picasso

Zadania pomyślnie wykonane. 1. Mała drobnostka w Google Chrome, czyli zostały szczątkowe wtyczki Downloadera AOL: ========== Chrome ========== CHR - plugin: downloadUpdater (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdnu.dll CHR - plugin: downloadUpdater2 (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npdnupdater2.dll Ich usunięcie z Google Chrome wymaga edycji pliku Preferences, podobnie jak tu w punkcie 3: KLIK. Oczywiście u Ciebie wtyczki nazywają się inaczej, czyli downloadUpdater + downloadUpdater2. 2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, a SetACL i ręcznie robione fiksy ręcznie możesz usunąć. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. .

Narzędzie SFC naprawiło szkody po rootkicie: 2012-09-25 23:34:40, Info CSI 00000384 [sR] Cannot repair member file [l:18{9}]"netbt.sys" of Microsoft-Windows-NetBT, Version = 6.0.6002.18005, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch2012-09-25 23:34:40, Info CSI 00000385 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[ml:24{12},l:18{9}]"netbt.sys" by copying from backup Reszta zadań wykonana. Kolejna partia zadań: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Ja\Desktop\ComboFix.exe /uninstall 2. Wyczyść po pozostałych narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. W systemie jest zainstalowany program MBAM. Upewnij się, że bazy zaktualizowane i wykonaj nim dla pewności pełny skan (a nie ekspresowy). W razie wykrycia czegoś przedstaw raport. .

Błąd wskazuje, że program SetACL nie został znaleziony. Czy na pewno umieściłeś plik SetACL.exe w katalogu C:\Windows (a nie np. na C:\)?

Skanowanie potrwa przy takich parametrach dysków: Drive C: | 40,00 Gb Total Space | 9,56 Gb Free Space | 23,90% Space Free | Partition Type: NTFS Drive D: | 258,08 Gb Total Space | 26,11 Gb Free Space | 10,12% Space Free | Partition Type: NTFS Jeśli musisz wyłączyć komputer, skan możesz rozpocząć ponownie i oznacza to, że skaner od początku napocznie robotę. To co już wyleczone nie gwarantuje jednak, że ta część zadania jest w pełni ukończona. Sality się bardzo szybko rozprzestrzenia, już w trakcie skanowania nowe pliki mogą być infekowane w tle, dlatego mówiłam o skanie powtarzanym kilka razy. Jeden przebieg nie daje pewności. Niestety to potrwa. I jak mówiłam: skan musi zwrócić zero zainfekowanych, jeśli cały czas będzie coś od nowa wykrywał, działanie nieskuteczne i może zapaść decyzja drastyczniejszego kalibru. Ostrzegam Cię też: z Twoich dysków C+D w aktualnym stanie nie wolno skopiować żadnego pliku wykonywalnego do jakiejś kopii zapasowej, pliki są nośnikiem wirusa. System Volume Informaton to folder Przywracania systemu. Możesz wyłączyć Przywracanie na czas skanów: KLIK. .

Możemy przejść dalej: 1. Sprawdź poprawność plików systemowych za pomocą komendy sfc /scannow. Jeśli komenda zwróci komunikat o "naruszeniu integralności", za pomocą kolejnej przefiltruj wyniki do znaczników [sR] i przedstaw log wynikowy. Instrukcje: KLIK. 2. Uruchom GrantPerms i w oknie wklej: C:\Windows\System32\%APPDATA% Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\System32\%APPDATA% C:\Users\Ja\Documents\dkekejdy.exe C:\Users\Ja\AppData\Local\Temp*.html C:\Windows\is-IMCH4.exe C:\Windows\is-2QK7H.exe :OTL IE - HKU\S-1-5-21-70149214-1339082029-3386996294-1000\..\SearchScopes\{5D8D891C-C4C1-4177-96E5-AE81BF13F2EA}: "URL" = "http://isearch.avg.com/search?cid={663F07C7-E554-445C-9046-5CF4C939656D}&mid=25a8be404f6147d1a4956de783846a3c-0469635afb387a9ef43f782a8f594072c63cdbc2&lang=en&ds=ins11&pr=sa&d=2012-02-17 13:28:51&v=10.0.0.7&sap=dsp&q={searchTerms}" O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Ja\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log z pracy narzędzia SFC z punktu 1. .

Zasady działu: KLIK. Wymagane logi z OTL. Również proszę o dokładne raporty z MBAM przedstawiające co skąd usuwał. Kompletnie przestarzałe i nieużyteczne. Na temat używania aplikacji: KLIK. To nie jest normalny skaner i nie uruchamia się go bez sprawdzenia systemu. .

Co to za model komputera posiadasz? OneKey powinien być powiązany z klawiszem funkcyjnym przy starcie komputera, który prowadzi do zrzucania fabrycznego systemu.

W linii komend cmd wklej po kolei te komendy: cacls C:\RECYCLER\S-1-5-21-602162358-484763869-839522115-1003 /E /G Wszyscy:F rd /s /q C:\RECYCLER .

Większość zadań wykonana, ale mamy jeszcze co robić, bo nadal są pliki infekcji na dysku i jeden z wpisów startowych wcale nie został usunięty. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL F3 - HKU\S-1-5-21-2741791824-338667453-693480273-1000 WinNT: Load - (C:\Users\r\LOCALS~1\Temp\msfpvv.cmd) - C:\Users\r\Local Settings\Temp\msfpvv.cmd (OI6 B4d WBGm53) :Files C:\Users\r\AppData\Roaming\*.exe C:\Users\r\AppData\Roaming\FacebookUpdater.zgy C:\Users\r\AppData\Local\vsbst.exe C:\Users\r\Desktop\%APPDATA% C:\Users\r\Documents\%APPDATA% C:\Users\r\AppData\Roaming\Babylon C:\Users\r\AppData\Roaming\Mozilla\Firefox\Profiles\byolqf7z.default\extensions\4sharedToolbar.xpi :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 3. Zrób nowy log OTL z opcji Skanuj. Dołącz log wyprodukowany przez AdwCleaner. .

gesio, ale proszę wyraźniej się wypowiedz: jakie komunikaty, co na nich widzisz.

Czy wykonałeś to: KLIK. Jeśli tak: zastartuj do Trybu awaryjnego z obsługą sieci i ponów próbę. Ambitny kolega stosując ComboFix powinien wiedzieć, że ComboFix naprawia zaporę. .

Moim zdaniem Konsola naprawia nie ten dysk co należy lub go błędnie rozpoznaje. Konsola twierdzi podczas wykonywania fixboot, że: Partycja używa systemu plików FAT. Wg ListParts C to NTFS, jedyne co używa FAT to Twój Kingston (który zresztą bruździ, bo zawiera bootowalny XP i Konsola widzi go jako pierwszy dysk numer "0"). I nic mi się tu nie zgadza, wg MAP C waży 128GB (D: zresztą też identycznie obcięte): F: FAT 32 15383 MB \Device\Harddisk0\Partition1 ----> w ListParts F: C: 131072 MB \Device\Harddisk1\Partition1 D: 131072 MB \Device\Harddisk2\Partition1 E: NTFS 41088 MB \Device\Harddisk3\Partition1 ----> w ListParts E: G: NTFS 76151 MB \Device\Harddisk3\Partition2 ----> w ListParts H: Wg ListParts to samo co wyżej to: 3 Drive c: (Windows) (Fixed) (Total:26.56 GB) (Free:2.97 GB) NTFS ==>[Drive with boot components (Windows XP)] 4 Drive d: (XXX) (Fixed) (Total:931.51 GB) (Free:10.77 GB) NTFS 5 Drive e: (Programy) (Fixed) (Total:40.13 GB) (Free:17.71 GB) NTFS 6 Drive f: (KINGSTON) (Removable) (Total:15.01 GB) (Free:13.83 GB) FAT32 ==>[Drive with boot components (Windows XP)] 7 Drive g: (Filmy) (Fixed) (Total:271.51 GB) (Free:30.02 GB) NTFS 8 Drive h: (Emule) (Fixed) (Total:74.37 GB) (Free:31 GB) NTFS Konsola nie widzi prawidłowo partycji C + G (leżą na jednym dysku fizycznym) oraz D (osobny dysk fizyczny). Oba te dyski są widziane w Konsoli jako partycje obcięte do 128GB i Konsola wyczuwa tylko dwie a nie trzy. To obcinanie jak od noża do jednakowego progu czytelności partycji kojarzy się z posługiwaniem się przestarzałą wersją Konsoli (wersje plików pre SP) i brakiem obsługi dużych dysków. To wyjaśnia problemy z ginięciem partycji za każdym razem przy używaniu Konsoli. Opisz mi co za Konsolę Odzyskiwania stosujesz, z jakiej płyty XP. Widzę, że Konsola tu odpada i trzeba będzie inne narzędzie użyć. Błąd "Invalid Partition Table" = niestety trzeba cofnąć operację i przywrócić poprzednią tabelę partycji. Od początku: przywróć poprzednią tabelę partycji (wspominałeś o MiniTool Partition Wizard), upewnij się że C jest aktywną (tam gdzie leżą pliki rozruchowe) i zrób log z ListParts. .

asarttag, proszę nie podejmuj działań, które nie zostały zalecone i trzymaj się tego o co proszę w temacie. Żadnego ComboFixa nie miałeś uruchamiać, była łagodniejsza metoda leczenia tego, a instrukcji nie podałam z prostego powodu: nie sprawdzone pewne rzeczy. I nadal aktualny log z GMER. .

To czy coś dodatkowego robiłeś między założeniem tematu a uruchomieniem Kasperskiego? Owa zmiana w logu OTL w żadnym wypadku nie mogła się wykonać samodzielnie. "Coś" przekształciło link symboliczny rootkita w zwykły folder. Na razie w temacie jedyne używane narzędzie, które jest to zdolne wykonać, to Kaspersky, który jak twierdzisz nic nie robił. I poproszę jednak o log z GMER. Przed uruchomieniem usuń sterownik SPTD jak opisane + restart. .

Ale co to znaczy? Masz po zmianie nazwy pliku z TXT na REG kliknąć prawym na plik i z menu kontekstowego wybrać opcję Scal = wtedy pojawi się komunikat zatwierdzania importu do rejestru. Nie, najpierw muszą być zaimportowane pliki REG, rekonstrukcja uprawnień nie ma sensu, gdy nie ma kluczy w rejestrze. To możesz wykonać dopiero po zaimportowaniu plików REG. .

gesio, ale jaki rezultat otrzymujesz? Jeszcze raz: na początek to masz wykonać całą sekcję "Rekonstrukcja kluczy usług", tzn. pobrać pliki TXT usług BFE + MpsSvc + SharedAccess, plikom tym zmienić rozszerzenie z TXT na REG i po kolei te trzy pliki REG uruchomić. Dopiero po tym: pobierasz narzędzie SetACL i kopiujesz SetACL.exe do C:\Windows, robisz plik fix.txt o zawartości jak podana, plik fix.txt kopiujesz na C:\, uruchamiasz cmd i wklejasz podaną komendę. Pliki fix.txt robisz trzy razy, bo aż trzy usługi są uszkodzone i dla każdej jest osobna operacja. .

To nie wygląda na log Kasperskiego z usuwania. Kaspersky na pewno coś robił, bo w OTL widać zmiany (link symboliczny zniknął, przekształcając się w zwykły dir). Proszę wyszukaj właściwy log i podmień załączniki w poprzednim poście. Muszę precyzyjnie wiedzieć co narzędzie usuwało. .

Czy "gubienie" wystąpiło więcej niż raz? Żaden tryb nie ruszy przy tym błędzie. Skoro została już ustawiona partycja aktywna, spróbuj ponowić komendy naprawcze rozruchu, tzn. fixboot i fixmbr. .

1. Odinstaluj ESET Smart Security z poziomu Panelu sterowania i zresetuj system. Nie jestem pewna czy crack też zniknie, na wszelki wypadek Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę: sc delete .EsetTrialReset 2. Z poziomu Trybu awaryjnego popraw narzędziem ESET Uninstaller. I dopiero w takich warunkach sprawdź jak działa Przywracanie systemu. .

Infekcja usunięta. 1. W OTL uruchom Sprzątanie. 2. Avast do deinstalacji, jest stary. Odinstaluj go przez Panel sterowania, następnie przejdź w Tryb awaryjny i popraw usuwaczem Avast Uninstall Utility. Przy okazji proponuję też odinstalować: Akamai NetSession Interface (zbędny) + ASUS WebStorage (na forum występował w kontekście błędów explorer.exe) 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji Internet Explorer, Java (wersje 32-bit) i Office 2010 (SP1 do instalacji): KLIK. Aktualnie są zainstalowane: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{90140011-0066-0409-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - English "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 24 "{26A24AE4-039D-4CA4-87B4-2F83217006FF}" = Java 7 Update 6 .

gesio przeczytaj uważnie instrukcję. Plik importujący = to ten fix.txt, który masz przygotować w Notatniku. Linia komend = "Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę" .

arturo91, to nie jest dowód na brak wpływu ESET. Po prostu sprawdź go raz a dobrze, byśmy się odczepili od niego. Jak mówię: wyłączenie to za mało, bo to nie deaktywuje sterowników ESET. Ten ESET: ma sterowniki z roku 2010 (nie jest więc najnowszy) + crackowany.

arturo91, przecież Ci sugerowałam w tamtym temacie, że problemem może być ESET Smart Security, a to może być za mało: To tylko wyłączenie. 100% pewności, że problemu nie tworzy ESET, to jego testowa deinstalacja, a nie wyłączenie. Poza tym, to nie taki naturalny ESET, bo crackowany: SRV - [2009-03-20 15:56:57 | 000,357,182 | ---- | M] () [Auto | Stopped] -- C:\Windows\reset.exe -- (.EsetTrialReset) .

Skoro nie może dostać się do systemu, to wypadałoby podać narzędzie zdolne sprawdzić filtry z poziomu środowiska zewnętrznego. bpm Kaspersky Rescue Disk, którym ewidentnie dysponujesz, ma wbudowany edytor rejestru (link na desktopie). Edytor automatycznie montuje hive wszystkich wykrytych systemów operacyjnych. Wystarczy wejść do edytora i sprawdzić klucze, biorąc poprawkę na ciut inne ścieżki w Kasperskym, bo w środowisku zewnętrznym nie istnieje CurrentControlSet (to jest tylko symlink) i należy edytować ControlSet00X (wytypowane jako konfiguracja "bieżąca"). Porównawczo temat: KLIK. Rzecz jasna w Kasperskym nie będzie nazwy TEST tylko SYSTEM.

Ustawiłeś nieprawidłowo skan OTL, sekcji Rejestr przypisując "Wszystko" zamiast "Użyj filtrowania". 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [WSDPrintProxy] C:\Users\m2k\AppData\Local\Microsoft\Windows\2313\WSDPrintProxy.exe () FF - prefs.js..browser.search.defaultenginename: "v9" FF - prefs.js..browser.search.order.1: "v9" :Files C:\Users\m2k\AppData\Local\Microsoft\Windows\2313 C:\Users\m2k\AppData\Roaming\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Przypominam o "Użyj filtrowania". .