Tomek875 Opublikowano 3 Czerwca 2012 Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 Witam, mam problem z uruchomieniem systemu Windows 7 spowodowanej infekcją wirusa. W tej chwili nie pamiętam nazwy ale program antywirusowy Gdata Internes Security 2012 wyswietlił, że wykrył wirusa, toteż postanowilem przeskanować komputer w ich poszukiwaniu. Poznajdywał kilka, były tam jakieś pliki typu desktop.ini i różne inne, narazie nie jestem wstanie ich tutaj wymienić ponieważ system nie chce sie uruchomić. Program wyświetlil komunikat, że żeby pozbyć sie niektórych zagrożeń trzeba ponownie uruchomić system, tak też zrobiłem, windows po tym zabiegu już nie odpala. Pojawia sie BSOD z kodem C0000135 %hs. Wyczytałem tutaj o takim programiku FRST, toteż go skopiowałem na pena i zrobiłem log. FRST.txt Odnośnik do komentarza
Landuss Opublikowano 3 Czerwca 2012 Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 Przyczyna niemożności uruchomienia systemu znana. Zostały tu wyzerowane wartości Shell i Userinit: HKLM-x32\...\Winlogon: [userinit] [x] HKLM-x32\...\Winlogon: [shell] [x ] () 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Winlogon: [userinit] [x] HKLM-x32\...\Winlogon: [shell] [x ] () Plik zapisz pod nazwą fixlist.txt. Wstaw obok narzędzia FRST. 2. Uruchom narzędzie FRST i wybierz w nim opcję Fix. Skrypt zostanie przetworzony i powstanie plik fixlog.txt. 3. Sprawdź czy jesteś w stanie wejść do Windows. Jeśli tak, zrób logi z OTL + GMER. Dołącz też fixlog.txt. Odnośnik do komentarza
Tomek875 Opublikowano 3 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 Nic to nie dało dalej nie jestem w stanie uruchomić systemu windows, dzieje sie to samo co przedtem. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2012 Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 Po pierwsze: log z FRST jest z systemu Windows XP a nie Windows 7. Running from L:\Microsoft Windows XP (X64) OS Language: Polish The current controlset is ControlSet001 Tak więc naprawiany był nie ten system który się nie uruchamia. Po drugie: nawet gdyby te wpisy były wyciągnięte z Windows 7, nie powinny być przyczyną BSOD (są zbyt słabe, system przeszedłby conajmniej do ekranu powitalnego przy ich braku). W logu z FRST bardziej pasuje do tego zgłaszany brak plików systemowych, ale to nie jest wiarygodny odczyt, bo to nie ten system co należy. Na razie nie ma tu żadnych logów z Windows 7. Poznajdywał kilka, były tam jakieś pliki typu desktop.ini i różne inne, narazie nie jestem wstanie ich tutaj wymienić ponieważ system nie chce sie uruchomić. Program wyświetlil komunikat, że żeby pozbyć sie niektórych zagrożeń trzeba ponownie uruchomić system, tak też zrobiłem, windows po tym zabiegu już nie odpala. Pojawia sie BSOD z kodem C0000135 %hs. Czy ten Windows 7 jest w wersji 64-bit? Sugeruje to ten ustęp mówiący, że analizowany system (czyli XP) jest 32-bitowy ale użyto WinRE w wersji 64-bit: ATTENTION!:=====> THE OPERATING SYSTEM IS A X86 SYSTEM BUT THE BOOT DISK THAT IS USED TO BOOT TO RECOVERY ENVIRONMENT IS A X64 SYSTEM DISK. Pliki desktop.ini? Może to infekcja ZeroAccess i został usunięty plik consrv.dll bez uzgodnienia rejestru w kluczu SubSystems (wtedy Windows nie może startować = BSOD). Podaj dane o bitach platformy. . Odnośnik do komentarza
Tomek875 Opublikowano 3 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 Tez mi coś nie pasowało w tym logu, patrze na górze a tam pisze Windows XP, tylko dlaczego? Co prawda mam Windows XP, ale tutaj było robione z płytą instalacyjną siódemki. Być może jest tak dlatego że, dysk na którym jest Xp jest pierwszy, a dysk z win7 jako drugi w kolejności, zresztą w BIOSie jest on ustawiony jako nadrzędny i na nim sie znajduje cały rozruch. W Xp dysk na którym jest Win 7 jest oznaczony literą L. Czy może wyłączyć na chwile w BIOSie dysk z XP? Win 7 jest 64 bitowy. Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2012 Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 Narzędzie FRST głupieje w układach multiboot. Jak mówię, po usunięciu niesprecyzowanego zestawu plików infekcji (w których były desktop.ini) BSOD i Windows nie startuje = pierwsze skojarzenie to infekcja ZeroAccess i nieprawidłowo usunięty plik consrv.dll (bez istotnego uzgodnienia rejestru). W takim układzie rób ręczną edycję: 1. Startuj nośnik instalacyjny Windows 7 > Napraw komputer > Wiersz polecenia. 2. Wpisz komendę notepad, z menu Plik > Otwórz > z boku przełącz na Komputer i dokładnie sprawdź pod jaką literą widać dysk z Windows 7 spod płyty. 3. Wpisz komendę regedit. Podświetl gałąź HKEY_LOCAL_MACHINE. Z menu Plik > Załaduj gałąź rejestru > wskaż plik X:\Windows\system32\config\SYSTEM (gdzie X = litera dysku z Windows 7 pobrana w punkcie 2). Jako nazwę roboczą wpisz byle co, np. NAPRAWA, klucz pod taką nazwą załaduje się w rejestrze. Pobierasz info w kluczu: HKEY_LOCAL_MACHINE\NAPRAWA\Select Popatrz co jest ustawione jako wartość Current. Jeśli cyfra 1 = do obrobienia konfiguracja ControlSet001, jeśli inna analogicznie podstawiasz ostatnią cyfrę w ControlSet00X. 4. Wchodzisz w ścieżkę: HKEY_LOCAL_MACHINE\NAPRAWA\ControlSet00X\Control\Session Manager\SubSystems Dwuklik w wartość Windows i zedytuj następujące miejsce: "Windows"="%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=consrv:ConServerDllInitialization,2 ServerDll=sxssrv,4 ProfileControl=Off MaxRequestThreads=16" Fraza consrv musi zostać zamieniona na winsrv. 5. Po wykonaniu edycji podświetl klucz HKEY_LOCAL_MACHINE\NAPRAWA i z menu Plik > Zwolnij gałąź rejestru. 6. Windows powinien pomyślnie zastartować. Wyprodukuj logi z OTL na warunku dostosowanym, tzn. w oknie Własne opcje skanowania / skrypt wklej: c:\Windows\system32\consrv.dll /64 C:\Windows\assembly\GAC_64\*.* C:\Windows\assembly\GAC_32\*.* dir /s /a C:\Windows\assembly\temp /C dir /s /a C:\Windows\assembly\tmp /C netsvcs Klik w Skanuj. . Odnośnik do komentarza
Tomek875 Opublikowano 3 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 OK, Windows wystartował, ale są 2 problemy po pierwsze jeszcze musi być jakieś dziadostwo bo wyświetlają sie 2 komunikaty przedstawione na poniższym screenie. A o to log po skanowaniu ze skryptem. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Czerwca 2012 Zgłoś Udostępnij Opublikowano 3 Czerwca 2012 Logi proszę dołączaj w formie plików w załącznikach, a obrazek nie wiem po co taki duży (nie muszę oglądać Twojego Pulpitu). Przenoszę log z posta do załącznika, kadruję obraz tylko do istotnego fragmentu. To nie jest pełny log z OTL, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Sam skan dostosowany w OTL częściowo nie udany, coś nie działa u Ciebie komenda DIR: No captured output from command... No captured output from command... Mamy też jeszcze co czyścić: łącze symboliczne infekcji ZeroAccess oraz uszkodzony przez infekcję łańcuch Winsock, wpis odpadkowy innej infekcji pasujący do komunikatu z błędem oraz adware. Naprawa zapory to będzie drugi etap. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh winsock reset > zatwierdź restart komputera. 2. Uruchom GrantPerms x64, w oknie wklej: C:\Windows\system64 Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [C:\Windows\system64] -> \systemroot\system32 -> Mount Point O4 - HKCU..\Run: [MSIDLL] C:\Windows\SysWOW64\rundll32.exe msivkk32.dll,OzzaDOqY File not found IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=421&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=421&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2465030" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=421&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2465030" FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/421" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=421&q=" [2011-07-27 18:29:38 | 000,002,497 | ---- | M] () -- C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\j1jj8aum.default\searchplugins\SearchResults.xml [2011-07-27 18:29:38 | 000,002,497 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 4. Poprzez Panel sterowania odinstaluj adware Searchqu Toolbar + mipony Toolbar, powtórz usuwanie Searchqu Toolbar w menedżerze dodatków Firefox. Popraw przez AdwCleaner z opcji Delete. 5. Wygeneruj log z Farbar Service Scanner oraz nowy log z OTL. Zaznacz opcję by powstał Extras, plus w oknie Własne opcje skanowania / skrypt wklej: C:\Windows\assembly\temp\*.* C:\Windows\assembly\tmp\*.* Klik w Skanuj. Dołącz też log z wynikami usuwania OTL otrzymany w punkcie 3 oraz ten z AdwCleaner z punktu 4. . Odnośnik do komentarza
Tomek875 Opublikowano 9 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 Oto logi: OTL.Txt AdwCleanerR1.txt 06042012_210505.txt Extras.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2012 Zgłoś Udostępnij Opublikowano 9 Czerwca 2012 (edytowane) Posty sklejam dla porządku. W podsumowaniu: do usunięcia zostało adware, drobne szczątki ZeroAccess oraz naprawa usług. Trojan skasował z rejestru hurtowo usługi: Zapora systemu Windows, Centrum zabezpieczeń i Windows Defender. 1. Nie odinstalowałeś adware Windows Searchqu Toolbar. Do przeprowadzenia w menedżerze dodatków Firefox oraz przez Panel sterowania. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\assembly\temp C:\Windows\system64 Klik w Wykonaj skrypt. 3. Odbuduj skasowane usługi: Rekonstrukcja usług Zapory systemu Windows: KLIK. Odtwarzasz usługi BFE + MpsSvc oraz rekonstruujesz uprawnienia także SharedAccess. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 4. Zresetuj system i wygeneruj log z Farbar Service Scanner oraz OTL z opcji Skanuj. Dołącz log z wynikami usuwania OTL z punktu 1. . Edytowane 6 Lipca 2012 przez picasso 6.07.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi