Skocz do zawartości

Potrzebne pliki do podmianki zarazonych win xp


Rekomendowane odpowiedzi

Witam

polecono mi to forum na a innym jestem w pewnym etapie odvirusowywania laptopa i brakuje mi plikow do podmiany moich zarazonych na win xp prof :

expand X:\i386\explorer.ex_ C:\explorer.exe

expand X:\i386\DRWTSN32.EX_ C:\DRWTSN32.EXE

Mam log tlyko z otl jesli chodzi o gmer to 2 razy probowałem i komputer sie wył. po ok 20-30 min :/

 

z gory dzieki za pomoc POzdrawiam :)

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Podaj gdzie rozwiązywany temat i na jakiej podstawie pliki zostały wytypowane jako zarażone. Swoją drogą to tu jest znacznie więcej plików wyglądających na modyfikowane (dołóżmy do tego, że OTL to jest bardzo ograniczony skaner):

 

[2012-01-31 00:33:54 | 000,057,344 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\sol.exe

[2012-01-31 00:33:36 | 000,139,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\sndvol32.exe

[2012-01-31 00:31:25 | 000,355,328 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mspaint.exe

[2012-01-31 00:31:01 | 000,128,000 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mshearts.exe

[2012-01-31 00:30:34 | 000,032,256 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\mpnotify.exe

[2012-01-31 00:29:30 | 000,055,808 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\freecell.exe

[2012-01-31 00:28:07 | 000,080,896 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\charmap.exe

[2012-01-31 00:27:44 | 000,125,440 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\calc.exe

 

SRV - [2008-04-14 21:51:44 | 000,090,624 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\smlogsvc.exe -- (SysmonLog)

SRV - [2008-04-14 21:51:20 | 000,150,016 | ---- | M] () [On_Demand | Stopped] -- C:\WINDOWS\system32\IMAPI.EXE -- (ImapiService)

 

Tak więc proszę o wskazanie źródłowego tematu co tam się dzieje.

 

 

Mam log tlyko z otl jesli chodzi o gmer to 2 razy probowałem i komputer sie wył. po ok 20-30 min :/

 

Zastartuj system do Trybu awaryjnego i ponów próbę.

 

 

 

EDIT:

 

Znalazłam temat. Czyli infekcja Virut. Nooo .... tu wcale nie jest powiedziane, że to koniec i wystarczy tylko podmiana tych dwóch plików. W ogóle nie jest potwierdzone ile plików jest zainfekowanych aktualnie i czy cykl zarażania został przerwany. ComboFixem się tego nie ocenia. ComboFix sprawdza tylko niektóre pliki. Dlatego mnie interesuje po pierwsze log z GMER (który ujawni pewne czynności), po drugie skan programem antywirusowym wykonany w chwili obecnej. Dodatkowo, zastosuj VirutKiller i podaj rezultaty.

 

 

.

Edytowane przez picasso
Odnośnik do komentarza

ok dzieki to biore sie za gmera i virutkillera

 

to moze potrwac cała zime chyba :D

tak jest ! robi sie virut...

 

apropos cierpliwosci to chyba na poczatku sie zle nastawilem do tematu myslałem ze to bedzie prostsze a tu 4 noc to robie hehe Wiec wielkie dzieki za zainteresowanie i działam dalej...

h

 

Hej zobiłem log z gmera a virutkiller chyba nic nie znalałz same zera sie pokazały wiec nacisnąłem dowolny klawisz by kontynuowac okno znikło A komputer od wczoraj strasznie zamula...

gmer.txt

Odnośnik do komentarza

Chodziło mi o Edycję postów, gdy nikt jeszcze nie odpisał ... Oczywiście gdy mój post jest, spodziewam się, iż odpowiesz mi pod spodem. Zedytowałeś post "wstecz" i teraz nie ma to logiki. Usuwam więc swój post, skoro odpowiadasz na niego nie po kolei ....

 

Wg GMER widać tylko zmodyfikowany explorer.exe. Jednakże wg OTL jest więcej plików naruszonych (brakuje różnież niektórych, dwie usługi Windows są oznaczone jako "not found"), albo uszkodzone przez wirusa albo leczeniem przez skanery. OTL jest bardzo ograniczony i mogę zrobić tylko to co widać, ale szkód w systemie może być znacznie więcej. Przejdźmy więc do działań zamiany:

 

1. Paczka plików: KLIK. Finałowo masz mieć rozpakowany katalog C:\Pliki, gdyż ta ścieżka zostanie użyta do zamiany.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
C:\WINDOWS\explorer.exe|C:\Pliki\explorer.exe /replace
C:\WINDOWS\system32\DRWTSN32.EXE|C:\Pliki\DRWTSN32.EXE /replace
C:\WINDOWS\system32\dllhost.exe|C:\Pliki\dllhost.exe /Replace
C:\WINDOWS\system32\smlogsvc.exe|C:\Pliki\smlogsvc.exe /Replace
C:\WINDOWS\system32\IMAPI.EXE|C:\Pliki\IMAPI.EXE /Replace
C:\WINDOWS\System32\sol.exe|C:\Pliki\sol.exe /Replace
C:\WINDOWS\System32\sndvol32.exe|C:\Pliki\sndvol32.exe /Replace
C:\WINDOWS\System32\mspaint.exe|C:\Pliki\mspaint.exe /Replace
C:\WINDOWS\System32\mshearts.exe|C:\Pliki\mshearts.exe /Replace
C:\WINDOWS\System32\mpnotify.exe|C:\Pliki\mpnotify.exe /Replace
C:\WINDOWS\System32\freecell.exe|C:\Pliki\freecell.exe /Replace
C:\WINDOWS\System32\charmap.exe|C:\Pliki\charmap.exe /Replace
C:\WINDOWS\System32\calc.exe|C:\Pliki\calc.exe /Replace
C:\WINDOWS\System32\dllcache\explorer.exe|C:\Pliki\explorer.exe /replace
C:\WINDOWS\System32\dllcache\DRWTSN32.EXE|C:\Pliki\DRWTSN32.EXE /replace
C:\WINDOWS\System32\dllcache\dllhost.exe|C:\Pliki\dllhost.exe /Replace
C:\WINDOWS\System32\dllcache\smlogsvc.exe|C:\Pliki\smlogsvc.exe /Replace
C:\WINDOWS\System32\dllcache\IMAPI.EXE|C:\Pliki\IMAPI.EXE /Replace
C:\WINDOWS\System32\dllcache\sol.exe|C:\Pliki\sol.exe /Replace
C:\WINDOWS\System32\dllcache\sndvol32.exe|C:\Pliki\sndvol32.exe /Replace
C:\WINDOWS\System32\dllcache\mspaint.exe|C:\Pliki\mspaint.exe /Replace
C:\WINDOWS\System32\dllcache\mshearts.exe|C:\Pliki\mshearts.exe /Replace
C:\WINDOWS\System32\dllcache\mpnotify.exe|C:\Pliki\mpnotify.exe /Replace
C:\WINDOWS\System32\dllcache\freecell.exe|C:\Pliki\freecell.exe /Replace
C:\WINDOWS\System32\dllcache\charmap.exe|C:\Pliki\charmap.exe /Replace
C:\WINDOWS\System32\dllcache\calc.exe|C:\Pliki\calc.exe /Replace
C:\Documents and Settings\All Users\Dane aplikacji\whlprd32a.dll
C:\Documents and Settings\NetworkService\Dane aplikacji\rbuwzv.dat
C:\Documents and Settings\Lila\Dane aplikacji\searchquband
C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
 
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://www.searchqu.com/web?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}"
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.)"

 

Rozpocznij proces przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami działań.

 

3. Uruchom zgodnie ze wskazówkami ComboFix.

 

4. Przedstawiasz: log otrzymany z usuwania w puncie 1, log z działań ComboFix z punktu 2 oraz nowy log z OTL zrobiony opcją Skanuj.

 

 

Oczywiście odpisujesz już pod moim postem.

 

 

 

.

Odnośnik do komentarza

Skoro twierdzisz, że masz C:\pliki\pliki, to w takim razie pliki z katalogu C:\pliki\pliki przenieś do C:\Pliki

Po tym działaniu (upewnij się, że w katalogu C:\Pliki znajdują się takie pliki jak explorer.exe, DRWTSN32.EXE, dllhost.exe i tak dalej...) wykonaj punkt 2 z postu #4 oraz przedstaw nowy log z OTL z opcji Skanuj.

 

#up

Wyprzedziłeś mnie =)

Odnośnik do komentarza

Podmiana prawie wykonana, za wyjątkiem jednego pliku. Widzę jednakże kolejne zmodyfikowane pliki .... W ComboFix widać np. świeże daty dla pliku Notatnika oraz oprogramowania sieci bezprzewodowej Broadcom Wireless:

 

2012-01-30 23:35 . 2007-11-25 13:23	48128	----a-w-	c:\windows\system32\WLTRYSVC.EXE

2012-01-30 23:32 . 2004-08-03 22:44 80384 ----a-w- c:\windows\system32\notepad.exe

 

Również w sekcji plików niesygnowanych podejrzane odczyty. Mogę oczywiście w kółko dosyłać pliki i je podmieniać, tylko jak mówiłam, nie jest w ogóle znany faktyczny zakres szkód. Być może wirus już wyleczony, ale często leczenie plików kończy się ich uszkodzeniem. Nie mam żadnego zaufania do tego systemu i moim zdaniem lepiej byłoby go postawić na nowo. Zasadnicze pytanie: czy masz płytę instalacyjną XP lub możliwość pożyczenia jej od kogoś? Przy braku płyty:

 

 

1. Odinstaluj w prawidłowy sposób ComboFix. W Start > Uruchom > wklej komendę:

 

"C:\Documents and settings\Lila\Pulpit\ComboFix.exe" /uninstall

 

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
rd /s /q C:\Windows\ERDNT /C
rd /s /q "C:\Documents and settings\Lila\DoctorWeb" /C
 
:Reg
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"Shell"=-
 
:Commands
[emptytemp]

 

Rozpocznij proces przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Po tym użyj Sprzątanie w OTL, które z kasuje z dysku program i jego kwarantannę.

 

 

3. Wykonaj także porządki dodatkowe:

  • Usunięcie z WMI rejestracji MKS. Instrukcje: KLIK. Do wykonania "Metoda usuwania 1", we wbemtest.exe łączysz się z root\SecurityCenter, wpisujesz komendę SELECT * FROM AntiVirusProduct, a identyfikator programu to {163C25B5-5987-428D-9426-9C29A96444AB}.
  • Na dysku są ślady po instalacji ESET. Skorzystaj z firmowego usuwacza ESET Uninstaller.
  • Usunięcie martwych sterowników napędów wirtualnych: skorzystaj z narzędzia SPTDinst. Restart systemu, następnie Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych co ujawni listę "Sterowników niezgodnych z Plug and Play". Na liście wyszukaj urządzenia od napędów wirtualnych i odinstaluj.

DRV - [2007-11-25 19:43:37 | 000,223,128 | ---- | M] (DT Soft Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi)

DRV - [2007-11-25 19:41:58 | 000,642,560 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

 

4. W związku z tym, że obszar naruszeń nie jest precyzyjnie zdefiniowany, przeładuj cały Service Pack, tzn. odinstaluj go i ponownie zainstaluj, co ponadpisuje hurtem pliki systemu. SP3 figuruje na liście Dodaj / Usuń programy, toteż proces jest możliwy:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Windows XP Service Pack" = Windows XP Service Pack 3

 

Instalator SP3 oraz IE8 (tak, zintegrowaną przeglądarkę też musisz aktualizować) pobierzesz stąd: KLIK.

 

 

5. Na koniec pobierz od nowa OTL i zrób nowy log opcją Skanuj.

 

 

.

Odnośnik do komentarza

Jeżeli wykonywałeś krok po kroku instrukcje, to oczywiście ComboFix miał zniknąć. W punkcie 1 zadałam przecież jego deinstalację, która usuwa również główny plik ComboFix.exe. Co do braku OTL, to nie wiem co się stało, ale to wygląda jak omyłkowo użyta funkcja Sprzątanie a nie Wykonaj skrypt. Już się nad tym nie zastanawiaj i przejdź do wykonania dalszych punktów.

 

 

 

.

Odnośnik do komentarza

Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych co ujawni listę "Sterowników niezgodnych z Plug and Play". Na liście wyszukaj urządzenia od napędów wirtualnych i odinstaluj.

DRV - [2007-11-25 19:43:37 | 000,223,128 | ---- | M] (DT Soft Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi)

DRV - [2007-11-25 19:41:58 | 000,642,560 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

nie umiem tego znlezc albo nie kumam bazy rozwija mi sie drzewo z urzdzeniami i co mam odinstalowac i pod jaka nazwa ?! ( ta w tabelce? )

Odnośnik do komentarza

Ale ja prosiłam:

 

5. Na koniec pobierz od nowa OTL i zrób nowy log opcją Skanuj.

 

Ten podany tu log z usuwania mnie w ogóle nie interesował i nie prosiłam o niego. Znacznie ważniejsze były kolejne operacje, a potwierdzenie wykonania wszystkich akcji to log z OTL.

 

 

.

Edytowane przez picasso
12.03.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...