Abnow.com

[Niewik]

Witam

 

Jak żauważyłem dużo osob na tym forum ma podobny problem chciałem to naprawić na własny rachunek lecz mi sie nie udało wiec zwracam sie z proźbą do was. Combofix nie działa mi w Trybie Awaryjnym. Pragnołem zrobic to jak opisywali w innym temacie z pendrivem lecz go nie posiadam i czy jest jakiś inny sposob rozwiozania tego problemu??

 

PS: Załączam wszystkie potrzebne informacje

Extras.Txt

OTL.Txt

[Landuss]

Masz system 64-bitowy, a Gmer nie jest programem na taki system. Jego log usuwam, nie jest potrzebny i wcale nie pokazuje tego co powinien. Skoro ComboFix nie chce zadziałać trzeba spróbować innej metody.

 

1. Przygotuj w Notatniku następujący skrypt:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: vetefile
NETSVC: Wpsnuio
NETSVC: vsbus
NETSVC: nvidesm
SRV:64bit: - [2009-07-14 02:39:46 | 000,005,120 | ---- | M] (Iomega) [Auto | Stopped] -- C:\Windows\SysNative\avgio.dll -- (vetefile)
SRV:64bit: - [2009-07-14 02:39:46 | 000,005,120 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\eventsystem.dll -- (Wpsnuio)
SRV:64bit: - [2009-07-14 02:39:46 | 000,005,120 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\CnxtHdAudService.dll -- (vsbus)
SRV:64bit: - [2009-07-14 02:39:46 | 000,005,120 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\elbydelay.dll -- (nvidesm)
C:\Windows\System32\consrv.dll
C:\Windows\SysNative\dds_log_ad13.cmd
C:\Windows\SysNative\%APPDATA%
C:\Windows\assembly\tmp\U
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Users\Niewik\AppData\Local\277c3136

 

Plik zapisz pod nazwą fixlist.txt

 

2. Pobierz narzędzie FRST x64 Narzedzie FRST umieść na pendrive razem z plikiem fixlist.txt. Przy starcie komputera daj F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt. Restartujesz do Windows.

 

3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

4. Do oceny dajesz log z działania w punkcie 2, nowy log ze skanowania OTL i z Farbar Service Scanner (zaznacz wszystko do skanowania).

[Niewik]

Wiram

 

Chciałem zrobic tak jak kolega na górze mnie istruował ale wystopil pewien problem kiedy chcialem uruchomic ponownie komputer to komputer nie wchodzi do windowsa. Zrobiłem naprawienie systemu ale to nic nie daje pisze ze niby jest podlączony jakis sprzęt typu aparat lub pendirve. A odlączylem go na samym początku. Teraz nie wiem czy mozną to jakims sposobem zaradzić czy ostatnim rozwiązaniem tego problemu jest format??

 

Pozdrawiam i Czekam na Pomoc

[Landuss]

Musisz jaśniej napisać jaki konkretnie błąd się pojawia? Nawet w awaryjnym tak jest?

[picasso]

Landuss

 

Połowa Twojego skryptu nie przejdzie:

- Dałeś formatowanie skryptu OTL a nie skryptu FRST w części usług

- Dałeś ścieżkę SysNative, a to jest alias umożliwiający dostęp aplikacjom 32-bit (taką jest OTL) do natywnie 64-bitowej części, a tu jest używany natywnie 64-bitowy FRST, który widzi system32, alias SysNative nie ma tu zastosowania i w ogóle narzędzie tego nie zinterpretuje.

 

Prawidłowy skrypt to:

 

SubSystems: [Windows] ==> ZeroAccess
NETSVC: vetefile
NETSVC: Wpsnuio
NETSVC: vsbus
NETSVC: nvidesm
2 vetefile; C:\Windows\System32\avgio.dll [5120 2009-07-14] (Iomega)
2 Wpsnuio; C:\Windows\System32\eventsystem.dll [5120 2009-07-14]
2 vsbus; C:\Windows\System32\CnxtHdAudService.dll [5120 2009-07-14]
2 nvidesm; C:\Windows\System32\elbydelay.dll [5120 2009-07-14]
C:\Windows\system32\consrv.dll
C:\Windows\system32\dds_log_ad13.cmd
C:\Windows\system32\%APPDATA%
C:\Windows\assembly\tmp\U
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\GAC_64\desktop.ini
C:\Windows\assembly\GAC_32\desktop.ini
C:\Users\Niewik\AppData\Local\277c3136

 

 

Niewik

 

Chciałem zrobic tak jak kolega na górze mnie istruował ale wystopil pewien problem kiedy chcialem uruchomic ponownie komputer to komputer nie wchodzi do windowsa.

 

Po pierwsze to sprecyzuj dokładniej czy w ogóle doszło tu do użycia narzędzia FRST? Co do objawów, to podstawowe skojarzenie przy infekcji ZeroAccess na systemie 64-bit to usunięcie pliku consrv.dll ZeroAccess bez dostosowania rejestru. W takiej sytuacji system w ogóle nie zastartuje w żadnym trybie. I w tym przypadku poprawiony przeze mnie skrypt do FRST jest nadal aktualny (przepuszczenie skryptu nadal wykonalne przy niestartującym Windows), linia "SubSystems: [Windows] ==> ZeroAccess" w skrypcie do FRST skoryguje ten problem. Tylko, że mówiłeś:

 

 

Combofix nie działa mi w Trybie Awaryjnym. Pragnołem zrobic to jak opisywali w innym temacie z pendrivem lecz go nie posiadam i czy jest jakiś inny sposob rozwiozania tego problemu??

 

Landuss zadał akcje przy użyciu pendrive właśnie. Narzędzie musi być umieszczone na separowanym nośniku z poziomu którego zostanie uruchomione, bo na dysku C to nie przejdzie wg instrukcji (FRST przemontowuje układ i liternictwo ulega przetasowaniu, FRST nie może zostać odnaleziony, dopóki się nie sprawdzi ręcznie liter i nie przekieruje komendy). Deklarowałeś brak pendrive (albo ja nie rozumiem co Ty mówisz), to jak Ty właściwie chciałeś się zabrać za wykonanie poleceń?

 

Tak przy okazji, co to oznacza "Combofix nie działa mi w Trybie Awaryjnym" i czy to przypadkiem nie było tak, że próbowałeś uruchomić narzędzie > po nieudanych próbach jego startu nie restartowałeś systemu (tym samym usterka jeszcze się nie ujawniła) > następnie restart i już nie można wejść do Windows? Jeśli tak to wyglądało, winę za niemożność startu może ponosić nieudana operacja z ComboFix, który albo nie dokończył pracy, albo coś odwróciło częściowo jego działania (konkretnie: usługa pomocnicza ZeroAccess).

 

 

Zrobiłem naprawienie systemu ale to nic nie daje pisze ze niby jest podlączony jakis sprzęt typu aparat lub pendirve. A odlączylem go na samym początku.

 

No dobrze, ale gdzie Ty widzisz ten komunikat, przy której akcji?

 

 

.

[Niewik]

ODP:

1 Nie doszło do użycia Frst ponieważ przy wpisaniu w "wiersz poleceń" Frst.exe program nie chcial mi się pokazać

2 Pożyczyłem Pendrive i dlatego mogłem z tej opcji skorzystać

3 ComboFix uruchamiał mi sie lecz kiedy się załadował automatycznie sie wyłaczał i nie bylo zadnej reakcji

4 Naprawienie systemu: Pokazuje wszystko na zdjęciach które załączam do postu.

 

Teraz chciałem zapaytać jak to zrobic by komputer ponownie mogł sie uruchomić i calkowicie usunąc infekcje?

[picasso]

1 Nie doszło do użycia Frst ponieważ przy wpisaniu w "wiersz poleceń" Frst.exe program nie chcial mi się pokazać

2 Pożyczyłem Pendrive i dlatego mogłem z tej opcji skorzystać

 

Czy przed uruchomieniem narzędzia FRST z pendrive sprawdzałeś liternictwo dysku poprzez trik z Notatnikiem?

 

3. Pierwszy krok to sprawdzenie pod jaką literą jest zmapowany pendrive, na którym jest zlokalizowane narzędzie. Najprostszy sposób to posłużenie się starym dobrym trikiem z Notatnikiem. W linii komend wpisz notepad i ENTER. W Notatniku z menu File / Plik wybierz Open / Otwórz i w oknie eksploratora po lewej kliknij w pozycję Komputer. Zostanie otworzony widok z listą wszystkich dysków twardych i wymiennych aktualnie dostępnych pod WinRE. Sprawdzamy pod jaką literką jest pendrive z narzędziem. Następnie zamykamy oba okna, pozostawiając tylko linię komend.

 

Obrazek

 

 

Teraz chciałem zapaytać jak to zrobic by komputer ponownie mogł sie uruchomić i calkowicie usunąc infekcje?

 

Tego nie naprawi automat, potrzebna jest procedura ręczna, czyli ... akcja z FRST. Na trzecim ekranie klik w "Wyświetl zaawansowane opcje ...", by uzyskać menu z narzędziami, Wiersz polecenia i kolejna próba uruchomienia FRST.

 

 

 

.

[Niewik]

U mnie podane ze jest to Litrka G. Podaje scieżke G\Frst64.exe i wyskakuje mi ze "System nie może odnaleźć okreslonej ścieżki" Troche to mnie wnerwia bo robie zgodnie z instrukcja i dalej nic.

[picasso]

Narzędzie FRST na pewno leży bezpośrednio na G a nie w subfolderze? Pokaż mi fotki, kolejno z widoku Notatnikowego z dyskami oraz z okna Wiersza polecenia jak wpisujesz komendę.

[Niewik]

Oto Fotki

[SoundWave]

Nie wpisujesz dwukropka po G, czyli powinno być G:\frst64.exe

[Niewik]

A no rzeczywscie nie zauważyłem. Teraz włączył się komputer mam logi co powiniennem dalej robic ??

Fixlog.txt

[picasso]

Skrypt pomyślnie przetworzony. Przy okazji, w wynikach skryptu mamy:

 

C:\Windows\system32\consrv.dll not found.

 

Czyli to o czym mówiłam: plik infekcji został już wcześniej skasowany, ale zapewne wpis w rejestrze w kluczu SubSystems nie otrzymał korekty. Ta rozbieżność zawsze prowadzi do niestartującego Windows.

 

Skoro teraz skrypt przetworzył i rejestr, startuj do Windows i wykonaj punkty 3 + 4 z pierwotnej instrukcji, tzn. reset Winsock oraz logi z OTL i Farbar Service Scanner.

 

 

 

.

[Niewik]

Prosze Bardzo o to Logi i coś jeszcze mam zrobic ??

FSS.txt

OTL.Txt

[picasso]

Nie wygląda to na pełny log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Natomiast log z OTL = OK, nie ma już żadnych widzialnych znaków ZeroAccess, teraz możemy się zająć małymi śmieciami.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\assembly\tmp\*.tlb
rd /s /q C:\FRST /C
rd /s /q C:\Windows\ERDNT /C
rd /s /q C:\32788R22FWJFW /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Przejdź do Panelu sterowania i odinstaluj śmieci: Babylon Toolbar, DAEMON Tools Toolbar.

 

3. Wygeneruj nowe logi: OTL z opcji Skanuj + AdwCleaner z opcji Search + pełny Farbar Service Scanner.

 

 

 

.

[Niewik]

Coś nie może wykonać tego skryptu napisane jest : "

Cannot creat file C\Users\Niewik\Downloads\Rookit\cmd.bat."

[picasso]

A przetworzył się dalej? Pokaż log z wynikami przetwarzania skryptu.

[Niewik]

Po 3 próbie wszystko poszło zgodnie z planem. Pewnie skopiowałem coś razem ze skryptem i dlatego nie chciało pójść i od razu dołączyłem logi.

FSS.txt

OTL.txt

[picasso]

Miałeś mi tylko pokazać wyniki z pierwszego podejścia. Powtarzanie skryptu mało sensowne, on nie przetworzy po raz drugi czegoś co już zrobił w poprzednim podejściu. Natomiast ten log z Farbar Service scanner nadal jest dziwny, on nie ma połowy danych. Jeszcze raz: co zaznaczasz w programie, czy na pewno wszystkie opcje?

 

Na pewno wiem już, iż usługa Windows Defender ma nieprawidłowe dane i będę to korygować, ale brakuje danych o usługach Zapory i Centrum, które prawdopodobnie są skasowane całkowicie i dlatego potrzebny pełny prawidłowy log Farbar to pokazujący bez wątpliwości.

 

 

 

.

[Niewik]

Zaznaczam wszystkie opcje w fss i robię Scan i tak mi wychodzi dla pewności zrobiłem jeszcze raz i załączam ponownie. Mam nadzieje ze teraz jest dobrze.

FSS.txt

[picasso]

Tak, teraz log jest pełny. Zgodnie z przypuszczeniem: całkowicie skasowana Zapora systemu Windows, plus to co mówiłam o Windows Defender.

 

1. Poprawka usługi Windows Defender. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"Group"="COM Infrastructure"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal

 

2. Rekonstrukcja Zapory systemu Windows: KLIK. Podkreślam: do odtworzenia masz dwie usługi, czyli BFE + MpsSvc (omijasz naprawę mpsdrv). Możesz też opuścić wątek z sfc /scannow.

 

3. Po wykonaniu wszystkich zadań zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

 

.

[Niewik]

Zrobiłem Wszystko jak należy i wysyłam loga z FSS

 

Edit:

Dołączyłem do tego OTL i od razu AdwCleaner

FSS.txt

OTL.Txt

AdwCleanerR1.txt

[picasso]

Wszystko naprawione. Możemy zabrać się na wykończenia.

 

1. Nie odinstalowałeś Babylon Toolbar + DAEMON Tools Toolbar. Odinstaluj.

 

2. Następnie uruchom AdwCleaner i użyj w nim opcję Delete, a gdy ukończy pracę Uninstall.

 

3. Zrób nowy (ostatni już) log z OTL z opcji Skanuj.

 

 

.

 

 

[Niewik]

Teraz Gittarra ??

OTL.Txt

[picasso]

Gittarra zagra po finalizacji.

 

1.. Mała poprawka na szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found
[2011-12-03 23:25:14 | 000,002,055 | ---- | M] () -- C:\Users\Niewik\AppData\Roaming\Mozilla\Firefox\Profiles\8h8s4pb6.default\searchplugins\daemon-search.xml

 

Klik w Wykonaj skrypt. Po tym zastosuj Sprzątanie w OTL, które skasuje z dysku OTL i jego kwarantannę.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Przedstaw raport z wynikami, o ile coś zostanie wykryte.

 

 

 

.