cybaszczyk Opublikowano 15 Lipca 2011 Zgłoś Udostępnij Opublikowano 15 Lipca 2011 Witam wszystkich zainteresowanych: świetne miejsce tworzycie i dlatego chętnie się do niego dopisuję. Zapewne jednak nigdy bym tu nie trafił, gdyby nie zamiłowanie do grzebania w zegarkach (to w dzieciństwie) i komputerach (trochę później). Oto i problem: szukałem seriala do banalnego programiku i w chwili nieuwagi odpaliłem ściągniętego w komplecie execa. W momencie, gdy się zorientowałem, było już za późno. Zamknęło mi Centrum Zabezpieczeń i uniemożliwiło przywracanie systemu. A ów system to Win7 Ultimate. Na innej partycji jest XPSP3, któremu nic nie dolega. Po iluś tam próbach zrestartowałem usługę Centrum Zabezpieczeń, jednak pomimo przeczyszczenia systemu DrWeb, KasperskyVirusRemovalTool i Malwarebytes', ciągle nie mogę uruchomić normalnie systemu. Pokazuje mi pulpit i się wiesza. Teraz używam trybu Przywracania UsługKatalogowych i jakoś to chodzi, lecz ciągle nie działa przywracanie systemu. Dołączam logi OTL i pokładam w Was wielkie nadzieje. Pozdrawiam. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2011 Zgłoś Udostępnij Opublikowano 15 Lipca 2011 Nie podałeś raportów ze skanerów, by było wiadome co i skąd usuwały. Widzę, że próbowałeś się ratować Fixpolicies, to nie pod ten przypadek i będę usuwać wpisy dodane na skutek resetowania tym narzędziem. Od infekcji deaktywującej Centrum i Przywracanie jest ten plik: [2011-07-14 16:47:30 | 000,115,712 | RHS- | C] () -- G:\Windows\System32\SyncHostr.dll Czy świadomie instalowałeś keyloggera XPCSpy Pro: O2 - BHO: () - {3A9DB4A6-E29C-4AE8-9C44-B058941EB5D0} - G:\Program Files\XSoft\xworking\IMon.dll () Zaintrygowały mnie jeszcze te dziwne pliki, nie wiem co to jest, ale niekoniecznie to jest coś szkodliwego: [2010-07-03 21:35:31 | 000,000,013 | -H-- | C] () -- G:\ProgramData\ŘŇÝĂÄ3113›.sys [2010-04-09 18:50:34 | 000,000,216 | -HS- | C] () -- G:\Windows\WSYS049.SYS [2010-04-09 18:06:20 | 000,000,013 | -H-- | C] () -- G:\ProgramData\ŮÝĂÄ3113›.sys [2010-04-08 23:15:25 | 000,000,013 | -H-- | C] () -- G:\ProgramData\ÄĐ3113.sys Ponadto, będę resetować łańcuch Winsock, gdyż są tu jakieś luki "not found": O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - G:\Windows\System32\idmmbc.dll (Tonec Inc.) Skutkiem ubocznym resetu będzie wypięcie z Winsock widzialnego tu pliku IDM (idmmbc.dll ). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files G:\Windows\System32\SyncHostr.dll netsh winsock reset /C :OTL SRV - File not found [Disabled | Stopped] -- -- (SQLBrowser) SRV - File not found [Auto | Stopped] -- -- (MySql) SRV - File not found [Disabled | Stopped] -- -- (msvsmon80) SRV - File not found [Disabled | Stopped] -- -- (MSSQLServerADHelper) SRV - File not found [Disabled | Stopped] -- -- (MSSQL$SQLEXPRESS) SQL Server (SQLEXPRESS) SRV - File not found [Disabled | Stopped] -- -- (AcronisOSSReinstallSvc) O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKCU..\Run: [AutoConnect] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Advanced\Folder\Hidden\SHOWALL: CheckedValue = 1 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Main present O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowRun = 0 O9 - Extra Button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - Reg Error: Key error. File not found O9 - Extra 'Tools' menuitem : Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - Reg Error: Key error. File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found :Commands [emptyflash] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System będzie restartował, po restarcie powinien się otworzyć log z wynikami usuwania. A całą kwarantannę G:\_OTL proszę zapakować do ZIP i na PW mi wysłać. 2. Zaktywuj wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Wytwórz nowy log z OTL opcją Skanuj oraz zaległy GMER. Dołącz też log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
cybaszczyk Opublikowano 16 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2011 Dzięki za obszerną odpowiedź. Wykonałem i efekt jest taki, że piszę w normalnie uruchomionym Win7, choć (broń Boże aczkolwiek!)z niedziałającą usługą przywracania systemu. Próbuję załączyć zip'a z Moved.., ale uzyskuję tylko komunikat o braku uprawnień do wysyłania takiego pliku. Co z tym zrobić: przenazwać, inaczej rozszerzyć? Jako że cały dzionek w ogrodzie swem tyrałem poGmeram jutro z rana i dołącze wszystkie pliki, o ile dowiem się, co z owym zipem. A teraz dobranoc i dzięki za pomoc w poczynieniu kroku w dobrą stronę. Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2011 Zgłoś Udostępnij Opublikowano 17 Lipca 2011 Próbuję załączyć zip'a z Moved.., ale uzyskuję tylko komunikat o braku uprawnień do wysyłania takiego pliku. Co z tym zrobić: przenazwać, inaczej rozszerzyć? Oczywiście, załączanie malware w Załącznikach forum wykluczone. Miałam na myśli przesyłkę via prywatna wiadomość metodą okrężną hostując paczkę na którymś serwisie hostingowym (np. speedyshare). Taki link nie będzie podany publicznie i nikt do niego nie uzyska dostępu. choć (broń Boże aczkolwiek!)z niedziałającą usługą przywracania systemu Opisz to dokładniej, bo otrzymałeś instrukcję włączenia Przywracania: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". . Odnośnik do komentarza
cybaszczyk Opublikowano 17 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2011 Otrzymane instrukcje sumiennie wykonałem. GMER od 22. wczoraj mozolnie skanuje mojego tableta i nic więcej nie mogę zrobić nim skończy. Wtedy więcej szczegółów doślę/zlinkuję. Odnośnik do komentarza
cybaszczyk Opublikowano 17 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2011 Mój laptok to tablet Gigabyte M912, CPU 1,6GHz, 2GB RAM, a GMER międli go już 22 godziny! Pracuje usilnie, bo widzę, że wyświetla coraz to inne pliki, którymi się zajmuje. Tylko czy aby, używając GMERa po raz pierwszy jakiegoś błędu - który skutkuje tak długim czasem skanowania - nie robię? Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2011 Zgłoś Udostępnij Opublikowano 18 Lipca 2011 (edytowane) Otrzymane instrukcje sumiennie wykonałem. Ale ciągle nie odpowiedziałeś mi na pytanie jak się objawia to: "z niedziałającą usługą przywracania systemu". Przy tej infekcji wystarczy tylko przestawić omawianą przeze mnie opcję, by Przywracanie stało się czynne. Tak więc nie wiem jakie dodatkowe trudności tu napotykasz. Oczywiście żadnych punktów Przywracania nie będzie, gdyż wyłączenie Przywracania (prowadzone tu przez infekcję) jest równoważne ze skasowaniem wszystkich punktów Przywracania. To normalne. GMER międli go już 22 godziny! Pracuje usilnie, bo widzę, że wyświetla coraz to inne pliki, którymi się zajmuje. Tylko czy aby, używając GMERa po raz pierwszy jakiegoś błędu - który skutkuje tak długim czasem skanowania - nie robię? Zaznaczyłeś tylko dysk systemowy do skanu a nie wszystkie? Jeśli GMER ciągle wykazuje znaki życia, skan w toku i nic podejrzanego tu jeszcze nie widzę. Jest możliwe, że skanowanie trwa tak długo. W ostateczności, gdy czas osiągnie kuriozalne wartości, przerwiesz mu i podasz fragmenty wyników. . Edytowane 20 Sierpnia 2011 przez picasso 20.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi