2 problemy [ Jestem zielony :-( ]

[Koks]

Witam mam 2 problemy mam nadzieję że pomoże ktoś^^

 

1problem

Gdy chce pobrać .NET Framework 4.0 pisze Błąd wczytywania strony. Oczywiście to nie tylko na tej stronie, na innych także, ale nie na wszystkich. Załatwiłem sobie od kolegi instalke ok daje żeby sie instalowało oczywiście nie da sie bo wyskakuje to:

 

 

Nie da się także zainstalować .NET Framework 3.5 i w górę. Mam tylko 1.1 i 2.0. A do niektórych programów potrzeba większych wersji.

 

2problem

Gdy chce włączyć google chrome to wyskakuje coś takiego:

 

 

A gdy chce jeden z programów o rozszerzeniu exe. wyskakuje coś takiego:

 

 

Proszę o szczegółowe wytłumaczenie, ponieważ jestem zielony w tych sprawach :-( Z góry dziękuję.

[picasso]

Proszę o szczegółowe wytłumaczenie , ponieważ jestem zielony w tych sprawach

 

Zwracam uwagę, że ogłoszenia działu mają dostatecznie jasne tytuły co się podaje w temacie w dziale dedykowanym diagnostyce infekcji. Aktualnie do analizy mam dokładnie "Lipę". Zamiast wklejać mi tu bezużyteczne obrazki (usuwam), podaj porządne raporty przedstawiające system: KLIK. Czyli logi z OTL + GMER.

 

 

.

[Koks]

Poniżej logi. A ten log z Gmer robiłem w wersji 1.0.15.15641 ale nie wiem dlaczego pisało że w innej :-( pobierałem z Dobreprogramy http://www.dobreprogramy.pl/Gmer,Program,Windows,13252.html

OTL.Txt

Extras.Txt

GMER-.txt

Edytowane 28 Lipca 2011 przez picasso
Posty połączone. //picasso

[picasso]

Zastrzeżenia do logów:

 

1. Proszę nie umieszczaj logów na Speedyshare, to utrudnia szybki wgląd a za 30 dni logi znikną z serwera.... przerobiłam na Załączniki.

 

2. Log z OTL jest niepełny, nie ma Extras. Nie doczytałeś: wszystkie sekcje zaznaczone na "Użyj filtrowania". Najwyraźniej ominąłeś "Rejestr - skan dodatkowy".

 

3. Nie wiem skąd bierzesz takie stare narzędzia. Zrobiłeś log z GMER 1.0.15.15281 a aktualna wersja to GMER 1.0.15.15641

 

Jest tu infekcja, ale czekam aż zrobisz nowy log z GMER z najnowszej wersji + uzupełnisz OTL Extras i podstawisz oba logi w poście powyżej stosując przycisk Edytuj.

 

 

pobierałem z Dobreprogramy

 

Na przyszłość, mój temat na forum KLIK skąd się pobiera GMER i to w wersji losowej EXE. Dobreprogramy udostępniają słabszą wersję programu o stałej nazwie (wersja może być blokowana przez infekcje). Takich programów nie powinno się pobierać z serwisów pośrednich tylko wprost od autora. Ja wprawdzie też udostępniam alternatywną słabszą wersję gmer.zip, ale tylko jako link zapasowy, jeśli infekcja zablokuje stronę główną GMER i nie będzie się dało pobrać losowanego pliku....

 

 

EDIT:

 

Chyba poprzednio omyłkowo załączyłeś cudzy log z GMER, kompletnie inne wyniki. Podsumowując co widzę:

- Najgorszy odczyt w GMER, bowiem widziane tam hooki i zapiski .reloc sugerują wirusa w plikach wykonywalnych (czytaj: infekcja wszystkich plików systemu i programów). To by się zgadzało z błędami uruchamiania programów. I niestety to może oznaczać format całego dysku, jeśli nie da rady wyleczyć. Jeszcze nie wiem ile tu szkód jest, to musi wykryć skaner specjalizowany w tym temacie.

- Trojan server.exe - prawdopodobnie nabyty via paczka któregoś bota i prawdopodobnie o cechach keyloggera. W związku z typem infekcji po ukończeniu usuwania (i to niezależnie od tego czy nastąpi format) będzie wymagana zmiana wszystkich haseł, bo nie gwarantuję skutków.

- Trojan zamontowany w postaci usługi wyqakuge

- Ślady podpinania zainfekowanego pendrive (mapowanie MountPoints2 oraz ukryty plik autorun.inf na urządzeniu)

- W kontekście powyższych bez znacznia: adware YouTube Downloader Toolbar zainstalowane przez nieuwagę z programem głównym. Ten wątek na razie opuszczam, bo jest kompletnie nieistotny w obliczu powyższych.

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej w polu:

 

:OTL
SRV - [2006-03-02 14:00:00 | 000,163,185 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\bstpgwr.dll -- (wyqakuge)
 
:Files
RECYCLER /alldrives
K:\autorun.inf
C:\WINDOWS\install
C:\Documents and Settings\Pawel\Dane aplikacji\logs.dat
C:\Documents and Settings\Pawel\Menu Start\Programy\Autostart\AV Voice Changer Updater.exe
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"5783:TCP"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"\??\C:\WINDOWS\system32\winlogon.exe"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HKCU"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
"HKLM"=-
"KernelFaultCheck"=-
"SearchSettings"=-
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. Zachowaj ten log, gdyż będziesz go potem pokazywał.

 

2. Natychmiast uruchom skaner Kaspersky Virus Removal Tool i przeskanuj nim wszystkie dyski (skan może długo trwać). Zapisz z niego raport, ale tylko wyniki typu infekcja / zagrożenie, nie są istotne dla mnie wyniki typu OK / Archive / Packed ...

 

3. Po ukończeniu skanu wygeneruj nowe logi do oceny: OTL + GMER. Dołącz także pozyskany w punkcie 1 log z usuwania + pozyskany w punkcie 2 raport Kasperskiego.

 

 

 

.

[Koks]

zauważyłem już efekt po wklejeniu tego skryptu i wl ponownie komputera. otóż to moge wejść na stronke producenta net Farmwork. za chwile zrobię resztę .

 

A co do tego skaner to moge innym ?? np Malwarebytes

 

 

Mam jeszcze jedno pytanie po zeskanowaniu mam usunąć zainfekowane ? Kiedyś usunołem wszystkie plik zainfekowane po skanie w Malwarebytes i zrąbałem System xDD

 

A wiesz dlaczego wymazałem ponieważ napisałaś [[ Po ukończeniu skanu wygeneruj nowe logi do oceny: OTL + GMER. Dołącz także pozyskany w punkcie 1 log z usuwania + pozyskany w punkcie 2 raport Kasperskiego.]] Zle przeczytałem ! jak zeskanuje to wyśle ci wyniki. Nie jestem pewien co usunąć i jak ? bo to wszystko po angielsku jest [Lipa]

 

 

 

 

Logi i reszta będzie jutro zbyt długo się to robi [ po południu albo wieczorem ]

[picasso]

Zamiast pisać X postów w ciągu, gdy nikt jeszcze nie odpisał pod Tobą, proszę używaj opcję ""Edytuj" chcąc zadać kolejne pytanie / uzupełnić dane. Posty łączę.

 

 

zauważyłem już efekt po wklejeniu tego skryptu i wl ponownie komputera. otóż to moge wejść na stronke producenta net Farmwork.

 

Wiem, że musiało pomóc częściowo, bo w końcu wiem co usuwam. Tylko się teraz nie zajmuj głupotami typu wchodzenie na strony .NET framework ani uruchamianie programów relaksacyjnych. To jest w ogóle nieistotne przy tym podejrzeniu:

 

 

A co do tego skaner to moge innym ?? np Malwarebytes

 

Skaner jest dobrany odpowiednio do sytuacji. Tu jest podejrzenie wirusa w plikach wykonywalnych i MBAM do tego się nie nadaje (może być użyty dopiero potem, a nie do celu który mam na widoku). Masz zrobić skan Kasperskim, pobranym z podanej strony a nie z serwisów pośrednich.

 

 

EDIT:

 

Lipa dopisałeś dane i je wymazałeś. Widziałam, że w Kasperskym już ponad tysiąc wykrytych, a skan nawet nie jest w połowie ... Tego się obawiałam. Poczekam na kompletny raport z Kasperskiego, by ocenić czy warto ratować Windows bez formatu. I już odpisuj z nowymi danymi + wszystkimi logami pod moim postem, by ciągłość dyskusji została zachowana.

 

 

Mam jeszcze jedno pytanie po zeskanowaniu mam usunąć zainfekowane ? Kiedyś usunołem wszystkie plik zainfekowane po skanie w Malwarebytes i zrąbałem System xDD

 

Stosuj akcje dobrane domyślnie przez Kasperskiego. Skoro jest tu wykazany wirus w ogromnej ilości plików, to zapewne są to pliki prawidłowe (systemu / programów) i należy je leczyć a nie usuwać....

 

 

EDIT2:

 

Nie jestem pewien co usunąć i jak ? bo to wszystko po angielsku jest [Lipa]

 

O ile mnie pamięć nie myli, Kaspersky idzie z automatu i sam zajmuje się wykryciami, próbując zastosować akcje dobrane domyślnie. Po prostu dokończ ten aktualny skan i pokaż wyniki .... Sytuacja i tak jest krytyczna. I proszę już z nowymi pytaniami / danymi pisz pode mną, bo metoda komunikacji wstecznej przez Edycje staje się już nielogiczna. Ja teraz muszę oddalić się z forum. Dalsza pomoc o wiele później, a Ty zajmuj się skanowaniem...

 

 

.

[picasso]

Lipa1 co z Tobą? Czas płynie, a tu nie ma żadnych znaków życia. Skan Kasperskym już powinien się ukończyć ....

[Koks]

właśnie skanuje. 2 razy zacioł mi sie ten Kaspersky przy 50 procentach. Narazie jest 64%

[picasso]

2 razy zacioł mi sie ten Kaspersky przy 50 procentach. Narazie jest 48%

 

Jeśli zatnie się po raz trzeci, przejdź w Tryb awaryjny Windows i z tego poziomu skanuj. Skanowanie musi być robione do skutku. Jeśli Kaspersky cały czas wykrywać będzie zarażone pliki, kroi się format dysku. Przy okazji: pod jaką nazwą wykrywa wirusa w plikach, czy to jest "Virut"?

 

 

.

[Koks]

pisze tylko HEUR:Virus.Win32.Generatic.

 

wyskakuje mi jakiś komunikat że system windows jest nie stabilny i należy zainstalować service pack 2 (coś w tym stylu)

 

jednak !!!

[picasso]

pisze tylko HEUR:Virus.Win32.Generatic

 

Na pewno tylko taki rodzaj wyników we wszystkich plikach wykrywanych w Kasperskym? Ja jednak muszę mieć dokładny raport ze skanera, tylko czekam aż uda Ci się w ogóle ukończyć skanowanie .... EDIT: dopisałeś, no Virut niestety ....

 

 

wyskakuje mi jakiś komunikat że system windows jest nie stabilny i należy zainstalować service pack 2 (coś w tym stylu)

 

To komunikat w Kasperskym? I chyba SP3 a nie SP2. A to, że Twój Windows przedstawia wiele do życzenia, wiem od początku. Nagłówek OTL od razu mi pokazał straszny stan aktualizacji:

 

Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

Jest tu tylko SP2 (2004) a nie SP3 (2008). Ale jasna sprawa, że ja nie będę polecać teraz aktualizacji, gdy Windows jest katastroficznie zainfekowany i ma wykrycia tysięcy plików. Raz: instalacja może mieć wybitne trudności. Dwa: format na widoku.

 

 

 

.

[Koks]

Moge zainstalować Service pack 3 ?

 

Ok zakończyło sie wyskoczyło coś takiego co mam dać ??

[picasso]

Moge zainstalować Service pack 3 ?

 

Czy przeczytałeś co ja mówię?

 

 

Ale jasna sprawa, że ja nie będę polecać teraz aktualizacji, gdy Windows jest katastroficznie zainfekowany i ma wykrycia tysięcy plików. Raz: instalacja może mieć wybitne trudności. Dwa: format na widoku.

 

Instalacja SP3 jest bezsensowna, dopóki jest silnie zainfekowany Windows. Na dodatek, pliki instalatora SP3 mogą być od pierwszego kopa zainfekowane, wirus może się także przenieść na nowo podstawiane pliki systemu. By móc instalować SP3, należy mieć całkowicie wyleczony system. A to na razie jest niepewne.

 

 

Ok zakończyło sie wyskoczyło coś takiego co mam dać ??

 

"No, thanks". To tylko reklama. Natomiast mnie interesują wyniki skanowania. Przypominam co masz podać:

 

 

Po ukończeniu skanu wygeneruj nowe logi do oceny: OTL + GMER. Dołącz także pozyskany w punkcie 1 log z usuwania + pozyskany w punkcie 2 raport Kasperskiego.

 

.

[Koks]

w trakcie skanu pokazało mi około 2 tys virusów a teraz jest tylko 300 dlaczego "?

[picasso]

Otwórz spis raportów przez klik w ikonkę "białej kartki" w prawym górnym narożniku glównego interfejsu programu, wejdź do sekcji "Detected threats" i tam musisz zapisać do plików tekstowych wyniki. Log z Kasperskiego będzie ogromny, w Załączniki nie wstawiaj go = przeklej wszystko na serwis wklej.org i podaj mi link. Pozostałe logi OTL / GMER tradycyjnie do Załączników.

 

Ponadto: te wyniki będą dla mnie raczej poglądem ile szkód i gdzie jest. Będziesz skanował ponownie. Infekcja Virut jest okropna, pleni się błyskawicznie przeskanując na coraz to nowe pliki i bardzo ciężko ją zatrzymać. Jeśli kolejne skany będą pokazywać kolejne zainfekowane pliki, naprawdę trzeba robić format, bo bez sensu się męczyć. I uwaga: z tego dysku nie wolno skopiować żadnych plików wykonywalnych (instalek programów / sterowników), ogólnie nic co ma rozszerzenie EXE / DLL / SYS / HTML / PDF i nawet archiwa czy pliki graficzne typu JPG (najnowsze wersje Virut atakują też pliki graficzne wstawiając do nagłówków obce ciała).

Póki co, najpierw jednak czekam na wszystkie raporty z aktualnego punktu czasowego. Zobaczę co się dzieje.

 

 

w trakcie skanu pokazało mi około 2 tys virusów a teraz jest tylko 300 dlaczego "?

 

Bo to już kolejny skan .... Mówiłeś, że się zacinał skan i go ponawiałeś.

 

 

 

.

[Koks]

Gotowe!!

 

Wyniki wyszukiwania - http://wklej.org/id/569418/

 

Gmer- http://wklej.org/id/569421

(nie mogę dać do załącznika)

07242011_171118..txt

OTL.Txt

[picasso]

Co widzę w logach:

 

• Log z OTL: tak skrupulatnie usuwany przeze mnie trojan server.exe powrócił, tylko zamienił plik na winupdate.exe (wnioskuję, że musiałeś uruchomić coś co odtworzyło tego trojana).
  
• Log z GMER wygląda jakby lepiej, gdyż zniknęły hooki widzialne poprzednio. Ale zapis .reloc z Explorer.EXE nadal jest = plik musi być zainfekowany.
  
• Log z Kasperskiego jest dość krótki. Niestety skan był ponawiany, raporty z poprzednich prób skanu się pewnie nie uchowały, stąd i tak nie widzę całości. Ale: infekcja Virut niewątpliwa, a wszystkie boty / hacki, które ściągałeś, zostały wykryte jako keyloggery / trojany / infekcje.
  

 

 

1. Pobierz świeży plik explorer.exe dopasowany do XP SP2: KLIK. Rozpakuj na C:\, gdyż ta ścieżka jest użyta poniżej.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\system32\dllcache\explorer.exe|C:\explorer.exe /replace
C:\Windows\explorer.exe|C:\explorer.exe /replace
C:\WINDOWS\install
C:\Documents and Settings\Pawel\Dane aplikacji\Pawellog.dat
C:\Documents and Settings\Pawel\Dane aplikacji\chrtmp
C:\Documents and Settings\Pawel\.IBot 2.63
C:\Documents and Settings\Pawel\.IBot
C:\WINDOWS\HLTooLz.exe
C:\WINDOWS\HLTooLz.CAB
 
:OTL
O1 - Hosts: 127.0.0.1 www.Brenz.pl
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Policies"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HKCU"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HKLM"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"E:\Paweł\kbot_4.63_crack\ibot\WP663f.exe"=-
"C:\Documents and Settings\Pawel\Pulpit\KBotcc.exe"=-
 
:Commands
[clearallrestorepoints]
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zresetowany. Powstanie log z usuwania.

 

3. Wytwórz nowe logi z OTL + GMER do oceny, dodaj też log z usuwania z punktu 2. Jeśli nic się w nich nie odtworzy, przejdziesz do kolejnego skanowania Kasperskym....

 

 

 

 

 

.

[Koks]

Kiedy dodałem skrypt komputer uruchomił sie ponownie. Zaraz po tym pokazał sie niebieski ekran. Co jest?

07262011_141423.txt

OTL.Txt

Gmer.txt

[picasso]

Kiedy dodałem skrypt komputer uruchomił sie ponownie. Zaraz po tym pokazał sie niebieski ekran. Co jest?

 

Nie wiem, ale skrypt się wykonał. Poza tym, Windows jest mocno poszkodowany, pliki naruszone + wirus aktywny i takie zjawisko jak niebieski ekran niespecjalnie mnie dziwi. Jeszcze dużo pracy przed nami, przy założeniu, że da się ocalić ten system ....

 

Jest niedobrze. W GMER widać, że wirus szaleje, a podmiana pliku explorer.exe jakby jej nie było. Wypróbuj ekspresową szczepionkę Kasperskiego VirutKiller. Zastosuj, zresetuj system, wygeneruj nowy log z GMER.

 

 

 

.

[Koks]

nie moge pobrać tego VirutKiller pisze błąd wczytywania strony :-(

[picasso]

No tak, blokuje to Virut właśnie. Przehostowałam szczepionkę na mój serwer: KLIK.

[Koks]

Po włączeniu tego Virutkill pokazal sie komunikat ze system windows zostanie zamkniety za min.

gmer.txt

[picasso]

Jeśli narzędzie się samo zamyka lub natychmiast Windows jest zamykamy = jest poważny problem. To oznacza, że nic się nie wykonało niestety. W GMER bez zmian. Widzę zresztą, że jest spatchowany życiodajny plik svchost.exe, toteż to zamykanie za minutę może być pochodną właśnie tego. Startuj Windows do Trybu awaryjnego i spróbuj uruchomić narzędzie. Jeśli to zawiedzie, jako metoda leczenia pozostaje już tylko płyta startowa, a gdy to zawiedzie niestety format całego dysku.

[Koks]

W trybie awaryjnym zadziałało. A co do tego explorer.exe to miałem wkleić do folderu Windows na dysku c. Jeśli tak to sie nie dało, pojawia się: "Błąd przenoszenia pliku lub folderu: Nie można przenieść explorer: plik o podanej nazwie już istnieje. Podaj inną nazwę pliku".

gmer.txt

[picasso]

W trybie awaryjnym zadziałało.

 

Aktualny log z GMER: nadal są spatchowane wirusem dwa kluczowe pliki Windows, czyli svchost.exe + explorer.exe. Uruchom zgodnie z wytycznymi narzędzie ComboFix i przedstaw wynikowy raport.

 

 

A co do tego explorer.exe to miałem wkleić do folderu Windows na dysku c. Jeśli tak to sie nie dało obrazek niżej.

 

Nie. Nie dawałam takich instrukcji i nie wiem skąd Ci to przyszło do głowy. Operacja z plikiem explorer.exe miała się skończyć tylko na skrypcie OTL (już wykonanym), który i tak nie dał temu rady. A Ty nie miałeś nic kompletnie na własną rękę robić z explorer.exe, w rozumieniu przenoszenia do C:\Windows. Taka operacja ręcznie wymaga o wiele więcej zachodu, nie próbuj nawet metodą "wklej", bo nic nie osiągniesz. Podmiana plików Windows jest o wiele bardziej skomplikowana i wymaga też obejścia aspektu Ochrony plików Windows.

 

 

.