pieniek Opublikowano 16 Stycznia 2012 Zgłoś Udostępnij Opublikowano 16 Stycznia 2012 Witam; Mam problem z Trojanem jak w temacie... Byłe objawy: - Z pulpitu (Win 7) zniknęły gadżety pulpitu: zegar i kalendarz; - Ikony od czasu do czasu ustawiały się samoczynnie w niepojętym dla mnie szyku - na pewno nie tak, jak sam je poukładałem; - Google z dowolnej przeglądarki odsyłały do stron: www.mediashifting.com i www.95p.com; - Komputer wyraźnie zwolnił i od czasu do czasu melduje "Brak Pamięci" przy operacjach, które do tej pory wykonywał bez problemów. Piszę w czasie przeszłym, bo mój "oblatany w komputerach" wspólnik dorwał się do mojej maszyny i naprawił ComboFix'em właśnie... Po tej operacji wszystko wróciło do normy, kumpel ComboFix'a odinstalował i cacy... ale tylko pozornie... Zainstalowałem ESET NOD32 Antyvirus 5.0.95.0 i on co parenaście minut komunikuje, że plik C:\Windows\System32\consrv.dll umieścił w kwarantannie. Ja te pliki usuwam - niby trwale - ale za chwilę znowu są... No to zainstalowałem Comodo Antyvirus i on również co i rusz przenosi do kwarantanny ww plik, a również taki oto: C:\Windows\assembly\GAC_64\Desktop.ini z różnym skutkiem z resztą... To znaczy raz z powodzeniem, a raz bez - jak sam pisze. Pogrzebałem w necie i doszukałem się, że jest to Rootkit ZeroAcces i trzeba go likwidować w złożony sposób ComboFix'em. Tak dotarłem do tego Forum. No i problem: ComboFix nie chce się zainstalować. Nie mogę więc podać jego LOG'a (LOG-u?) Przetestowałem system OTL'em i ten LOG zamieszczam poniżej. Czy jest szansa, że obejdzie się bez reinstalacji systemu? Z poważaniem Tomek Pieńkowski OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Stycznia 2012 Zgłoś Udostępnij Opublikowano 16 Stycznia 2012 Pliku consrv.dll nie wolno usuwać bez uwolnienia systemu od jego ładowania, bo system skończy na BSOD. Skoro nie działa ComboFix, ręczne usuwanie będzie tu prowadzone. Zdeaktywuj wszystkie osłony COMODO + ESET tak, by nawet po restarcie systemu nie bruździły i nie startowały rezydenty automatycznie. 1. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems] "Windows"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,\ 00,73,00,72,00,73,00,73,00,2e,00,65,00,78,00,65,00,20,00,4f,00,62,00,6a,00,\ 65,00,63,00,74,00,44,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,00,79,00,3d,\ 00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,53,00,68,00,61,00,\ 72,00,65,00,64,00,53,00,65,00,63,00,74,00,69,00,6f,00,6e,00,3d,00,31,00,30,\ 00,32,00,34,00,2c,00,32,00,30,00,34,00,38,00,30,00,2c,00,37,00,36,00,38,00,\ 20,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,3d,00,4f,00,6e,00,20,00,53,\ 00,75,00,62,00,53,00,79,00,73,00,74,00,65,00,6d,00,54,00,79,00,70,00,65,00,\ 3d,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,53,00,65,00,72,00,76,\ 00,65,00,72,00,44,00,6c,00,6c,00,3d,00,62,00,61,00,73,00,65,00,73,00,72,00,\ 76,00,2c,00,31,00,20,00,53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,\ 00,3d,00,77,00,69,00,6e,00,73,00,72,00,76,00,3a,00,55,00,73,00,65,00,72,00,\ 53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,00,49,00,6e,00,69,00,74,\ 00,69,00,61,00,6c,00,69,00,7a,00,61,00,74,00,69,00,6f,00,6e,00,2c,00,33,00,\ 20,00,53,00,65,00,72,00,76,00,65,00,72,00,44,00,6c,00,6c,00,3d,00,77,00,69,\ 00,6e,00,73,00,72,00,76,00,3a,00,43,00,6f,00,6e,00,53,00,65,00,72,00,76,00,\ 65,00,72,00,44,00,6c,00,6c,00,49,00,6e,00,69,00,74,00,69,00,61,00,6c,00,69,\ 00,7a,00,61,00,74,00,69,00,6f,00,6e,00,2c,00,32,00,20,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,44,00,6c,00,6c,00,3d,00,73,00,78,00,73,00,73,00,72,00,76,\ 00,2c,00,34,00,20,00,50,00,72,00,6f,00,66,00,69,00,6c,00,65,00,43,00,6f,00,\ 6e,00,74,00,72,00,6f,00,6c,00,3d,00,4f,00,66,00,66,00,20,00,4d,00,61,00,78,\ 00,52,00,65,00,71,00,75,00,65,00,73,00,74,00,54,00,68,00,72,00,65,00,61,00,\ 64,00,73,00,3d,00,31,00,36,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "Shell"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tosrfhid] "Start"=dword:00000004 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG 2. Etap 1 - zdjęcie ładowania biblioteki ZeroAccess, dodatkowych wpisów startowych oraz reset Winsock. Zastartuj komputer do Trybu awaryjnego i wykonaj następujące czynności: ----> Z prawokliku na plik FIX.REG wybierz opcję Scal. ----> Start > w polu szukania wpisz cmd > wpisz komendę netsh winsock reset Restart systemu do Trybu normalnego. 3. Etap 2 - potwierdzenie odładowania biblioteki oraz wykrycie punktu symbolicznego łączenia. Uruchom OTL, ustaw "Rejestr - skan dodatkowy" na "Użyj filtrowania", w sekcji Własne opcje skanowania / skrypt wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s C:\Windows\*. /RP /s Klik w Skanuj (nie Wykonaj skrypt!). Przedstaw logi wynikowe (będą dwa: główny + Extras). . Odnośnik do komentarza
pieniek Opublikowano 16 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Stycznia 2012 Oj, chyba nie jest dobrze.... 1. Odinstalowałem oba Antywirusy - nie dawały się wyłączyć, żeby nie restartowały razem z systemem; 2. Windows nie chce działać w trybie awaryjnym. Tzn działa ale krótko... Potem włącza się niebieski ekran ale na tak krótki czas, że nie mogę przeczytać o co chodzi... Potem Windows restartuje w trybie normalnym. 3. Windows działa za to w trybie awaryjnym ale z dostępem do sieci. 4. Wykonałem polecenia i po upewnieniu się przez Edytora rejestru, że chcę dodać wpis otrzymuję taki oto komunikat: "Nie można zaimportować C:\Users\user\Desktop\FIX.REG: Określony plik nie jest skryptem rejestru. Można importować tylko binarne pliki rejestru z zewnątrz Edytora rejestru" Za to okazało się, że nawet wyłączony (któryś z dwóch) antywirus przeszkadzał ComboFix'owi. Teraz zadziałał. Niestety pierwszy raz bez dostępu do sieci (nie zauważyłem, że nie działa) i działał w trybie ograniczonych możliwości - ComboFiX Potem włączyłem sieć i ComboFix się zaktualizował i wygenerował drugi log - ComboFix2 Oba poniżej: ComboFix.txt ComboFix2.txt Odnośnik do komentarza
picasso Opublikowano 16 Stycznia 2012 Zgłoś Udostępnij Opublikowano 16 Stycznia 2012 Nie otrzymałeś polecenia uruchomienia ComboFix. Założyłeś, że to nie nabruździ. Takich rzeczy się nie robi, by sobie zmieniać instrukcje w trakcie. Zasady działu mówią: 1:1 instrukcje, w przypadku problemów STOP. "Nie można zaimportować C:\Users\user\Desktop\FIX.REG:Określony plik nie jest skryptem rejestru. Można importować tylko binarne pliki rejestru z zewnątrz Edytora rejestru" Wygląda na to, że nie wkleiłeś wszystkiego. Otóż taki błąd występuje, gdy się ominie niezbędny nagłówek pliku Windows Registry Editor Version 5.00. Kolejne instrukcje: 1. Plik FIX.REG jest nadal aktualny, tylko ogranicz jego zawartość do: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV:64bit: - [2009-07-14 02:39:46 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- C:\Windows\SysNative\WinVd32.dll -- (tosrfhid) O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fliptoast.lnk = File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: Shell = explorer.exe,C:\Users\user\AppData\Roaming\Amouou.exe (Microsoft Corporation) NetSvcs:64bit: tosrfhid - C:\Windows\SysNative\WinVd32.dll :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Stwórz nowy log z OTL opcją Skanuj (przypominam: opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania"). Dołącz też log z wynikami usuwania pozyskany w punkcie 2. . Odnośnik do komentarza
pieniek Opublikowano 17 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Wygląda na to, że jednak nabruździłem... Wiem już co oznacza BSOD. Komunikat błędu nie pozostawia raczej wątpliwości: "STOP c0000135 The program can't start because %hs is missing from your computer. Try reinstalling the program to fix this problem" Mea culpa - przepraszam za kłopot, teraz to już chyba tylko format. Do nastepnego razu. T. EDIT: A może nie? Czy da się zainstalować Win7 od nowa (nadpisać?) i nie stracić danych? Albo zainstalować Win7 od nowa na innej partycji? Czy wtedy będę miał dostęp do danych zapisanych w starym systemie? T. Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2012 Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Akurat to jest dziwne, ponieważ ComboFix powinien uzgodnić rejestr .... Czy po użyciu ComboFix coś jeszcze robiłeś dodatkowo? Dostęp do danych i leczenie systemu są nadal możliwe, mimo że Windows nie startuje. Wstępnie przedstaw log z FRST (wersja x64). . Odnośnik do komentarza
pieniek Opublikowano 17 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Nie. Nie robiłem niczego - wyłączyłem komputer, a po włączeniu już nie działał. Tzn Windows nie startuje. Teraz komunikuję się z innego komputera. Jak mam zrobić log z FRST? Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2012 Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Jak mam zrobić log z FRST? Przecież w linku jest opis .... Potrzebujesz pendrive, na którym umieścisz narzędzie, przy starcie komputera F8 i funkcja "Napraw komputer" w celu wejścia do linii komend i uruchomienia z pendrive FRST zgodnie z opisem. . Odnośnik do komentarza
pieniek Opublikowano 17 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Log z FRST: FRST.txt Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2012 Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 W tym przypadku ComboFix nabroił, usunął plik ale nie powiązane wejście w rejestrze. Coś musiało mu przeszkodzić, ponieważ w normalnych okolicznościach ComboFix dba o to miejsce w rejestrze. Mamy dokładnie to o czym mówiłam, dlatego jest BSOD. Otóż rejestr nie jest uzgodniony i nadal biblioteka consrv.dll jest zaplanowana do ładowania: ========================== Registry (Whitelisted) ============= SubSystems: [Windows] ==> ZeroAccess Po usunięciu consrv.dll system nie może startować, dopóki nie zostanie wykonana korekta w rejestrze. Bez niepokoju. Jest to jak najbardziej naprawialne. 1. Przygotuj skrypt naprawczy. Otwórz Notatnik i wklej w nim: SubSystems: [Windows] ==> ZeroAccess 2 tosrfhid; C:\Windows\System32\WinVd32.dll [5120 2009-07-14] (Iomega) C:\Windows\System32\WinVd32.dll NETSVC: tosrfhid Reg: reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v Shell /f Plik zapisz pod nazwą fixlist.txt i ułóż go na pendrive obok narzędzia FRST. 2. Uruchom ponownie narzędzie FRST i wybierz opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony. Na pendrive powstaną wyniki usuwania w postaci pliku fixlog.txt. 3. Windows powinien się załadować. Gdy to nastąpi, z posta numer #4 wykonaj FIX.REG (podkreślam: ten drugi plik FIX.REG a nie pierwszy podany na samym początku). 4. Stwórz nowy log z OTL opcją Skanuj, opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania", w celu pozyskania Extras. Dołącz też plik Fixlog.txt. . Odnośnik do komentarza
pieniek Opublikowano 17 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 OK! Działa! Logi: Fixlog.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2012 Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Wszystko pomyślnie wykonane. Nie widzę już w raportach nic szkodliwego w stanie czynnym (tylko autoryzacje w zaporze). Na dysku są jeszcze szczątki po deinstalowanych programach zabezpieczających (COMODO / Avira / ESET). Przechodzimy do kolejnej fazy: 1. Wstępnie usunięcie widzialnych obiektów tych aplikacji plus likwidacja autoryzacji w zaporze. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Users\user\Downloads\facebook-pic00005267.exe"=- "C:\Users\user\Downloads\facebook-pic000934519.exe"=- "C:\Users\user\Downloads\facebook-pic00005267.exe"=- "C:\Users\user\Downloads\facebook-pic000934519.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla\Thunderbird\Extensions] "eplgTb@eset.com"=- :Files rd /s /q C:\FRST /C rd /s /q C:\Windows\ERDNT /C rd /s /q C:\ProgramData\CPA_VA /C rd /s /q C:\Users\Public\Documents\COMODO /C rd /s /q "C:\Program Files (x86)\Comodo" /C rd /s /q C:\Users\user\AppData\Local\ESET /C rd /s /q C:\ProgramData\Avira /C rd /s /q "C:\Program Files (x86)\Avira" /C del /q C:\Windows\SysNative\drivers\avipbb.sys /C del /q C:\Windows\SysNative\drivers\avgntflt.sys /C del /q C:\Windows\SysNative\drivers\avkmgr.sys /C del /q C:\Windows\SysNative\drivers\sfi.dat /C :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Popraw za pomocą aplikacji dedykowanych: ESET Uninstaller + Uninstaller Tool for COMODO Products + Avira Registry Cleaner. 2. Odinstaluj w prawidłowy sposób ComboFix, klawisz z flagą Windows + R i w polu Uruchom wklej polecenie: C:\Users\user\Desktop\ComboFix.exe /uninstall 3. Wykonaj pełne skanowanie systemu za pomocą aplikacji: Malwarebytes's Anti-Malware (masz zainstalowany) oraz Kaspersky Virus Removal Tool. W Kasperskym w jego konfiguracji zaznacz wszystkie obszary do skanowania. Zgłaszasz się tu z raportami z obu aplikacji, o ile jakiekolwiek zagrożenia zostaną wykryte. Nie załączaj raportów, jeśli nic nie zostanie wykryte. . Odnośnik do komentarza
pieniek Opublikowano 17 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Geeee! Prawie sześć godzin skanu....Nie jest czysto... Oto wyniki: mbam-log-2012-01-17 (16-46-56).txt Kaspersky.txt Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2012 Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Nie jest czysto, ale to już resztki po ZeroAccess. Za pomocą skanera Kaspersky usuń wszystko co wykrył. Podaj rezultaty, czy akcja odbyła się pomyślnie. . Odnośnik do komentarza
pieniek Opublikowano 17 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 No i nowy problem Kaspersky pousuwał wirusy, zdezynfekował pliki po czym zrestartował komputer i zażądał ponownej instalacji. Przy okazji przestała działać mysz radiowa i klawiatura. Jak podłączyłem inną mysz na kablu USB, to po zainstalowaniu sterowników zaczęła działać... radiowa nadal nie, choć nie sprawdzałem jak to będzie gdy dopnę ją (przekaźnik) do innego portu USB... Kaspersky 1.txt EDIT: W innym porcie USB też nie działa, choć Windows zameldował pomyślne zainstalowanie oprogramowania sterownika. Podłączona do notebook'a, z którego teraz piszę - działa... Za pomocą drugiej myszy wszedłem do Menedżera urządzeń. Nie mogę zrobić print-screen'a (klawiatura), wiec opiszę. Wszystkie zaznaczone wykrzyknikiem na żółtym trójkącie urządzenia wyświetlają ten sam komunikat: "Stan urządzenia Sterownik tego urządzenia może być uszkodzony lub w systemie może być za mało pamięci bądź innych zasobów (Kod 3)" "Ustawienia zasobu: To urządzenie nie używa żadnych zasobów, ponieważ wystąpił w nim problem." Nie działa: Kontroler hosta VIA 1394 zgodny z OHCI Rodzajowy monitor PnP Procesory Stacja dysków Kontroler interfejsu LPC Intel® ICH9 - 2918 Kontroler zgodny ze standardem High Definition Audio Moduł wyliczający magistrali głównej UMBus Moduł wyliczający magistrali kompozytowej Sterownik modułu wyliczającego dysku wirtualnego Microsoft Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2012 Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 Na temat problemu z myszką i klawiaturą: to chyba skutek uboczny użycia usuwacza COMODO. Już ktoś na forum coś takiego notował. Poproszę o skan na filtrowanie urządzeń. To zdołasz wykonać tylko przy udziale myszy kablowej bez klawiatury. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /S HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /S Klik w Skanuj (nie Wykonaj skrypt!). Przedstaw log wynikowy. . Odnośnik do komentarza
pieniek Opublikowano 17 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2012 OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2012 Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Z tego skanu nic nie wynika. Musisz nieco poczekać, bo chwilowo nie mam zbyt dużo czasu, na maszynie wirtualnej zainstaluję COMODO i załatwię go tym narzędziem usuwającym, by zweryfikować gdzie ono grzebie. Jednakże od razu sprawdź czy zadziała w Menedżerze urządzeń deinstalacja wszystkich urządzeń z wykrzyknikami + restart systemu. . Odnośnik do komentarza
pieniek Opublikowano 18 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Odinstalowałem i restart. Może to się przyda - klawiatura działa do momentu wystartowania Windows'a np. klawisz F8... "Niepowodzenie instalacji oprogramowania sterownika urządzenia" Nadal nie działa wszystko co przedtem. Znikły (w menedżerze) tylko moduły wyliczające i sterownik - trzy ostatnie pozycje z posta #15 Do jutra - dobranoc Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2012 Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Hmmm, uruchomiłam tego usuwacza COMODO i u mnie nic się nie wydarzyło. Może spróbuj tego oto diagnostyka Microsoftu: KLIK Może to się przyda - klawiatura działa do momentu wystartowania Windows'a np. klawisz F8... To jest oczywiste. Nie ta faza ładowania Windows. . Odnośnik do komentarza
pieniek Opublikowano 18 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 Jak zwykle pomoc Microsoftu nadaje się do niczego. Nie można zainstalować sterowników nie wiadomo czemu... Piszę za pomocą wirtualnej klawiatury Google. Polecenia na zasadzie "kopiuj - wklej" mogę wykonywać. Gorzej z klawiszem ENTER... Jeśli program ma klawisz uruchomienia działania/komendy - nie ma problemu. A może posłużyć się poleceniem "NAPRAW KOMPUTER" z menu startowego (F8) ? EDIT: Z zupełnie innej beczki... Taka klawiatura mogła by się przydać na Forum... Tak myślę... EDIT II: Przypomniałem sobie, że mam klawiaturę na kablu USB w kompie córki... Podpiąłem i działa! Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2012 Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 1. Zweryfikuj poprawność plików systemowych za pomocą komendy sfc /scannow, przy udziale kolejnej komendy przefiltruj CBS.LOG do znaczników [sR] i dostarcz wynikowy log: KLIK. 2. Dostarcz kompletną kopię rejestru do analizy. Wytwórz ją za pomocą narzędzia RegBack, wszystko zapakuj do ZIP, shostuj gdzieś paczkę i wyślij mi na PW. . Odnośnik do komentarza
pieniek Opublikowano 18 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2012 sfc.txt Odnośnik do komentarza
picasso Opublikowano 19 Stycznia 2012 Zgłoś Udostępnij Opublikowano 19 Stycznia 2012 Narzędzie SFC nie widzi żadnych uszkodzeń. W rejestrze nie mogę się dopatrzyć usterki, wpisy zdają się być poprawne. Kolejne próby deinstalacyjne: 1. Pierwsza próba deinstalacji w menedżerze urządzeń jednak spowodowała, że zniknęły trzy zdefektowane obiekty. Ponów próbę. Spróbuj także wybrać inną opcję: Aktualizuj oprogramowanie sterownika > Wyszukaj automatycznie ... > przy niepowodzeniu "Przeglądaj mój komputer ... > Pozwól mi wybrać z listy ... > wybierz pozycje podane przy czynnej opcji "Pokaż zgodny sprzęt". Restart systemu. 2. Uruchom USBDeview x64, zaznacz w nim wszystkie urządzenia USB, które nie działają, z menu kontekstowego wybierz opcję odinstalowania. Wyłącz komputer na chwilę. Ponownie włącz. Podaj rezultaty. . Odnośnik do komentarza
pieniek Opublikowano 19 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 19 Stycznia 2012 1. Pierwsza próba deinstalacji w menedżerze urządzeń jednak spowodowała, że zniknęły trzy zdefektowane obiekty. Ponów próbę. Nic z tego: 2. Spróbuj także wybrać inną opcję: Aktualizuj oprogramowanie sterownika > Wyszukaj automatycznie ... Komunikat: "System Windows ustalił, że oprogramowanie sterownika dla tego urządzenia jest aktualne" Przy czym Menedżer urządzeń twierdzi nadal to co poprzednio. Dotyczy wszystkich urządzeń z listy powyżej. 3. przy niepowodzeniu "Przeglądaj mój komputer ... > Pozwól mi wybrać z listy ... > wybierz pozycje podane przy czynnej opcji "Pokaż zgodny sprzęt". Restart systemu. Komunikat jak na obrazku. Dotyczy wszystkich urządzeń z listy powyżej: 4. Uruchom USBDeview x64, zaznacz w nim wszystkie urządzenia USB, które nie działają, z menu kontekstowego wybierz opcję odinstalowania. Wyłącz komputer na chwilę. Ponownie włącz. Podaj rezultaty. Hmmm.... Zaninstalowało się pomyślnie to: Ale to co nie działało - nie działa: USBDeview odinstalował/wyczyścił mi tylko wpisy dot. instalacji PenDrive'ów i telefonów komórkowych. Raport USBDeview: usbdeview.txt Odnośnik do komentarza
Rekomendowane odpowiedzi