Run: [system] C:\WINDOWS\system32\ie5unit.exe ()
O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [api32] C:\Documents and Settings\Mama\Ustawienia lokalne\Temp\apiqq.exe ()
O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [cdoosoft] C:\Documents and Settings\Mama\Ustawienia lokalne\Temp\herss.exe ()
O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [dso32] C:\Documents and Settings\Mama\Ustawienia lokalne\Temp\dsoqq.exe ()
O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [EA Core]  File not found
O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [King_ar] C:\WINDOWS\system32\arking.exe ()
O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [king_mg] C:\WINDOWS\system32\mgking.exe ()
O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [nod32] C:\Documents and Settings\Mama\Ustawienia lokalne\Temp\nodqq.exe ()
O4 - HKU\S-1-5-21-1292428093-1645522239-725345543-1003..\Run: [system] C:\WINDOWS\system32\ie5unit.exe ()
O4 - Startup: C:\Documents and Settings\Mama\Menu Start\Programy\Autostart\nssvc32.exe ()
O4 - Startup: C:\Documents and Settings\Mama\Menu Start\Programy\Autostart\scvhost.exe ()
O4 - Startup: C:\Documents and Settings\Mama\Menu Start\Programy\Autostart\servicess.exe ()
[2010-12-13 14:27:17 | 000,129,024 | RHS- | C] () -- C:\WINDOWS\System32\arking1.dll
[2010-11-28 17:53:17 | 000,130,048 | RHS- | C] () -- C:\WINDOWS\System32\arking0.dll
[2010-11-08 17:04:19 | 000,118,784 | RHS- | C] () -- C:\WINDOWS\System32\mgking1.dll
[2010-11-07 19:27:13 | 000,118,784 | RHS- | C] () -- C:\WINDOWS\System32\mgking0.dll
[2010-05-29 08:30:16 | 000,293,133 | ---- | C] () -- C:\WINDOWS\b.exe
[2011-02-20 18:21:16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mama\Ustawienia lokalne\Dane aplikacji\ConduitEngine
[2011-02-20 18:21:15 | 000,000,000 | ---D | C] -- C:\Program Files\ConduitEngine
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"C:\RECYCLER\services.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Panel sterowania > dodaj/usuń programy i odinstaluj następujące (zbędne) pozycje - 4shared.com Toolbar / MediaBar / Free_Lunch_Design Toolbar / gry Toolbar / My Web Search (Popular Screensavers) / Softonic-Eng7 Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, USBFix oraz Gmer.

 

 

 

[olczak]

Pierwsze wykonanie skryptu nie powiodło się ponieważ podczas uruchomienia jak już zniknął pulpit to oprócz okienka OTL wykonującego skrypt pojawiło się okno zamykania systemu z licznikiem. Napisane tam było, że Trwa zamykanie systemu. Zamknięcie zostało zainicjowane przez ZARZĄDZANIE NT\SYSTEM. Proces systemowy c:\windows\system32\services.exe został nieoczekiwanie zakończony z kodem stanu 1. System zostanie zamknięty i ponownie uruchomiony. I system uruchomił się ponownie zanim wszystko zdążyło się wykonać. Czytałam, że nie powinno się wykonywać ponownie tego samego skryptu ale zrobiłam skany OTL i USBfix i nic się nie zmieniło więc spróbowałam jeszcze raz i poszło tym razem bez problemu. Poniżej log z wykonania i nowy z opcji Skanuj. Loga z GMERa nie ma ponieważ wyskoczył komunikat, że GMER nie znalazł żadnych modyfikacji systemu i nic się nie zapisało.

 

Pokaż ukryte pliki działa. System normalnie się restartuje i zamyka.

 

Wszystkie toolbary odinstalowane.

 

Jako nowość pojawia się teraz komunikat na starcie:

 

A oto logi:

 

otl wykonanie skrytpu.txt

 

OTL.Txt

Extras.Txt

 

UsbFix.txt

[Landuss]

Wszystko ładnie usunięte. Wykonaj poniższe kroki:

 

1. Wklej do OTL taki skrypt kosmetyczny:

 

:OTL
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -  File not found
O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O20 - HKLM Winlogon: Shell - (C:\RECYCLER\services.exe) -  File not found
O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll -  File not found

Po tym działaniu użyj opcji Sprzątanie z OTL. Logów żadnych już nie pokazujesz.

 

2. Wykonaj obowiązkowe aktualizacje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 11

"{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish

Szczegóły rozpisane tutaj: KLIK.

 

3. Wyzeruj stan przywracania systemu: KLIK

 

 

Edytowane 19 Października 2011 przez picasso
18.04.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso