trpcp Opublikowano 14 Czerwca 2010 Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 Witam Na początku pragnę kurtuazyjnie pochwalić wystruj nowego 'domku' bardzo ładny, szczególnie zasłony... neoindustrialne... A teraz do rzeczy Komputer z niedziałającym trybem awaryjnym (restarty przy próbie uruchomienia), zablokowanym taskmanager'em, infekcją exe'kową i któż może wiedzieć czym jeszcze trafił do mnie na powiekszenie partycji systemowej, rzecz miała być szybka, bo rok szkolny sie kończy. Jak zobaczyłem w jakim jest stanie, pomyślałem ze postawie go na nowo po zakończeniu roku szkolnego a narazie zwolnie troche miejsca przez wyrzucenie zbędnych rzeczy. Zbędnych rzeczy było mało, wiec zaczołem wyrzucać heheheh tempy hotfixowe, te w znaczkach $$ z katalogu windy. Poszło gładko (gdzieś w między czasie przeczytałem ostrzerzenia Landussa, wiec zrobiłem backup na drugiej partycji), zwolniło sie 2GB, mogłbym na tym poprzestać i wszystko poszłoby zgodnie z planem, ale oczywiście nie.... musiałem jeszcze zainstalować antywirusa, który zaczoł wywalać exeki, patrzyłem jakie, leciały pokoleji pliki z tempów różnych, a w międzyczasie zaczoł się aktualizować system, pozwoliłem na to, po aktualizacji (SP3 na Homa) i restarcie Explorer.exe wykonał niedozwoloną operacje. I teraz mam tryb awaryjny z restartami, taskmgr zablokowany przez administratora i explorer.exe który może 10 sekund chodzi stabilnie. ściągnołem pliki do odblokowania taskmgr, jak uda mi sie to z pena wykonać jakoś szybko po starcie systemu to moze bede w stanie uruchomić explorera ponownie ale już bez autostartującej .dll która go destabilizuje, jak sie nie uda to przywróce na chwile rejestr z repair wyciągne z tamtąd klucz safeboot (o ile to może pomóc wogóle) i sproboje jakoś zmodyfikować orginalne hive żebym gdy je podłącze spowrotem mogł wejść do awaryjnego.. Ma to co pisze sens wogóle jakis? pozdrawiam Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2010 Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 "Na opis" działać nie da rady, co najwyżej mogę sobie typować (niekoniecznie prawidłowo), że zgłoszenia o infekcji w EXE + zablokowany Task Manager + problem z Trybem awaryjnym = ciężka infekcja Sality, która zwykle się kończy formatowaniem i stawianiem systemu od nowa. Polisy / uszkodzenia awaryjnego to tylko wtórne defekty i to powróci natychmiast po "naprawie", nie będzie skuteczne jeśli działa usługa rootkit Sality oraz jest cykl zarażania plików. 1. Muszę widzieć jaka jest zawartość systemu i co w nim siedzi. Zrób log z czystego pola, gdy system nie jest uruchomiony. Chodzi mi o raport z OTLPE. 2. Wstępnie mógłbyś także sprawdzić co mówi SalityKiller, o ile dobrze wytypowałam na podstawie bardzo ogólnego opisu. Odnośnik do komentarza
trpcp Opublikowano 14 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 udało mi sie komp uruchomic w trybie diagnostycznym, (kto wie, moze w zwykłym też by działał, zaraz sprawdze). Salitykiller nic nie znalazł, naprawił tylko system.ini i zwrócił klucze rejestru generałowi (restoring general registery keys...). logi: Extras.Txt OTL.Txt gmer.txt mam też puścić skan z tej płytki live, o której to nie pomyślałem wcześniej? po jakims czasie.... udało sie naprawić tryb awaryjny metodą twojego autorstwa. Nie logowałem się, ale mogłem, duży postęp. Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2010 Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 Tu na 100% była infekcja Sality, bo w spisie Dziennika zdarzeń jest odnośnik do usługi Sality abp470n5: Error - 2010-06-11 18:28:24 | Computer Name = UCZEN10 | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi abp470n5 z powodu następującego błędu: %%5 Nie widzę tego już w aktualnym logu z OTL ani GMER, czyli musiało to być już usuwane czymś wcześniej. Na chwilę obecną adresuję to co widać w logu z OTL. Tu nie widać nic szczególnego, tzn. w stanie czynnym. Są rozmaite szczątki po infekcji = wszystkie wpisy są "not found" 1. Uruchom OTL i w sekcji Custom Scans/Fixes wklej skrypt: :OTL O20 - HKLM Winlogon: TaskMan - (D:\RECYCLER\S-1-5-21-9604379466-2783384235-045826979-4882\winmap.exe) - D:\RECYCLER\S-1-5-21-9604379466-2783384235-045826979-4882\winmap.exe File not found O20 - HKU\S-1-5-21-1957994488-839522115-854245398-1004 Winlogon: Shell - (D:\RECYCLER\S-1-5-21-9604379466-2783384235-045826979-4882\winmap.exe) - D:\RECYCLER\S-1-5-21-9604379466-2783384235-045826979-4882\winmap.exe File not found O20 - HKU\S-1-5-21-1957994488-839522115-854245398-1004 Winlogon: Shell - (explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKU\S-1-5-21-1957994488-839522115-854245398-1004 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe File not found O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-21-1957994488-839522115-854245398-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-1957994488-839522115-854245398-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O3 - HKU\S-1-5-21-1957994488-839522115-854245398-1004\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-1957994488-839522115-854245398-1004\..\Toolbar\WebBrowser: (no name) - {00000000-0002-0002-0000-000000000000} - No CLSID value found. O16 - DPF: DirectAnimation Java Classes file://D:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java file://D:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.) SRV - File not found [Disabled | Stopped] -- -- (Speed Disk service) SRV - File not found [Disabled | Stopped] -- -- (NProtectService) SRV - File not found [Disabled | Stopped] -- -- (GhostStartService) :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] :Commands [emptytemp] Uruchom proces usuwania przez Run Fix. Po restarcie otrzymasz z tego log. 2. W systemie ogólny bałagan i akcenty lamusowe: - Przestarzałe AVG w wersji 7 (aktualna to 9) tu figuruje w kombinacji z ESET. O jeden antywirus za dużo. Sprowadź status do tylko jednego wybranego antywirusa w najnowszej z dostępnych wersji. - Notuję tu bardzo przestarzałe sterowniki, siedzą też dwa stery obsługi graficznej (nVidia + ATI). Posprzątaj ten bałagan za pomocą Driver Sweeper i zainstaluj najnowsze dostępne dla tego sprzętu sterowniki grafiki. 3. Prezentujesz: log z czyszczenia OTL powstały w punkcie 1 + nowy zestaw logów z OTL i GMER wykonanych już po punkcie 2. . Odnośnik do komentarza
trpcp Opublikowano 14 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 AVG nie było w tray'u, ani w dodaj&usuń, wiec myślałem ze tak naprawde skrót na pulpicie nic nie znaczy, rzecz ciekawa: przed chwilą alert zabezpieczeń mi się wyświetlił że panda 7 jest nieaktywna ;p chyba faktycznie jest nieaktywna... Nie wiem jak ten komp przetrwał w tym stanie tak długo, myślałem ze widziałem je już wszystkie. tu sie zaraz pojawią logi: otl skanuje a eset wyswietla mi komunikat ze znalazł konia Starter w pliku comment.nt OTL.Txt post_cleanup_otl.txt Extras.Txt gmer.txt a tak nawiasem () mówiąc to cóż się mogło stać z tą infekcją... sama sobie poszła? aha.... to czyszczenie sterowników nie poszło bo nie mogło dostać się do jakiejś biblioteki NET.framework 2.0.... moze za chwile... Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2010 Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 (edytowane) AVG nie było w tray'u, ani w dodaj&usuń, wiec myślałem ze tak naprawde skrót na pulpicie nic nie znaczy Wg loga Extras z OTL program AVG jest na liście zainstalowanych programów w Dodaj/Usuń: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "AVG7Uninstall" = AVG Free Edition A to, że nie ma w trayu to wiem, bo są wyłączone wszystkie usługi AVG, ale wcale nie sterowniki AVG: ========== Win32 Services (SafeList) ========== SRV - [2008-01-10 08:16:02 | 000,406,528 | ---- | M] (GRISOFT, s.r.o.) [Disabled | Stopped] -- D:\Program Files\Grisoft\AVG Free\avgemc.exe -- (AVGEMS)SRV - [2007-11-09 08:23:50 | 000,418,816 | ---- | M] (GRISOFT, s.r.o.) [Disabled | Stopped] -- D:\Program Files\Grisoft\AVG Free\avgamsvr.exe -- (Avg7Alrt)SRV - [2007-09-11 18:05:02 | 000,049,664 | ---- | M] (GRISOFT, s.r.o.) [Disabled | Stopped] -- D:\Program Files\Grisoft\AVG Free\avgupsvc.exe -- (Avg7UpdSvc) ========== Driver Services (SafeList) ========== DRV - [2008-01-10 08:16:04 | 000,010,760 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\avgclean.sys -- (AvgClean)DRV - [2007-11-09 08:23:40 | 000,821,856 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System | Running] -- D:\WINDOWS\System32\Drivers\avg7core.sys -- (Avg7Core)DRV - [2007-09-11 18:05:30 | 000,027,776 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System | Running] -- D:\WINDOWS\System32\Drivers\avg7rsxp.sys -- (Avg7RsXP)DRV - [2007-09-11 18:05:30 | 000,004,224 | ---- | M] (GRISOFT, s.r.o.) [Kernel | System | Running] -- D:\WINDOWS\System32\Drivers\avg7rsw.sys -- (Avg7RsW)DRV - [2007-09-11 18:05:08 | 000,004,960 | ---- | M] (GRISOFT, s.r.o.) [Kernel | Auto | Running] -- D:\WINDOWS\System32\Drivers\avgtdi.sys -- (AvgTdi) rzecz ciekawa: przed chwilą alert zabezpieczeń mi się wyświetlił że panda 7 jest nieaktywna ;p chyba faktycznie jest nieaktywna.. Pandy tu nie ma. To musi być stary problem Centrum zabezpieczeń = nieadekwatne dane z WMI = brudne Repozytorium. Skorygujemy na końcu przez wyzerowanie Repozytorium. EDIT: Dodałeś logi. 1. W logu zostały pewne drobnostki z wartością Shell klucza bieżącego usera (OTL niby to usuwał, tylko to nadal jest): O20 - HKU\S-1-5-21-1957994488-839522115-854245398-1004 Winlogon: Shell - (D:\RECYCLER\S-1-5-21-9604379466-2783384235-045826979-4882\winmap.exe) - D:\RECYCLER\S-1-5-21-9604379466-2783384235-045826979-4882\winmap.exe File not foundO20 - HKU\S-1-5-21-1957994488-839522115-854245398-1004 Winlogon: Shell - (explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)O20 - HKU\S-1-5-21-1957994488-839522115-854245398-1004 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe File not found I pytanie, czy nie manipulowałeś tutaj na skrypcie wycinając ostatnią linię z sekcji "Reg", ponieważ w sekcji rejestru jest tylko usuwanie klucza z konfiguracją zapory lecz nie jego dodanie po usunięciu, a ja zadałam trzy importy a nie dwa: ========== REGISTRY ==========Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ deleted successfully.Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\ deleted successfully. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Korekcja Repozytorium WMI. Otwórz Notatnik i wklej w nim: net stop winmgmt CD D:\WINDOWS\system32\WBEM RD /S /Q Repository net start winmgmt Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik 3. Sprawa sterowników nadal aktualna: DRV - [2004-08-04 00:35:04 | 000,701,440 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)DRV - [2004-08-03 22:29:56 | 001,897,408 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv) 4. Podsumuj ogólnie co się dzieje z systemem.... a tak nawiasem () mówiąc to cóż się mogło stać z tą infekcją... sama sobie poszła? vs. musiałem jeszcze zainstalować antywirusa, który zaczoł wywalać exeki, patrzyłem jakie, leciały pokoleji pliki z tempów różnych . Edytowane 14 Czerwca 2010 przez picasso Odnośnik do komentarza
trpcp Opublikowano 14 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 (edytowane) nie pamiętam żebym w czym kolwiek manipulował, ale akurat mam faze maniakalną i ... powklejałem i pouruchamiałem, a teraz zrobie tak, zrestartuje, puszcze skan antywirusa (yyy.. wcześniej oczyszczę system volume information) bede się modlił zeby przy skanowaniu nie wyleciał jakiś komponent od tego niezmiernie ważnego softu, któregoż to nazwy nie zapamiętałem, i opowiem co się działo. no i sterowniki.. oczywiście... no i znalazło Sality C:\WINDOWS\SYSTEM\Precopy\Driver11.cab » CAB » lgacrop.dll - nie znaleziono następnego woluminu archiwum C:\WINDOWS\Temporary Internet Files\Content.IE5\2SY3V4K2\swflash[1].cab » CAB » Flash.ocx - uszkodzone archiwum — nie można rozpakować pliku. C:\WINDOWS\Temporary Internet Files\Content.IE5\2SY3V4K2\swflash[1].cab » CAB » GetFlash.exe - uszkodzone archiwum — nie można rozpakować pliku. C:\WINDOWS\Temporary Internet Files\Content.IE5\2SY3V4K2\swflash[1].cab » CAB » GetFlash.man - uszkodzone archiwum — nie można rozpakować pliku. C:\Zabezpieczenia\SaserIInneZabezpieczenia.part1.rar » RAR » - nie znaleziono następnego woluminu archiwum C:\Instale\Ad-aware 6.1\aaw-lang-pack.exe » WISE » - błąd podczas odczytu archiwum C:\Instale\Ad-aware 6.1\aaw6.exe » WISE » - błąd podczas odczytu archiwum D:\hiberfil.sys - błąd podczas otwierania D:\pagefile.sys - błąd podczas otwierania D:\WINDOWS\cidrive32.exe - odmiana wirusa Win32/Injector.BMB koń trojański D:\WINDOWS\IsUn0415.exe - Win32/Sality.AE wirus i panda też jest, ciągle, niestety, nieaktywna (niepotrzebne skreślić) narazie 60% skanu a całość wygląda tak: C:\WINDOWS\SYSTEM\Precopy\Driver11.cab » CAB » lgacrop.dll - nie znaleziono następnego woluminu archiwum C:\WINDOWS\Temporary Internet Files\Content.IE5\2SY3V4K2\swflash[1].cab » CAB » Flash.ocx - uszkodzone archiwum — nie można rozpakować pliku. C:\WINDOWS\Temporary Internet Files\Content.IE5\2SY3V4K2\swflash[1].cab » CAB » GetFlash.exe - uszkodzone archiwum — nie można rozpakować pliku. C:\WINDOWS\Temporary Internet Files\Content.IE5\2SY3V4K2\swflash[1].cab » CAB » GetFlash.man - uszkodzone archiwum — nie można rozpakować pliku. C:\Zabezpieczenia\SaserIInneZabezpieczenia.part1.rar » RAR » - nie znaleziono następnego woluminu archiwum C:\Instale\Ad-aware 6.1\aaw-lang-pack.exe » WISE » - błąd podczas odczytu archiwum C:\Instale\Ad-aware 6.1\aaw6.exe » WISE » - błąd podczas odczytu archiwum D:\hiberfil.sys - błąd podczas otwierania D:\pagefile.sys - błąd podczas otwierania D:\WINDOWS\cidrive32.exe - odmiana wirusa Win32/Injector.BMB koń trojański D:\WINDOWS\IsUn0415.exe - Win32/Sality.AE wirus D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx2.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx2.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit9.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit9.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit10.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit10.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx3.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx3.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit1.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit1.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit11.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit11.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit12.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit12.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx4.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx4.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit2.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit2.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit13.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit13.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit14.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit14.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx5.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx5.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit3.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit3.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit15.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit15.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit16.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit16.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit4.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit4.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit17.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit17.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit18.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit18.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\GAINDashBar.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\GAINDashBar.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit19.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit19.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit20.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit20.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit21.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit21.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit22.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit22.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx1.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx1.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit23.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit23.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit24.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit24.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit5.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit5.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit25.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit25.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit26.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit26.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit6.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit6.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit27.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit27.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit28.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit28.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit7.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit7.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit29.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit29.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit30.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit30.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit8.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit8.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit31.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit31.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit32.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit32.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit33.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit33.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit34.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\DSOExploit34.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx6.zip » ZIP » sbRecovery.reg - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\Xerx6.zip » ZIP » sbRecovery.ini - błąd — plik chroniony hasłem D:\Documents and Settings\All Users\Dokumenty\Moje obrazy\comment.htt - VBS/Starter.A koń trojański D:\Documents and Settings\All Users\Dokumenty\Moje obrazy\Przykładowe obrazy\comment.htt - VBS/Starter.A koń trojański D:\Documents and Settings\All Users\Dokumenty\Moja muzyka\comment.htt - VBS/Starter.A koń trojański D:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Przykładowa muzyka\comment.htt - VBS/Starter.A koń trojański D:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Identities\{761C1DE2-9D52-45EB-9D20-E8E54FF7BB0D}\Microsoft\Outlook Express\Elementy usunięte.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane) D:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Identities\{761C1DE2-9D52-45EB-9D20-E8E54FF7BB0D}\Microsoft\Outlook Express\Skrzynka nadawcza.dbx » DBX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane) D:\Documents and Settings\user\Moje dokumenty\Pobieranie\jxpiinstall.exe » CAB » jusched - uszkodzone archiwum — nie można rozpakować pliku. D:\Documents and Settings\user\Moje dokumenty\Pobieranie\jxpiinstall.exe » CAB » task.xml - uszkodzone archiwum — nie można rozpakować pliku. D:\Documents and Settings\user\Moje dokumenty\Pobieranie\jxpiinstall.exe » CAB » task64.xml - uszkodzone archiwum — nie można rozpakować pliku. D:\Documents and Settings\user\Dane aplikacji\Opera\Opera\profile\cache4\opr00046.htm - HTML/ScrInject.B.Gen wirus D:\Program Files\Opera\mail\store\account1\2005-11.mbs » MBOX - nie zawiera zagrożeń (skanowanie wewnątrz nie zostało wykonane) D:\Program Files\Divxpack\uninstall.exe » NSIS - nieprawidłowe archiwum D:\Program Files\Divxpack\UNSPY.EXE » NSIS - nieprawidłowa suma kontrolna CRC, plik może być uszkodzony no tak, to już troche dłuższe i bold nie działa ;p tylko ze te wirusy to już chyba nie aktywne, wiec jak je skasuje to bedzie chyba wszystko. (?) Ogólnie nie widać jakichś dysfunkcji (oprócz pandy) Edytowane 14 Czerwca 2010 przez trpcp Do takich krótkich logów nie ma potrzeby używać Załączników. Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2010 Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 no tak, to już troche dłuższe i bold nie działa ;p Nie działa, bo dałam tag który omija BBCode. Umyślnie. Tutaj nie widzę nic szczególnego w skanie. Te oczywiście na kasację: D:\WINDOWS\cidrive32.exe - odmiana wirusa Win32/Injector.BMB koń trojańskiD:\WINDOWS\IsUn0415.exe - Win32/Sality.AE wirusD:\Documents and Settings\All Users\Dokumenty\Moje obrazy\comment.htt - VBS/Starter.A koń trojańskiD:\Documents and Settings\All Users\Dokumenty\Moje obrazy\Przykładowe obrazy\comment.htt - VBS/Starter.A koń trojańskiD:\Documents and Settings\All Users\Dokumenty\Moja muzyka\comment.htt - VBS/Starter.A koń trojańskiD:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Przykładowa muzyka\comment.htt - VBS/Starter.A koń trojański Również do opróżnienia cały folder Tymczasowych i cache Opera: C:\WINDOWS\Temporary Internet Files\Content.IE5\2SY3V4K2\swflash[1].cab » CAB » Flash.ocx - uszkodzone archiwum — nie można rozpakować pliku.C:\WINDOWS\Temporary Internet Files\Content.IE5\2SY3V4K2\swflash[1].cab » CAB » GetFlash.exe - uszkodzone archiwum — nie można rozpakować pliku.C:\WINDOWS\Temporary Internet Files\Content.IE5\2SY3V4K2\swflash[1].cab » CAB » GetFlash.man - uszkodzone archiwum — nie można rozpakować pliku.D:\Documents and Settings\user\Dane aplikacji\Opera\Opera\profile\cache4\opr00046.htm - HTML/ScrInject.B.Gen wirus Poza tym, można powywalać z C:\Instale archaizmy (po co np. instalacja kompletnie przestarzałej wersji Ad-aware) oraz te archiwa cząstkowe dla których nie znaleziono wszystkich fragmentów. i panda też jest, ciągle, niestety, nieaktywna (niepotrzebne skreślić) Czy na pewno reset Repozytorium z pliku FIX.BAT się wykonał? Dopisz komendę PAUSE na końcu i przeprowadź proces raz jeszcze. PAUSE spowoduje, że utrzyma się okno z wynikami i podaj mi czy to się w ogóle wykonuje. . Odnośnik do komentarza
trpcp Opublikowano 14 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 (po co np. instalacja kompletnie przestarzałej wersji Ad-aware) też nie wiem, ja nie używam tego od 2005 roku Czy na pewno reset Repozytorium z pliku FIX.BAT się wykonał? Dopisz komendę PAUSE na końcu i przeprowadź proces raz jeszcze. PAUSE spowoduje, że utrzyma się okno z wynikami i podaj mi czy to się w ogóle wykonuje. wykonał się, ale powtórze po chwili.... HA!! po komendzie "RD /S /Q Repository" system zwraca ze nie może odnaleźć pliku i chyba dlatego ze nie przechodzi do windows\system32/wbem... zrobie ręcznie... no ale ze sleshami to sie nie popisałem ;p po następnej chwili... tym razem po "RD..." nie powiedział mi komputer nic, wiec chyba zrobił, ale restart później... Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2010 Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 HA!! po komendzie "RD /S /Q Repository" system zwraca ze nie może odnaleźć pliku i chyba dlatego ze nie przechodzi do windows\system32/wbem... zrobie ręcznie... 1. Założyłam, że linia CMD otwiera się na D, bo taki jest katalog Windows i tam też jest Docs and Settings (domyślna ścieżka ustawiana w CMD). Obrałam D, bo to wg OTL jest bieżący Windows, ale widzę po raportach, że plączą się i jakieś niesprecyzowane szczątki na C (dual boot?). Jeśli CMD otwiera się na C, to dlatego nie może wykonać zmiany katalogu. Wtedy poprawką jest dodanie drobnego przełącznika /D nakazującego zmienić także dysk: net stop winmgmt CD /D D:\WINDOWS\system32\WBEM RD /S /Q Repository net start winmgmt pause 2. Możesz także zrezygnować z BAT'ów i pojechać ręcznie: Start > Uruchom > services.msc i dwuklik na usługę Instrumentacja zarządzania Windows, daj ją na Pauzę i wywal całą zawartość folderu D:\WINDOWS\system32\WBEM\Repository, odpauzuj usługę / restart komputera. EDIT: po następnej chwili...tym razem po "RD..." nie powiedział mi komputer nic, wiec chyba zrobił, ale restart później... Dodałeś info. Wygląda więc na wykonanie zadania. . Odnośnik do komentarza
trpcp Opublikowano 14 Czerwca 2010 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2010 ok, wszystkie odczyty zielone (oprócz tych sterowników, ale to juz jutro) dzieki za pomoc i dzień spędzony w miłym towarzystwie (nawet tak powiedzieć mozna). Zamykamy. Odnośnik do komentarza
Rekomendowane odpowiedzi