trpcp Opublikowano 7 Lipca 2011 Zgłoś Udostępnij Opublikowano 7 Lipca 2011 Witam Obecnie już nie zamienia, katalogi pozostają widoczne i skróty nie są tworzone na podłączanych pendrive'ach i na dysku. Użyłem FixUsb którego ślady są w logach, i tenże programik usunoł wpisy rejestru: autorun jakiegos dziwnego exe'ka, i dwa wpisy odnoszące się do ustawień prywracania systemu (blokady konfiguraci - zdaje sie), pozatym z dysku poleciały autorun.inf'y i ten dziwny plik exe wspomniany w usunietym kluczu rejestru. Pisze w ten sposób bo nie mam tamtego loga, 'nadpisał mi sie' ;p gmer konczy się BSODem w trybie zwykłym jak i awaryjnym, Rootkitrevealer nie daje rady sie uruchomić, komunikat ze nie mogł uruchomić swojej usługi. w kogach powyższych pojawia się explorer.exe, to chyba nie za dobrze, hm? poproszę o konsultacje pozdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 7 Lipca 2011 Zgłoś Udostępnij Opublikowano 7 Lipca 2011 Nie mam się tu raczej czym zajmować, tzn. nie widzę żadnych wpisów infekcji. Komentarz towarzyszący: niezbyt świeże zabezpieczenia. Starszy ArcaBit, Microsoft Firewall Client 2004 z 2006 plus kompletny brak aktualizacji: Windows Vista Business Edition (Version = 6.0.6000) - Type = NTWorkstationInternet Explorer (Version = 7.0.6000.16609) Obowiązkowo należy uzupełnić z WU po kolei SP1 + SP2, a także IE9 i wszystkie łaty wydane po SP2. Pisze w ten sposób bo nie mam tamtego loga, 'nadpisał mi sie' Jest za to poniższy plik (w środku powinna być kopia usuwanych): [2011-07-05 16:09:41 | 000,019,762 | ---- | C] () -- C:\UsbFix_Upload_Me_LAPTOP.zip Na jego podstawie mógłbyś precyzyjniej się wypowiedzieć. A sam plik do kasacji z dysku. w kogach powyższych pojawia się explorer.exe, to chyba nie za dobrze, hm? Nic podobnego. Poniższe wpisy są prawidłowe: PRC - [2008-05-09 22:52:03 | 002,923,520 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation) Rootkitrevealer nie daje rady sie uruchomić, komunikat ze nie mogł uruchomić swojej usługi RootkitRevealer? A kysz. To archaizm (brak aktualizacji od 2006). Tym programem nie robi się już diagnostyki pod kątem infekcji rootkit, on nie podoła dzisiejszym zagadnieniom i nie pracuje nawet na tym samym poziomie co GMER. Po jego użyciu pozostał odpadek: SRV - [2011-07-07 09:25:27 | 000,490,368 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\Operator\AppData\Local\Temp\FWAT.exe -- (FWAT) Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz sc delete FWAT . Odnośnik do komentarza
trpcp Opublikowano 8 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2011 Dzięki za reakcje [2011-07-05 16:09:41 | 000,019,762 | ---- | C] () -- C:\UsbFix_Upload_Me_LAPTOP.zip Na jego podstawie mógłbyś precyzyjniej się wypowiedzieć. A sam plik do kasacji z dysku. Sprawdzałem to, jest w tym zip'ie tylko nadpisany log i rozbrojony exe'k z wirusem. Jest to exe'k pierwszy (mniejsza z nazwa, bo to i tak losowo się tworzy, ten zaczynał się na k...) , bo po jego usunięciu przez uzbfix w tym samym miejscu pojawił się drugi (zaczynajacy się na s...), którego mi Arka skasowała. Po kolejnych restartach jest już spokój. Chociaż to odrodzenie się pliku było niepokojące (dlatego ponowilem użycie usbfix), a że w OTL nic oczywistego mi się w oczy nie rzuciło, to się chciałem upewnić. Przy okazji zapytam, bo widzę ze się pozmieniało (kiedyś mowiłaś ze explorer.exe nie powinien być listowany w sekcji procesów na początku, jeśli OTL nie zaniepokoił się jakimiś modyfikacjami, RootkitRevealer został posłany na emeryturę (i faktycznie nie było już o nim wzmianki w instrukcjach). Jak przeczytam wszystkie przyklejone, to dowiem się jak rozwiązać problem BSOD'ów Gmera (kiedys nierozwiązywalny), lub znajde altrnatywę dla tegoż programu? Co do aktualizacji, to faktycznie nie mozna ich przeprowadzic; troche liczyłem ze w OTL to wypatrzysz. Skoro tam nie ma przyczyn, to moze będą w logu z tego Secutiry cośtam... no i tak, po uruchomieniu SecurityCheck mam okno z prośbą o naciśniecie any key'a, a na wierzchu monit ArkaVir'a o reakcje na infekcje w C:\...Lokal\Temp\RarSFX0\SecurityCheck\Other\nircmdc.exe<UPX>:nircmdc.exe - Trojan.Agent2.dnrg. Przypuszczam ze to false-positive, bo ten plik jest użyteczny. ... po <blokuj dostep> kolejny monit o to samo wyłącze antywira na czas skanu checkup.txt khm.. doczytałem właśnie że rootkitRepeal, zaraz się poprawie.... RootkitRepeal tez nie rusza FOPS-DeviceIoControl Error... 0xC24.... i ze nie moze zainiciowac sterownika i jeszcze Error dumping SSDT 0xC24 sprawdzę fizyczną kondycję dysku, bo nabrałem podejżeń (choć to poboczna sprawa jest) Sprzęt jest ok, a aktualizacje mogą być realizowane przez WSUS na tym lapku, bo faktycznie powinien on pracować w domenie. Poza problemem z aktualizacjami i niestartującymi skanerami rootkitowymi nie ma wyrażbych symptomów infekcji. Co robimy? Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2011 Zgłoś Udostępnij Opublikowano 8 Lipca 2011 Przy okazji zapytam, bo widzę ze się pozmieniało (kiedyś mowiłaś ze explorer.exe nie powinien być listowany w sekcji procesów na początku, jeśli OTL nie zaniepokoił się jakimiś modyfikacjami, ? Chyba to wyrwałeś z jakiegoś określonego kontekstu. RootkitRevealer został posłany na emeryturę (i faktycznie nie było już o nim wzmianki w instrukcjach). Nie wiem jakimi instrukcjami się posiłkowałeś, ale tu na forum nigdy nie było nawet wzmianki o RootkitRevealer. Jest to zupełnie sfatygowany soft, nie stosowany przeze mnie od dobrych kilku lat. Jak przeczytam wszystkie przyklejone, to dowiem się jak rozwiązać problem BSOD'ów Gmera (kiedys nierozwiązywalny), lub znajde altrnatywę dla tegoż programu? Ja tu bym się zajęła na teraz całkiem czym innym niż poszukiwanie tego typu "rozwiązań" - ten system jest w złym stanie aktualizacji + ma zdezelowane oprogramowanie zabezpieczające. Ponadto, na forum były dwa tematy w których aktualizacja gołej Vista do statusu SP2 spowodowała, że GMER się uruchomił. Co do aktualizacji, to faktycznie nie mozna ich przeprowadzic; troche liczyłem ze w OTL to wypatrzysz. Skoro tam nie ma przyczyn, to moze będą w logu z tego Secutiry cośtam... Przecież wcale nie opisałeś tego problemu (nie ma ani słowa / wymienionych błędów), a te logi nie służą do diagnostyki tego rodzaju. O ile w OTL pośrednio można coś jeszcze zgadywać (tylko zgadywać, bo raport jest robiony pod inne problemy i nie przedstawia w ogóle komponentów WU), to Security Check to nie ta bajka. Od analityki WU są inne narzędzia np. "Narzędzie analizy gotowości aktualizacji systemu" (KLIK). Jak mówię, nie opisałeś na czym polega problem z aktualizacją. Co najwyżej wstępnie mogę zasugerować jedną z typowych przeszkód dla aktualizacji = wspominane już archaiczne oprogramowanie zabezpieczające, stary ArcaBit + Microsoft Firewall Client 2004 z 2006 wstawiony w Winsock. Pierwszy krok przy problemach aktualizacji to całkowite pozbycie się z systemu wszelkiego oprogramowania tego typu. a aktualizacje mogą być realizowane przez WSUS na tym lapku, bo faktycznie powinien on pracować w domenie. A instalacja z dysku z ominięciem procedur auto? Tzn. pobrać pełne instalatory SP1+SP2: KB935791 (Metoda 3). . Odnośnik do komentarza
trpcp Opublikowano 14 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2011 Miałaś racje, Gmer dokonczył skan. Aktualizacja antywirusa stanie sie w niedalekiej przyszlosci, a z IE nie moge sobie poradzić: Microsoft zaleca zainstalowanie 2 łatek (KB971512, KB2117917) na Viście, ale ta pierwsza zgłasza mi się ze jest od innego systemu, wiec z tym poczekamy aż sie laptop zobaczy z serwerem. Siebie tez powinienem 'zaktualizować' Proszę o ponowne przejżenie logów czy nie widać tam sladów aktywnej infekcji Chciałbym też uniknąc sytuacji w której ten lapek przestanie sie dogadywac z serwerem ISA gmer.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2011 Zgłoś Udostępnij Opublikowano 15 Lipca 2011 W logach nie ma czego szukać od infekcji. Natomiast znowu uruchomiłeś Rootkit Revealer i jest usługa do kasacji: SRV - [2011-07-07 11:00:40 | 000,473,984 | ---- | M] (Sysinternals - www.sysinternals.com) [On_Demand | Stopped] -- C:\Users\Operator\AppData\Local\Temp\KH.exe -- (KH) Analogicznie jak poprzednio: SC DELETE KH. SRV - [2008-01-18 23:38:26 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation) Skoro tu działa na razie (do czasu kolejnych przetasowań softu zabezpieczającego) ArcaBit, zdeaktywuj Windows Defender. Uruchom msconfig i odptaszkuj te dwa wpisy przechodząc po kartach Usługi i Uruchamianie. W sekcji Uruchamianie możesz też wyłączyć bez szkód inne elementy: CyberLinka, updater Java, WelcomeCenter. z IE nie moge sobie poradzić: Microsoft zaleca zainstalowanie 2 łatek (KB971512, KB2117917) na Viście, ale ta pierwsza zgłasza mi się ze jest od innego systemu, wiec z tym poczekamy aż sie laptop zobaczy z serwerem. Opisz to dokładnie, co się dzieje, gdy próbujesz uruchomić instalator z linka (Internet Explorer 9), tzn. jaki błąd / wymaganie jest stawiane. Czy "zalecane" łatki zostały podane na komunikacie podczas instalacji i skąd je pobierałeś (KB971512 / KB2117917)? . Odnośnik do komentarza
trpcp Opublikowano 15 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2011 Opisz to dokładnie, co się dzieje, gdy próbujesz uruchomić instalator z linka (Internet Explorer 9), tzn. jaki błąd / wymaganie jest stawiane. Czy "zalecane" łatki zostały podane na komunikacie podczas instalacji i skąd je pobierałeś (KB971512 / KB2117917)? Instalacja IE9 stara się pobrać aktualizacjie jakoweś, bo podobno potrzebuje, po czym wyświetla mi komunikat ze powinienem przejść do trybu online, zaktualizowac system, i uruchomić instalacje na nowo. tak jest w obu przypadkach: instalacja z małego pliku ściągającego resztę i z całego redystrybucyjnego. Kierowałem się metodą 3 ze strony http://support.microsoft.com/kb/2409098/pl. Probowałem tą problematyczna łatkę (KB971512) pobrać innym sposobem, zeby mieć pewność ze to nie jest zły link na stronie i niestety nie pomogło, instalator łatki stwierdz że to zły system - napewno nie pomyliłem bitowości, języka i napewno jest to Vista. Nie ma nic o tym jakie aktualizacje są wymagane, wiec przypuszczam ze w tym artykule napisali to co sie tyczy mojego przypadku, tylko ta łatka nie chce się wkleić Nie pamiętam też zebym ponownie uruchamiał RootkitRevealer'a, ale skoro twierdzisz ze to robiłem... ;p Odnośnik do komentarza
Rekomendowane odpowiedzi