oldskul9 Opublikowano 3 Lutego 2012 Zgłoś Udostępnij Opublikowano 3 Lutego 2012 Witam polecono mi to forum na a innym jestem w pewnym etapie odvirusowywania laptopa i brakuje mi plikow do podmiany moich zarazonych na win xp prof : expand X:\i386\explorer.ex_ C:\explorer.exe expand X:\i386\DRWTSN32.EX_ C:\DRWTSN32.EXE Mam log tlyko z otl jesli chodzi o gmer to 2 razy probowałem i komputer sie wył. po ok 20-30 min :/ z gory dzieki za pomoc POzdrawiam OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2012 Zgłoś Udostępnij Opublikowano 3 Lutego 2012 (edytowane) Podaj gdzie rozwiązywany temat i na jakiej podstawie pliki zostały wytypowane jako zarażone. Swoją drogą to tu jest znacznie więcej plików wyglądających na modyfikowane (dołóżmy do tego, że OTL to jest bardzo ograniczony skaner): [2012-01-31 00:33:54 | 000,057,344 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\sol.exe[2012-01-31 00:33:36 | 000,139,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\sndvol32.exe[2012-01-31 00:31:25 | 000,355,328 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mspaint.exe[2012-01-31 00:31:01 | 000,128,000 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mshearts.exe[2012-01-31 00:30:34 | 000,032,256 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mpnotify.exe[2012-01-31 00:29:30 | 000,055,808 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\freecell.exe[2012-01-31 00:28:07 | 000,080,896 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\charmap.exe[2012-01-31 00:27:44 | 000,125,440 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\calc.exe SRV - [2008-04-14 21:51:44 | 000,090,624 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\smlogsvc.exe -- (SysmonLog)SRV - [2008-04-14 21:51:20 | 000,150,016 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\IMAPI.EXE -- (ImapiService) Tak więc proszę o wskazanie źródłowego tematu co tam się dzieje. Mam log tlyko z otl jesli chodzi o gmer to 2 razy probowałem i komputer sie wył. po ok 20-30 min :/ Zastartuj system do Trybu awaryjnego i ponów próbę. EDIT: Znalazłam temat. Czyli infekcja Virut. Nooo .... tu wcale nie jest powiedziane, że to koniec i wystarczy tylko podmiana tych dwóch plików. W ogóle nie jest potwierdzone ile plików jest zainfekowanych aktualnie i czy cykl zarażania został przerwany. ComboFixem się tego nie ocenia. ComboFix sprawdza tylko niektóre pliki. Dlatego mnie interesuje po pierwsze log z GMER (który ujawni pewne czynności), po drugie skan programem antywirusowym wykonany w chwili obecnej. Dodatkowo, zastosuj VirutKiller i podaj rezultaty. . Edytowane 4 Lutego 2012 przez picasso Odnośnik do komentarza
oldskul9 Opublikowano 3 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2012 ok dzieki to biore sie za gmera i virutkillera to moze potrwac cała zime chyba tak jest ! robi sie virut... apropos cierpliwosci to chyba na poczatku sie zle nastawilem do tematu myslałem ze to bedzie prostsze a tu 4 noc to robie hehe Wiec wielkie dzieki za zainteresowanie i działam dalej... h Hej zobiłem log z gmera a virutkiller chyba nic nie znalałz same zera sie pokazały wiec nacisnąłem dowolny klawisz by kontynuowac okno znikło A komputer od wczoraj strasznie zamula... gmer.txt Odnośnik do komentarza
picasso Opublikowano 4 Lutego 2012 Zgłoś Udostępnij Opublikowano 4 Lutego 2012 Chodziło mi o Edycję postów, gdy nikt jeszcze nie odpisał ... Oczywiście gdy mój post jest, spodziewam się, iż odpowiesz mi pod spodem. Zedytowałeś post "wstecz" i teraz nie ma to logiki. Usuwam więc swój post, skoro odpowiadasz na niego nie po kolei .... Wg GMER widać tylko zmodyfikowany explorer.exe. Jednakże wg OTL jest więcej plików naruszonych (brakuje różnież niektórych, dwie usługi Windows są oznaczone jako "not found"), albo uszkodzone przez wirusa albo leczeniem przez skanery. OTL jest bardzo ograniczony i mogę zrobić tylko to co widać, ale szkód w systemie może być znacznie więcej. Przejdźmy więc do działań zamiany: 1. Paczka plików: KLIK. Finałowo masz mieć rozpakowany katalog C:\Pliki, gdyż ta ścieżka zostanie użyta do zamiany. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files C:\WINDOWS\explorer.exe|C:\Pliki\explorer.exe /replace C:\WINDOWS\system32\DRWTSN32.EXE|C:\Pliki\DRWTSN32.EXE /replace C:\WINDOWS\system32\dllhost.exe|C:\Pliki\dllhost.exe /Replace C:\WINDOWS\system32\smlogsvc.exe|C:\Pliki\smlogsvc.exe /Replace C:\WINDOWS\system32\IMAPI.EXE|C:\Pliki\IMAPI.EXE /Replace C:\WINDOWS\System32\sol.exe|C:\Pliki\sol.exe /Replace C:\WINDOWS\System32\sndvol32.exe|C:\Pliki\sndvol32.exe /Replace C:\WINDOWS\System32\mspaint.exe|C:\Pliki\mspaint.exe /Replace C:\WINDOWS\System32\mshearts.exe|C:\Pliki\mshearts.exe /Replace C:\WINDOWS\System32\mpnotify.exe|C:\Pliki\mpnotify.exe /Replace C:\WINDOWS\System32\freecell.exe|C:\Pliki\freecell.exe /Replace C:\WINDOWS\System32\charmap.exe|C:\Pliki\charmap.exe /Replace C:\WINDOWS\System32\calc.exe|C:\Pliki\calc.exe /Replace C:\WINDOWS\System32\dllcache\explorer.exe|C:\Pliki\explorer.exe /replace C:\WINDOWS\System32\dllcache\DRWTSN32.EXE|C:\Pliki\DRWTSN32.EXE /replace C:\WINDOWS\System32\dllcache\dllhost.exe|C:\Pliki\dllhost.exe /Replace C:\WINDOWS\System32\dllcache\smlogsvc.exe|C:\Pliki\smlogsvc.exe /Replace C:\WINDOWS\System32\dllcache\IMAPI.EXE|C:\Pliki\IMAPI.EXE /Replace C:\WINDOWS\System32\dllcache\sol.exe|C:\Pliki\sol.exe /Replace C:\WINDOWS\System32\dllcache\sndvol32.exe|C:\Pliki\sndvol32.exe /Replace C:\WINDOWS\System32\dllcache\mspaint.exe|C:\Pliki\mspaint.exe /Replace C:\WINDOWS\System32\dllcache\mshearts.exe|C:\Pliki\mshearts.exe /Replace C:\WINDOWS\System32\dllcache\mpnotify.exe|C:\Pliki\mpnotify.exe /Replace C:\WINDOWS\System32\dllcache\freecell.exe|C:\Pliki\freecell.exe /Replace C:\WINDOWS\System32\dllcache\charmap.exe|C:\Pliki\charmap.exe /Replace C:\WINDOWS\System32\dllcache\calc.exe|C:\Pliki\calc.exe /Replace C:\Documents and Settings\All Users\Dane aplikacji\whlprd32a.dll C:\Documents and Settings\NetworkService\Dane aplikacji\rbuwzv.dat C:\Documents and Settings\Lila\Dane aplikacji\searchquband C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://www.searchqu.com/web?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}" O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.)" Rozpocznij proces przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami działań. 3. Uruchom zgodnie ze wskazówkami ComboFix. 4. Przedstawiasz: log otrzymany z usuwania w puncie 1, log z działań ComboFix z punktu 2 oraz nowy log z OTL zrobiony opcją Skanuj. Oczywiście odpisujesz już pod moim postem. . Odnośnik do komentarza
oldskul9 Opublikowano 4 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2012 ehh mam problem zrobilem to usuwanie w otl komputer sie zrestartował ale po restarcie juz nie właczyl sie otl i nie mam loga... ?! chyba ze nie wiem gdzie jest !? na dodatek komputer stasznie sie przycina bez wzg. na to co robie... chyba znalazłem go w c:\otl\moved files 02042012_145643.txt Odnośnik do komentarza
jessica Opublikowano 4 Lutego 2012 Zgłoś Udostępnij Opublikowano 4 Lutego 2012 Czy rozpakowałeś te pliki do specjalnie utworzonego folderu C:\Pliki ? Bo to chyba tak wygląda, jakbyś tych plików przesłanych przez @Picasso w ogóle nie rozpakował z .zip. Odnośnik do komentarza
oldskul9 Opublikowano 4 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2012 hmm no mozliwe teraz sprawdziłem to wypakowało sie do c:\pliki\pliki to pewnie robi rożnice tak? Odnośnik do komentarza
Anonim8 Opublikowano 4 Lutego 2012 Zgłoś Udostępnij Opublikowano 4 Lutego 2012 Scieżka ma być C:\Pliki a nie c:\pliki\pliki niepotrzebny dodatkowy folder, ponieważ już jest Odnośnik do komentarza
Nights Opublikowano 4 Lutego 2012 Zgłoś Udostępnij Opublikowano 4 Lutego 2012 Skoro twierdzisz, że masz C:\pliki\pliki, to w takim razie pliki z katalogu C:\pliki\pliki przenieś do C:\Pliki Po tym działaniu (upewnij się, że w katalogu C:\Pliki znajdują się takie pliki jak explorer.exe, DRWTSN32.EXE, dllhost.exe i tak dalej...) wykonaj punkt 2 z postu #4 oraz przedstaw nowy log z OTL z opcji Skanuj. #up Wyprzedziłeś mnie =) Odnośnik do komentarza
oldskul9 Opublikowano 4 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lutego 2012 wiem wiem samo sie tak rozpakowało ehh zaraz to zrobie... combofixa tez zrobic na nowo ? OTL.Txt log.txt 02042012_202943-2.txt Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2012 Zgłoś Udostępnij Opublikowano 5 Lutego 2012 Podmiana prawie wykonana, za wyjątkiem jednego pliku. Widzę jednakże kolejne zmodyfikowane pliki .... W ComboFix widać np. świeże daty dla pliku Notatnika oraz oprogramowania sieci bezprzewodowej Broadcom Wireless: 2012-01-30 23:35 . 2007-11-25 13:23 48128 ----a-w- c:\windows\system32\WLTRYSVC.EXE2012-01-30 23:32 . 2004-08-03 22:44 80384 ----a-w- c:\windows\system32\notepad.exe Również w sekcji plików niesygnowanych podejrzane odczyty. Mogę oczywiście w kółko dosyłać pliki i je podmieniać, tylko jak mówiłam, nie jest w ogóle znany faktyczny zakres szkód. Być może wirus już wyleczony, ale często leczenie plików kończy się ich uszkodzeniem. Nie mam żadnego zaufania do tego systemu i moim zdaniem lepiej byłoby go postawić na nowo. Zasadnicze pytanie: czy masz płytę instalacyjną XP lub możliwość pożyczenia jej od kogoś? Przy braku płyty: 1. Odinstaluj w prawidłowy sposób ComboFix. W Start > Uruchom > wklej komendę: "C:\Documents and settings\Lila\Pulpit\ComboFix.exe" /uninstall 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files rd /s /q C:\Windows\ERDNT /C rd /s /q "C:\Documents and settings\Lila\DoctorWeb" /C :Reg [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system] "Shell"=- :Commands [emptytemp] Rozpocznij proces przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Po tym użyj Sprzątanie w OTL, które z kasuje z dysku program i jego kwarantannę. 3. Wykonaj także porządki dodatkowe: Usunięcie z WMI rejestracji MKS. Instrukcje: KLIK. Do wykonania "Metoda usuwania 1", we wbemtest.exe łączysz się z root\SecurityCenter, wpisujesz komendę SELECT * FROM AntiVirusProduct, a identyfikator programu to {163C25B5-5987-428D-9426-9C29A96444AB}. Na dysku są ślady po instalacji ESET. Skorzystaj z firmowego usuwacza ESET Uninstaller. Usunięcie martwych sterowników napędów wirtualnych: skorzystaj z narzędzia SPTDinst. Restart systemu, następnie Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych co ujawni listę "Sterowników niezgodnych z Plug and Play". Na liście wyszukaj urządzenia od napędów wirtualnych i odinstaluj. DRV - [2007-11-25 19:43:37 | 000,223,128 | ---- | M] (DT Soft Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi)DRV - [2007-11-25 19:41:58 | 000,642,560 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) 4. W związku z tym, że obszar naruszeń nie jest precyzyjnie zdefiniowany, przeładuj cały Service Pack, tzn. odinstaluj go i ponownie zainstaluj, co ponadpisuje hurtem pliki systemu. SP3 figuruje na liście Dodaj / Usuń programy, toteż proces jest możliwy: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Windows XP Service Pack" = Windows XP Service Pack 3 Instalator SP3 oraz IE8 (tak, zintegrowaną przeglądarkę też musisz aktualizować) pobierzesz stąd: KLIK. 5. Na koniec pobierz od nowa OTL i zrób nowy log opcją Skanuj. . Odnośnik do komentarza
oldskul9 Opublikowano 5 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2012 Chyba pojawil sie problem?! po wykonaniu tego skryptu w OTL zrobił sie restart ale otl.exe zniknął podobnie zreszta combofix.exe z pulpitu , ale miałem starszą wersje jeszcze sciagnieta i ja przerzucilem na pulpit i odinstalowal sie niby poprawnie nie wiem teraz jak to wyglada fachowym okiem... Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2012 Zgłoś Udostępnij Opublikowano 5 Lutego 2012 Nie wiem co tu kombinujesz. Po użyciu opcji Sprzątanie oczywiście wszystko zniknie (OTL i jego kwarantanna). Odnośnik do komentarza
oldskul9 Opublikowano 5 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2012 no własnie nie zdazylem dac opcji sprzatanie bo inkona otl.exe po restarcie znikła... Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Na pewno? Czy nie jest tak, że OTL jest po prostu poza krawędzią widoczności Pulpitu? Wejdź do folderu Pulpitu C:\Documents and Settings\Lila\Pulpit i sprawdź czy w tak otworzonym katalogu widać OTL. . Odnośnik do komentarza
oldskul9 Opublikowano 6 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Nie ma. Wczesniej dawalem wyszukaj wiec powinno znalezc ale nie bylo wydaje mi sie ze combofix tex znikł... Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Jeżeli wykonywałeś krok po kroku instrukcje, to oczywiście ComboFix miał zniknąć. W punkcie 1 zadałam przecież jego deinstalację, która usuwa również główny plik ComboFix.exe. Co do braku OTL, to nie wiem co się stało, ale to wygląda jak omyłkowo użyta funkcja Sprzątanie a nie Wykonaj skrypt. Już się nad tym nie zastanawiaj i przejdź do wykonania dalszych punktów. . Odnośnik do komentarza
oldskul9 Opublikowano 6 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych co ujawni listę "Sterowników niezgodnych z Plug and Play". Na liście wyszukaj urządzenia od napędów wirtualnych i odinstaluj. DRV - [2007-11-25 19:43:37 | 000,223,128 | ---- | M] (DT Soft Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi) DRV - [2007-11-25 19:41:58 | 000,642,560 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) nie umiem tego znlezc albo nie kumam bazy rozwija mi sie drzewo z urzdzeniami i co mam odinstalowac i pod jaka nazwa ?! ( ta w tabelce? ) Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Rozwiń gałązki (włącznie z sekcją "Sterowniki niezgodne z Plug and Play"), porób z tego zrzuty ekranu i tu zaprezentuj. . Odnośnik do komentarza
oldskul9 Opublikowano 6 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2012 prosze Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 W sekcji "Sterowniki niezgodne z Plug and play" odinstaluj: sptd oraz ATE_PROCMON (to jest resztka po Anti Trojan Elite). Odnośnik do komentarza
oldskul9 Opublikowano 12 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lutego 2012 hej troche mnie nie było - praca ;/ oto log z otl log.txt Odnośnik do komentarza
picasso Opublikowano 12 Lutego 2012 Zgłoś Udostępnij Opublikowano 12 Lutego 2012 (edytowane) Ale ja prosiłam: 5. Na koniec pobierz od nowa OTL i zrób nowy log opcją Skanuj. Ten podany tu log z usuwania mnie w ogóle nie interesował i nie prosiłam o niego. Znacznie ważniejsze były kolejne operacje, a potwierdzenie wykonania wszystkich akcji to log z OTL. . Edytowane 12 Marca 2012 przez picasso 12.03.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi