jpatryk

Groszexx, jesteś w stanie mi jakoś pomóc?

Prosze Może postawić system na innym dysku i zainstalować sterowniki? Mielibyśmy wzorzec i sterowników od Ati i tego Classpnp, no i pewnie fragment rejestru który nie powinien się zmieniać w czasie.

A kiedy ja żartowałem? Nic strasznego z tym plikiem nie robiłem, idąc twoją przekazaną wiedzą zrobiłem sobie kopię i podmieniłem na testy kopię przechowywaną w winsxs, niestety bez różnicy.

Prosze FRST.txt

Nie znam konkretnej daty wystąpienia problemu, jakiś czas leżał u jednego magika, następnie do mnie i już tydzień się morduję. Czy zatem podać Ci daty tych kluczy czy nie są one już tak bardzo ważne? Wszystkie tropy kierują w stronę sterowników? czy rozważasz inne opcje? Jeśli sterowniki to nie jesteśmy w stanie przywrócić go do fabrycznych ustawień np. dismem?

Co masz na myśli "Próbowałeś tej opcji z poziomu RE?". Normalnie podczas rozruchu są 2 opcje uruchom normalnie i napraw (zalecane). Szczerze to nigdy nie ufałem tej metodzie naprawienia:) ale próbowałem. Log z 23.04. Komunikat na końcu że nie udało się naprawić . SFC przeprowadzałem w trybie offline /offbootdir /offwindir, na pewno nie trwało to 10 minut, jest tam ssd, ale z jakieś 4 minuty tak. Wynikiem był komunikat że nie znaleziono naruszenia. Pewnie to nic nie wniesie, ale kilka razy odpalałem sfc i często pojawiał się komunikat, że inny proces naprawy nie został zakończony, proszą o restart i ponowne uruchomienie procesu(wtedy już szedł) CHKDSK był robiony. SrtTrail.txt

A widzisz na pliku CLASSPNP.sys

Plik AtiPcie.sys znajduję się wyłącznie w windows\system32\drivers tzn. tam gdzie go kopiowałem.

acer aspire 5532 Żeby ograniczyć trochę albo w sumie rozszerzyć poszukiwania postanowiłem się dowiedzieć dlaczego ktoś brał się za sterowniki. Podobno po aktualizacjach windows wisiał na czarnym ekranie po uruchomieniu (logo windowsa), nie działały żadne kombinacje klawiszy, tutaj zapewne była próba ręcznego uruchomienia explorera. Z ciekawości dismem pociągnąłem listę zainstalowanych aktualizacji, ale żadne nie były instalowane w ostatnim czasie chyba, że dism nie wszystko pokaże w offline. Ten bsod pojawia się od razu po pojawienia loga i kwadracików od ładowania, co prawda jest ssd, ale czy procesowo tak szybko ładowałby akurat stery od grafiki? Tryb awaryjny powinien się ładować bez sterowników, dlaczego zatem sytuacja jest analogiczna? Nie można dismem pograć sterów do obrazu?

Pobrałem sterowniki znalazłem plik AtiPcie.sys skopiowałem w wyznaczone miejsce i niestety nic. Sfc zeskanowałem już wcześniej system, ale dla pewności i teraz jeszcze raz - brak błędów, a bsod dalej występuję.

W trybie awaryjnym taka sama sytuacja. Log w załączniku. Fixlog.txt

Dzięki za odpowiedź. Zrobiłem tak jak sugerowałeś czyli usunąłem wpisy ze sterownikami których plików brakuje, niestety dalej mam blue screeny. Jest jakaś opcja żeby zmusić go do zrobienia dumpa błędu?

Witam Log zawarty w załączniku. FRST.txt

W jaki sposób? Ja jestem drugą osobą która walczy z lapkiem, poprzednia to wykonała. Ze względu na usunięcie fizycznie sterowników nie stworzył się żaden punkt kontrolny.

Witam, niestety Windows wali bsodami po ręcznym usunięciu sterowników ATI. W jaki sposób mogę uruchomić zrzut bsod z pamięci, gdy system się nie uruchamia w żadnym trybie, a jedyna opcja komunikacji z nim to opcja Naprawy Systemu i CMD. Windows 7 Home Premium

Witam Po ponownym skanie pliki w załączniku Addition.txt Fixlog.txt FRST.txt mbam.txt

Czy wpis Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ycbcr-9.lnk [2017-09-13] sugeruje datę zainfekowania komputera? Dzisiaj przez przypadek znalazłem plik w folderze Pobrane. Nazwa pliku i data pozwoliły trochę zawęzić poszukiwania w meilach. Odnalazłem meila który zawierał plik pdf z rzekomo nieopłaconymi płatnościami. Otwarcie pliku odrazu otwiera przeglądarkę z linkiem (sprawdzałem na komputerze bez dostępu do internetu). Pewnie plik pobiera wcześniej odnaleziony plik w folderze Pobrane który jest w javascripcie. Plik ten bez uruchamiania wrzuciłem na virustotal, oto wynik: https://www.virustotal.com/#/file/23d3ec6d0199209063a250469ab321e399a05b2fb35e8827c77b576e80edb256/detection Czy to jest źródło problemu? Ciekawi mi data utworzenia pliku był to 05-05-2017, a startup ze skanu wskazuje 2017-09-13. To jest data aktualizacji? Ostatniej modyfikacji?

Dziękuję za pomoc. Myślę że max do jutra wykonam skrypt. Ale analizując go bezpośrednio na zagrożenie wskazuje plik ycbcr-99 czy jitter-67, pytam ponieważ chciałbym dojść do tego w jaki sposób komputer został zainfekowany. W pierwszej kolejności chciałbym przeanalizować załączniki meili przed datą utworzenia plików.

Witam, prosiłbym o analizę zawartych logów. Niepokoją mnie dwa wpisy w autostarcie: -jitter-03 oraz ycbr-9 AdwCleaner nic nie znalazł. Bardzo dziękuję za pomoc. Addition.txt FRST.txt Shortcut.txt

Witam, dziękuję za szybką odpowiedź. Oczywiście wykonałem wszystkie powyższe kroki które zostały mi wskazane. W załączniku przesyłam nowe logi. Nie mogłem dopatrzeć się zrzutu logów z kasperky, więc zrzuciłem print screen. Komputer jest wyłączony od dostępu do internetu tak więc bardzo chciałbym zostać przy temacie ciut dłużej jeżeli oczywiście pozwolicie. Co bezpośrednio wskazuje w logach na infekcję tego typu? Rozumiem, że dzięki temu wirusowi pozyskiwane są wszystkie hasła i loginy, ale może on pełnić funkcję keylogerra i pozyskać wszystkie ruchy na komputerze ofiary? Potencjalnie znam sprawcę całego zdarzenia - patrząc po autostarcie, a dokładnie co było dodane do niego w danym czasie nie długo trzeba było szukać, aby znaleźć meila w skrzynce pocztowej który zawierał potencjalnie fakturę, ale z rozszerzeniem .js ..... nie dbałość żony Widząc skale jaką obejmuje Nymaim chyba raczej szukanie już potencjalnego intruza w sensie personalnie nie ma większego sensu, kopiąc po domenie itp itd pewnie natrafimy na tor'a, a może się mylę? Fixlog.txt Shortcut.txt Addition.txt FRST.txt

Witam Jakiś czas temu pewnego dnia zauważyłem dziwny sposób logowania się do banku. Kilkakrotnie mimo prawidłowego logowania się na stronie banku pojawiał się proces weryfikacji konta. Mogę prosić o sprawdzenie logów z adwcleanera oraz FRST. Historia przeglądarki nic nie zarejestrowała niepokojącego. FRST.txt Shortcut.txt Addition.txt AdwCleanerS1.txt