Skocz do zawartości


tablety.pl
Zdjęcie

Kompletnie zawieszony Windows XP




  • Zaloguj się, aby dodać odpowiedź
12 odpowiedzi w tym temacie

#1 Pablose

Pablose

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 02 11 2011 - 10:12

Witam.

Pisze w imieniu kolegi, który ma tak zawirusowany komputer, że nie da się nic zrobić.
Po załadowanie Windowsa XP kliknięcie na jakikolwiek program powoduje od razu kompletne zamrożenie komputera. Nie da się nic zrobić. Klepsydra cały czas widnieje. Procesów przez Menedżer zadań nie da się zamknąć. Była, krótka chwila w której udało mi się użyć:
- CCleanera, wyczyściłem tez nim rejestr
- przeskanowałem Malwarebytes Anti-Malware (znalazł 50 zagrożeń, usunąłem je)
- zrobiłem też logi z OTL
ale po tym wszystkim znowu się zawiesił i teraz nie da się nawet podpiąć pendrive, żeby skopiować te logi i wrzucić na forum.
Próbowałem odpalić go w trybie awaryjnej, naciskałem F8 ale nie pojawiał mi się ekran wyboru opcji uruchomienia.
Czytam teraz na forum o tworzeniu tej płyty OTLPE, z tego próbować robić logi czy też pokombinować jeszcze z trybem awaryjnym i wtym trybie jeszcze raz przeskanować MBAM i OTL?

#2 SLAVOO

SLAVOO

    Very Good Rank

  • Użytkownicy +
  • 839 postów
  • Płeć:Mężczyzna
  • Lokalizacja:C:\boot.ini

Napisano 02 11 2011 - 11:31

Logi OTL wymagane, żeby można było udzielić jakiejkolwiek pomocy. Na jakiejś podstawie musimy stwierdzić co się dzieje z komputerem.

..:: 99% problemów z komputerem siedzi na przeciwko monitora ::..
W dziale Wirusy i Spyware - Bezpieczeństwo w sieci, obowiązkowo podajemy logi z programów OTL i Gmer
Przed wykonaniem logów należy wyłączyć oprogramowanie emulujące napędy.
Opis jak to wykonać znajduje się TUTAJ.


#3 Pablose

Pablose

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 02 11 2011 - 12:09

Wiem, że logi to konieczność chodziło mi bardziej o to czy z trybu awaryjnego czy z płyty z OTLPE ale mniejsza z tym.
Odpaliłem tą płytę z OTLPE i załączam logi.

Załączone pliki

  • Załączony plik  OTL.Txt   109,28 KB   9 Ilość pobrań
  • Załączony plik  Extras.Txt   55,63 KB   8 Ilość pobrań


#4 wirusolog

wirusolog

    Expert

  • Użytkownicy +
  • 4986 postów
  • Płeć:Mężczyzna

Napisano 02 11 2011 - 13:54

Hm, z logu Extras wynika, że masz wirusa, ale log OTL.txt tego nie potwierdza.
Widać tylko ślady po infekcji pendrivowej.

ruchom OTL i w dolne białe pole wklej to:
:OTL
2011/11/02 06:09:19 | 000,000,308 | -HS- | M] () -- C:\WINDOWS\Tasks\UCQOOHRLM.job
@Alternate Data Stream - 24 bytes -> C:\WINDOWS:F1095965F211DDFD
O33 - MountPoints2\{80a40160-b982-11de-9689-00110916ebc6}\Shell\AutoRun\command - "" = J:\myfolder\myfile.exe -- File not found
O33 - MountPoints2\{80a40160-b982-11de-9689-00110916ebc6}\Shell\open\command - "" = J:\myfolder\myfile.exe -- File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
O4 - HKLM..\Run: [NPSStartup]  File not found
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
DRV - File not found [Kernel | Boot] --  -- (tfal)

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zapisz raport, który się pokaże.

Jeśli będzie się dało, to użyj >Dr.WebcureIt
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>http://www.zshare.ne...9339605cc97999/
Napisz, co wykrył.

Jeśli nie będzie się dało, to na innym komputerze wypal bootowalną płytkę z AV (http://searchengines...CD-t112329.html, i użyj jej na tym podejrzanym komputerze.

.

#5 Pablose

Pablose

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 02 11 2011 - 23:03

Odpaliłem OTLPE z płytki, wstawiłem tą zawartość ale wyskoczył błąd

Dołączona grafika


mimo wszystko nacisąłem OK i jeszcze raz Run Fix to wyskoczył log i zrobiłem jeszcze raz logi z OTLPE.

Komputer nadal się zamrażana zaraz po dotknięciu myszki po załadowaniu pulpitu dlatego DrWebCureIt nie poszedł. Zrobiłem bootowalną płytę z drweb_livecd ale wyniki ze skanowania nim będę miał dopiero jutro po południu.

Załączone pliki



#6 wirusolog

wirusolog

    Expert

  • Użytkownicy +
  • 4986 postów
  • Płeć:Mężczyzna

Napisano 02 11 2011 - 23:44

Error: Unable to interpret

Powtórz usuwanie, tylko tym razem nie zapomnij wkleić dwukropka znajdującego się na samym początku Scriptu.

.

#7 Pablose

Pablose

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 03 11 2011 - 12:30

Okazuje się, że nie zapomniałem dwukropka bo ten sam błąd co w miniaturce, tej samej treści, dokładnie w tym samym miejscu wyskakuje za każdym razem podczas wykonywania skryptu. Sprawdzałem 3 razy.
Włączyłem teraz pełne skanowanie z bootowalnej płyty z Dr Web, zejdzie z tym ze 4 godziny także wynik wrzucę wieczorem.

#8 wirusolog

wirusolog

    Expert

  • Użytkownicy +
  • 4986 postów
  • Płeć:Mężczyzna

Napisano 03 11 2011 - 13:36

C:\WINDOWS\Tasks\UCQOOHRLM.job
C:\WINDOWS:F1095965F211DDFD

W takim razie poczekamy na wynik skanowania Dr.Web.
Zobaczymy, czy usunął także te powyższe.

.

#9 Pablose

Pablose

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 05 11 2011 - 23:27

Wreszcie udało się zrobić pełne skanowanie z bootowalnej płyty z DrWeb, robił to ponad 16 godzin!!!
Wynik w takiej formie bo nie widziałem tam możliwości zapisania do pliku

Dołączona grafika

Odinstalowałem w trybie awaryjnym Nortona Security i komputer już się nie zamraża, dlatego udało mi się zgrać wreszcie loga z MBAM i zrobiłem nowe logi już ze zwykłego OTL.

Przepuściłem też skanowanie szybkie DrWebCureIt ale nic nie wykrywał.

Na pewno jest jeszcze coś nie tak bo jak się wejdzie do Mój komputer to nie widać rozmiaru partycji, miejsca wolnego itp. mimo, że opcje są zaznaczone do wyświetlania
poza tym
NIE da się odpalić GMER, po sekundzie od pojawienia się okna programu komputera od razu się restartuje!

Załączone pliki



#10 wirusolog

wirusolog

    Expert

  • Użytkownicy +
  • 4986 postów
  • Płeć:Mężczyzna

Napisano 06 11 2011 - 00:06

pełne skanowanie z bootowalnej płyty z DrWeb, robił to ponad 16 godzin!!!

Wszystko, co wykrył, to fałszywe alarmy, a nie infekcje.

Na pewno jest jeszcze coś nie tak bo jak się wejdzie do Mój komputer to nie widać rozmiaru partycji, miejsca wolnego itp. mimo, że opcje są zaznaczone do wyświetlania

Na to Ci nic nie poradzę - to leży poza obszarem moich zainteresowań.

NIE da się odpalić GMER, po sekundzie od pojawienia się okna programu komputera od razu się restartuje!

Pewnie dzieje się tak dlatego, że w logu OTL widzę sterownik "sptd.sys".

1) Ściągnij -->Avenger.
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\kuhr.sys
C:\WINDOWS\System32\drivers\jkbgvfii.sys
C:\DOCUME~1\qwer\USTAWI~1\Temp\esihdrv.sys
C:\WINDOWS\tasks\UCQOOHRLM.job

Drivers to delete:
tfal
jkbgvfii
esihdrv


Kliknij w "Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.

2) Użyj >Ad-Remover i kliknij w nim Clean
Link zapasowy > http://www.speedysha.../Ad-Remover.exe (>>Ad-Remover.exe>>Free Download>> itd)
Pokaż raport z niego.

3) Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.c...61&gct=&gc=1&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.c...61&gct=&gc=1&q=
IE - HKU\S-1-5-21-484763869-1425521274-725345543-1003\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\tbFre0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-484763869-1425521274-725345543-1003\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll ()
IE - HKU\S-1-5-21-484763869-1425521274-725345543-1003\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.defaulturl: "http://search.condui...={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..keyword.URL: "http://search.condui...rchSource=2&q="
[2008-12-31 22:45:31 | 000,000,682 | ---- | M] () -- C:\Documents and Settings\qwer\Dane aplikacji\Mozilla\Firefox\Profiles\jdso01ve.default\searchplugins\ask.xml
[2010-02-16 18:35:26 | 000,002,257 | ---- | M] () -- C:\Documents and Settings\qwer\Dane aplikacji\Mozilla\Firefox\Profiles\jdso01ve.default\searchplugins\askcom.xml
[2009-05-31 17:45:28 | 000,000,896 | ---- | M] () -- C:\Documents and Settings\qwer\Dane aplikacji\Mozilla\Firefox\Profiles\jdso01ve.default\searchplugins\conduit.xml
[2010-06-23 09:17:25 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\qwer\Dane aplikacji\Mozilla\Firefox\Profiles\jdso01ve.default\searchplugins\daemon-search.xml
[2009-04-02 18:01:18 | 000,009,895 | ---- | M] () -- C:\Documents and Settings\qwer\Dane aplikacji\Mozilla\Firefox\Profiles\jdso01ve.default\searchplugins\mywebsearch.xml
O2 - BHO: (Free Lunch Design Toolbar) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\tbFre0.dll (Conduit Ltd.)
O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Free Lunch Design Toolbar) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - C:\Program Files\Free_Lunch_Design\tbFre0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-484763869-1425521274-725345543-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-484763869-1425521274-725345543-1003\..\Toolbar\WebBrowser: (Free Lunch Design Toolbar) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - C:\Program Files\Free_Lunch_Design\tbFre0.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-484763869-1425521274-725345543-1003\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net\tbfre1.dll (Conduit Ltd.)
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKLM..\Run: [NPSStartup] File not found
[2011-10-20 15:13:49 | 000,000,000 | ---D | C] -- C:\Documents and Settings\qwer\Ustawienia lokalne\Dane aplikacji\OpenCandy
[2011-10-20 15:13:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\qwer\Dane aplikacji\OpenCandy
[2011-10-19 13:04:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dokumenty\Norton

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

.

#11 Pablose

Pablose

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 07 11 2011 - 13:32

NIE da się odpalić GMER, po sekundzie od pojawienia się okna programu komputera od razu się restartuje!

Pewnie dzieje się tak dlatego, że w logu OTL widzę sterownik "sptd.sys".

Dziwne z tym sterownikiem,odinstalowałem Deamon i użyłem tego na narzędzia do odinstalowania sterownika SPTD-inst, w rejestrze już nie grzebałem a po zastosowaniu tego narzędzia widzę, że ten sterownik ma atrybut Disabled. Wynika z tego, że sama obecność sterownika powoduje błąd GMER bez względu na to czy jest on aktywny czy nie. Dobrze myślę czy może jest jakiś inna przyczyna?

Załączam logi z tym, że w logu z usuwania z OTL nie podoba mi się to
File ptyflash] not found.
File ptytemp] not found.
taki wynik jest za każdym razem wykonywania tego skryptu mimo, iż sprawdzam że dobrze przekleiłem wszystkie linie.

Avenger u mnie ma jakieś krzaki, problem z kodowaniem znaków więc wkleję tak:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\WINDOWS\System32\drivers\kuhr.sys" not found!
Deletion of file "C:\WINDOWS\System32\drivers\kuhr.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\System32\drivers\jkbgvfii.sys" not found!
Deletion of file "C:\WINDOWS\System32\drivers\jkbgvfii.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\DOCUME~1\qwer\USTAWI~1\Temp\esihdrv.sys" not found!
Deletion of file "C:\DOCUME~1\qwer\USTAWI~1\Temp\esihdrv.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\WINDOWS\tasks\UCQOOHRLM.job" deleted successfully.
Driver "tfal" deleted successfully.
Driver "jkbgvfii" deleted successfully.
Driver "esihdrv" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Załączone pliki



#12 wirusolog

wirusolog

    Expert

  • Użytkownicy +
  • 4986 postów
  • Płeć:Mężczyzna

Napisano 07 11 2011 - 13:58

W nowych logach nie widzę już niczego do usuwania.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
Jednocześnie ziknie Avenger.

Do Notatnika wklej:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

[HKEY_USERS\S-1-5-21-484763869-1425521274-725345543-1003\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://www.google.pl/"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).


jak się wejdzie do Mój komputer to nie widać rozmiaru partycji, miejsca wolnego itp. mimo, że opcje są zaznaczone do wyświetlania

Zgłosiłem już Moderatorom, by przesunęli temat do jakiegoś bardziej odpowiedniego działu Forum.

.

#13 Pablose

Pablose

    First Rank

  • Użytkownicy
  • 11 postów

Napisano 07 11 2011 - 15:54

Ok dziękuję za pomoc wirusolog. Dobra robota!


Kwestia wirusów została rozwiązana ale zostały jeszcze co najmniej dwa problemy:

1) jak wejdę w Mój komputer to wyświetlana jest tylko Nazwa partycji (dysk lokalny c,d,e) natomiast nie wyświetlają się pozostałe informacje, czyli Typ, Całkowity rozmiar, Wolne miejsc, System plików) pomimo, że opcje te są zaznaczone do wyświetlania.

2) jeżeli chce w jakimkolwiek programie otworzyć jakiś plik, np. w Media Player Classic chcę otworzyć film poprzez File -> Quick Open to nie działa lista rozwijana przy "Szukaj w:" i ta lista rozwijana nie działa spod żadnego programu.

Wie ktoś co z tymi fantami zrobić?




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych