gruby Opublikowano 30 Marca 2012 Zgłoś Udostępnij Opublikowano 30 Marca 2012 Witam jednak Virut zaatakował na moim komputerze Virutkiller usunął go tak więc podaje logi . Dodam że próbowałem uruchomić combofix ale nie dałem rady tak więc usunąłem go i pobrałem nowego ale widzę że znów wszystko działa nie ma błędu chrome (X000000) . http://wklej.to/MSDMf < ROOTRepal http://wklej.to/VgXCv < Extras http://wklej.to/GCtBe < OTL http://wklej.to/mkXtY < Catch me http://wklej.to/hA0UI <ASWMBR http://wklej.to/aFaTb < TDS Widzę że coś tutaj jeszcze jest ale liczę na twoją pomoc i oczywiście mam nadzieje że ten komputer uda się uratować . Mam takie pytanie jak sprawdzić jakie pliki zajmują tyle miejsca że na dysku C zostało mi 1 gb a ostatnio było więcej. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 30 Marca 2012 Zgłoś Udostępnij Opublikowano 30 Marca 2012 Nie wiem dlaczego Ty zawsze podajesz logi, o które nie jesteś proszony (Catchme, aswMBR, TDSSKiller). Obowiązkowy jest tu GMER. A jednak, tak jak w poprzednim temacie suponowałam, że drugi system mógł być zainfekowany przez nośnik USB. Siedzi tu Brontok. Zaś czy system jest czysty od Viruta tego nie można potwierdzić na 100% przez proste logi, to tylko via skanery antywirusowe. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Rafal\AppData\Local\*.exe C:\Users\Rafal\AppData\Local\*Bron* C:\Users\Rafal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif C:\Users\Rafal\Documents\Documents.exe netsh advfirewall reset /C :OTL O4 - HKU\S-1-5-21-1753740802-272834702-2717621003-1000..\Run: [Tok-Cirrhatus] C:\Users\Rafal\AppData\Local\smss.exe () O4 - HKU\S-1-5-21-1753740802-272834702-2717621003-1000..\Run: [splitCam] C:\Program Files\SplitCam\SplitCam.exe File not found O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found O8 - Extra context menu item: ????3?????? - Reg Error: Value error. File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTKVHDA.sys -- (IntcAzAudAddService) DRV - File not found [Kernel | System | Stopped] -- System32\drivers\FNETURPX.SYS -- (FNETURPX) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\DRIVERS\ENTECH.sys -- (ENTECH) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Rafal\AppData\Local\Temp\aswMBR.sys -- (aswMBR) :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami. 2. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. 3. Nie odinstalowałeś QuickStores-Toolbar 1.1.0, jak wskazywałam wcześniej na tym systemie Vista. Do przeprowadzenia. 4. Wykonaj nowy log z OTL z opcji Skanuj oraz GMER. Dołącz log z przetwarzania skryptu w punkcie 1 + filtrowania SFC w punkcie 2. Mam takie pytanie jak sprawdzić jakie pliki zajmują tyle miejsca że na dysku C zostało mi 1 gb a ostatnio było więcej. Do diagnostyki miejsca na dysku możesz wykorzystać darmowy SpaceSniffer (wywołany przez Uruchom jako Administrator, a przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space). . Odnośnik do komentarza
gruby Opublikowano 30 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Marca 2012 Jeżeli chodzi o twoje pytanie czemu daje wszystkie logi to daje je dlatego , że nie chce aby coś zostało pominięte ale od teraz będę dawać tylko logi otl i Gmer http://wklej.to/NTu96 < OTL usuwanie ( już działa cmd w normalnym trybie wcześniej był restart A tutaj mam problem nie wiem co źle Odnośnik do komentarza
picasso Opublikowano 31 Marca 2012 Zgłoś Udostępnij Opublikowano 31 Marca 2012 Ale popatrz na pierwszą komendę (findstr /c:"%windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt), w ogóle nie wpisałeś warunku dla findstr. A te 3 następne pod spodem to już się nie udały, bo linia komend nie wykazała gotowości. Otwórz cmd jako Administrator raz jeszcze, następnie wklej do okna: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt ENTER. Po chwili powinien się otworzyć log z wynikami. . Odnośnik do komentarza
gruby Opublikowano 31 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 31 Marca 2012 http://wklej.to/D41Fy udało się i oto raport. Odnośnik do komentarza
picasso Opublikowano 31 Marca 2012 Zgłoś Udostępnij Opublikowano 31 Marca 2012 SFC naprawił pewne rzeczy: 2012-03-30 20:01:57, Info CSI 000001c7 [sR] Repairing corrupted file [ml:520{260},l:40{20}]"\??\C:\Windows\fonts"\[l:22{11}]"segoepr.ttf" from store2012-03-30 20:01:57, Info CSI 000001c8 [sR] Repairing corrupted file [ml:520{260},l:40{20}]"\??\C:\Windows\fonts"\[l:24{12}]"segoeprb.ttf" from store2012-03-30 20:01:57, Info CSI 000001c9 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Windows\system32\spool\drivers\color"\[l:16{8}]"D50.camp" from store2012-03-30 20:01:57, Info CSI 000001ca [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Windows\system32\spool\drivers\color"\[l:16{8}]"D65.camp" from store2012-03-30 20:01:57, Info CSI 000001cb [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:22{11}]"dfsrres.dll" from store Co do pozostałych logów: - W czasie przetwarzania skryptu nastąpił taki błąd i czyszczenie lokalizacji tymczasowych się nie udało: Error: Unable to interpret <:commands4> in the current context!Error: Unable to interpret in the current context! Podałam prawidłowy skrypt z :Commands a nie :Commands4. Nie wiem co tu robiłeś. W każdym razie wykonaj zaległości i użyj TFC - Temp Cleaner (robi dokładnie to samo co komenda [emptytemp] w skrypcie OTL). - Nie podałeś mi zrobionych po usuwaniu nowych logów z OTL z opcji Skanuj oraz GMER. . Odnośnik do komentarza
gruby Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 http://wklej.to/WwNSn < ROOTRepeal http://wklej.to/I2d30 < Extras http://wklej.to/LvNVS < OTL Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 RootRepeal = GMER nie uruchamia się? Wg RootRepeal "zapomniałeś" zdeaktywować / usunąć sterownik emulacji napędów wirtualnych SPTD, który jest podstawową przeszkodą dla narzędzi do wykrywania rootkitów. DRV - [2012-03-14 17:17:37 | 000,473,656 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd) Ogolnie zaś w logach nie widzę już nic szkodliwego. Finalizuj: 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O34 - HKLM BootExecute: (MACHINE BootExecut) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Windows\system32\userinit.exe"=- :Files rd /s /q C:\TDSSKiller_Quarantine /C Klik w Wykonaj skrypt. Po tym użyj Sprzątanie w OTL. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj jeszcze na wszelki wypadek skan za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary do skanowania. Przedstaw raport z wykrytymi zagrożeniami, o ile takowe będą. . Odnośnik do komentarza
gruby Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Jeżeli chodzi o Gmer to ja cały czas mam z nim problem a z teog ci pamiętam odinstalowałem sterownik. Wszystkie polecenie wykonane . pkt 3. 8 % wykryto 130 brontok e mail .. ;/ Koniec skanowania za 5 godzin. Coś jeszcze zrobić ? Odnośnik do komentarza
picasso Opublikowano 1 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Jeżeli chodzi o Gmer to ja cały czas mam z nim problem a z teog ci pamiętam odinstalowałem sterownik. Przecież mówię: sterownika SPTD nie odinstalowałeś. Widać go w OTL w stanie "Running", widać go w RootRepeal (czynności "rootkit" tego sterownika). pkt 3.8 % wykryto 130 brontok e mail .. ;/ Koniec skanowania za 5 godzin. Coś jeszcze zrobić ? Na razie masz ukończyć cały skan. . Odnośnik do komentarza
gruby Opublikowano 1 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Kwietnia 2012 Wszystkie wirusy Brontok zostały usunięte poza tym nic nie znaleziono. Odnośnik do komentarza
picasso Opublikowano 2 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 1. Jeżeli na pewno usunięte i Kaspersky ponownie uruchomiony nic już nie znajduje, to sprawę możemy uznać za zakończoną. Ponów czyszczenie folderów Przywracania systemu. 2. Wykonaj drobne aktualizacje (KLIK) tych pozycji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1)"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 3. Mam jeszcze pytanie, w poprzednim temacie z systemem zainfekowanym spółką Virut+Brontok w obrotach był pendrive i to zapewne była przyczyna zreplikowania infekcji na tutejszy system. Co się stało z tamtym pendrive, został wyczyszczony / sformatowany? Poza tym, czy wykonałeś zabezpieczenia: Na systemie (...) zablokuj wykonywanie plików autorun.inf. Czyli za pomocą Panda USB Vaccine wykonaj Computer Vaccination i zresetuj system. Następnie podpinasz pendrive (...) zaprawiasz go Pandą, opcją USB Vaccination. . Odnośnik do komentarza
gruby Opublikowano 2 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Pendrive został sformatowany na tamtym komputerze i od razu wyciągnięty . Gorzej jeżeli chodzi o instalacje windowsa na tamtym komputerze ponieważ nie chce mi bootować napęd cd dvd się nie otwiera wczoraj cały dzień kombinowałem i nic , a gdy próbowałem programem wintoflash stawało na 18,2 % i tak cały czas. Odnośnik do komentarza
picasso Opublikowano 2 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 Gorzej jeżeli chodzi o instalacje windowsa na tamtym komputerze ponieważ nie chce mi bootować napęd cd dvd się nie otwiera wczoraj cały dzień kombinowałem i nic Co to konkretnie znaczy: "napęd cd dvd się nie otwiera"? Poza tym, czy sprawdziłeś czy bootują inne płyty, nie tylko instalator Windows? Odnośnik do komentarza
gruby Opublikowano 2 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Kwietnia 2012 jeden napęd jest uszkodzony DVD skrzypi i jest do połowy wyciągnięty nie mogę go wyciągnąć czyli nie działa Napęd CD otwiera się normalnie po włożeniu szpileczki w tą dziurkę małą następnie gdy zamykam z płytą windowsa to kilka razy wyda dziwny dźwięk z strony płyty głównej i nie chce czytać płyt. Trzeci jest Pendrive na który chciałem nagrać windows z mojego komputera przy 18.2 % nie chce dalej się nagrywać. Tak sprawdziłem nie chce czytać żadnych płyt Odnośnik do komentarza
picasso Opublikowano 3 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 3 Kwietnia 2012 (edytowane) Trzeci jest Pendrive na który chciałem nagrać windows z mojego komputera przy 18.2 % nie chce dalej się nagrywać. To zacięcie przy określonych procentach występuje przy nagrywaniu nośnika (czyli jeszcze nie jest gotowy) czy podczas bootowania już nagranej na pendrive instalacji? Przygotuj pendrive przez RMPrepUSB i wypróbuj alternatywne narzędzie do przenoszenia instalacji XP na USB np. WinSetupFromUSB. . Edytowane 7 Maja 2012 przez picasso 7.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi