bowie15

Witam ponownie.

Poprzednio miałem pecha trafiając na okres międzyświąteczny i mój temat pozostał bez odpowiedzi, więc musiałem sobie sam poradzić. Dlatego też proszę o analizę loga i wyrozumiałość co do sposobu wyboru i użycia narzędzi - poprostu leciałem po kolei z listy a poprzedni temat może już zamknąć?

W skrócie problem pojawił się gdy system zaczął pracować bardzo wolno i długo się uruchamiał. W tym samym czasie na moich stronach pojawiły się modyfikacje kodu w plikach index.php poprzez dodanie kodu base64. Nie jestem pewny czy można to powiązać, ale to już historia - pliki zmodyfikowałem, a serwisy zabezpieczyłem, pozostał mi tylko komputer. Stosowałem Cureit z płytki - trochę śmieci w archiwach, Kaspersky Virus Removal Tool - znalazł w plikach kopii serwisów złośliwy kod base64-usunięty ręcznie. Wcześniej gdy tylko zaczęło się coś dziać zaintstalowałem Comodo i skan nie wykazał NIC . Nawet nie jestem w stanie przypomnieć sobie co stosowałem, ważne, że w którymś momencie COMODO się obudził i usunął wirusa z c:\windows\explorer.exe. Od tego momentu system odżył, już nie uruchamia się 10 min, programy działają szybciej. A i zaczął działać menadżer zadań. Czy naprawdę jest już czysto???

Dręczy mnie temat braku możliwości skanowania mojego komputera przez Combofix. Pomimo wielu prób łącznie z odinstalowaniem DW i Comodo Combofix zatrzymuje się na informacji, że skanowanie może potrwać 10 min i nieznacznie dłużej. U mnie to nieznacznie trwało ponad 6 godzin bez efektu - lampka dysku wolno mrugała, ale loga nie było. Próbowałem z trybu awaryjnego i zwykłego, z zabiciem procesów przez OTH i rkill. Wolne skanowanie występuje również przy zastosowaniu OTL - kilka razy wykonał się w kilka minut, najczęściej trwa to ok. godziny. Problemy występowały też przy użyciu aswMBR-komunikat, że nie jest programen 32bit, mbr rootkit detector-nie otworzył się.

Załączam pierwszy log z OTL i gmera

gmerpierwszy.txt

OTLpierwszy.Txt

, oraz logi aktualne.

gmer.txt

OTLOstatni.Txt

ExtrasOstatni.Txt

COMODO - ostatnie skanowanie OK. Nie mam loga z usunięcia wirusa, bo po przeinstalowaniu zniknął.

Panda online - czysto parę cookie

Norton online - OK

Pozdrawiam

Wiem, że nie należy pisać post po postem, ale trochę czuję się zapomniany.

A tak na poważnie to naprawdę nie wiem co mam dalej zrobić z komputerem. Z Combofixem nie wyszło tak jak wcześniej pisałem - po wielu godzinach zawiesił się na amen.

Pozdrawiam

Przepraszam za niespodziewany rym, ale tak właśnie wygląda sytuacja. Zaczęło się od zwolnienia pracy komputera. Wczoraj po raz pierwszy moim stronom na serwerze zostały zmienione pliki index.php - został dodany kod base64. Strony się przestały uruchamiać, a przy okazji dostało mi sie od użytkowników. W nocy wszystko zostało naprawione i działało chyba do pierwszego mojego albo uruchomienia komputera (trwa ponad 10 minut), albo zalogowania na serwerze. Znowu to samo. Pozmieniałem spowrotem na serwerzeserwisy z innego komputera, było krótko dobrze, znowu jest to samo. Ponieważ piszę z prawdopodobnie zainfekowanego komputera, zaraz go odłączam od sieci i spróbuję jeszcze raz.

Pozdrawiam załączając wymagane pliki

Dodam już z nowego komputera, że od wczoraj instalator przedstawiajacy się jako Rock Tools Development strasznie chciał coś zainstalować, ale trwało to tak długo, że musiałem go ubijać przez DW. Zmieniłem z powrotem pliki na serwerze i czekam na efekt.

Żeby nie było, że czekam na pomoc i nic nie robię to opiszę co robiłem:

- przeskanowałem komputer Kaspersky Virus Removal Tool - znalazł w plikach kopii serwisów złośliwy kod base64 - usunąłem go ręcznie. Nic w systemie i procesach nie znalazł

- Cureit - czysto

Wiem że dostanę po łapach ale nie wytrzymałem i uruchomiłem Combofix - i tu zonk - zainstalował konsolę, rozpoczął skanowanie i stanął - od ponad 2 godzin stoi na komunikacie, że skanowanie może się nieznacznie przedłużyć. Na początku dysk ostro pracował, teraz diodka pomryguje rytmicznie, ale nie przeszedł do następnych etapów. Dam mu jeszcze szansę, ale to nie jest chyba normalne.

OTL.Txt

gmer.txt

Dobrze by było posłużyć się Linuxem np Ubuntu który załadujesz z CD i sprawdzisz czy dysk jest widoczny czy też nie da sie do niego uzyskać dostępu. Możesz też puścić skan MHDD (on sprawdzi dysk twardy oraz można za jego pomocą pobrać dane SMART https://www.fixitpc.pl/topic/141-mhdd-podstawowa-instrukcja-obslugi/) możesz też sprawdzić RAM MemTestem - im dłuższy test tym lepszy, możesz go zostawić na noc.

No i wszytsko jasne. Po skanowaniu 7,5% dysku błędy UNC 38. Reszta wyników dla potomności

<3 177160

<5 2118

<50 2470

<150 1100

<500 720

>500 386

Mam też zdjęcia ze smarta ale nie warto zaśmiecać internetu. Komputer jedzie do serwisu.

Pozdrawiam

Dobrze by było posłużyć się Linuxem np Ubuntu który załadujesz z CD i sprawdzisz czy dysk jest widoczny czy też nie da sie do niego uzyskać dostępu. Możesz też puścić skan MHDD (on sprawdzi dysk twardy oraz można za jego pomocą pobrać dane SMART https://www.fixitpc.pl/topic/141-mhdd-podstawowa-instrukcja-obslugi/) możesz też sprawdzić RAM MemTestem - im dłuższy test tym lepszy, możesz go zostawić na noc.

Dyski są widoczne spod dr.web liveCD - w menadżerze mogę wszystko podejrzeć na wszystkich partycjach. Od 36h chodzi testując się dr.Webem - czy to normalne tak długie skanowanie? Jak skończy zajrzę do smarta i spróbuję sprawdzić dysk. Waham się w sprawie oceny czy napewno to sprawa hardwarowa, a nie programowa - zeznania użytkownika są mętne i po dopytywaniu wskazują na możliwe błędy aktualizacji - zaczynając od Javy poprzez Avasta i bóg wie co aż do Windowsa. Byłbym wdzięczny za dalsze sugestie, szczególnie jak się dostać do Windowsa

Pozdrawiam

Witam. Problem z laptopem polega na :

1.nie uruchamia się Win7(64)- po kilku minutach kręcenia dyskiem pojawia się niebieska tapeta i tyle,

2.nie działa tryb recovery - naciśnięcie klawisza f4 powoduje to co w pkt.1,

3.aby zaczęło się coś dziać najpierw trzeba na ekranie wyboru setup bios(f2) czy recovery(f4) nacisnąć f1

4.metoda naprawy i testowania z postu Diagnostyka infekcji na niestartujących Windows nie działa - po starcie płytki pojawia się okno wyboru języka, klikam domyślnie EN, długo mieli dyskiem i pojawia się informacja o istniejącym systemie? windows7 rozmiar 0 partycja e: i na tym się kończy. Dysk staje, a kółeczko na ekranie się kręci, nieaktywny przycisk dalej. Zmiana języka np. na polski powoduje, że nawet nie dochodzi do ekranu z systemem.

Sprawdzany bootowalnym antywirusem AVG - bez wirusów i niestety niedokończonym drWeb(po 17 h wyglądało na czysto)

Dziwnie wygląda bootowanie z płytki np. DrWeb LiveCD- natychmiast po włączeniu pojawia się ekran wyboru jak w pkcie 3. naciskam f1, startuje płytka, na ekranie wyboru dr.web naciskam tryb domyślny, restart, naciskam f1, ponownie ekran wyboru Dr.Web, naciskam tryb domyślny i teraz działa.

Moje podejrzenie skłania się do błedu systemu, może po nieudanej aktualizacji, ale przeglądając posty tego dotyczące nie znajduję w c:\windows\WinSxS\pending.xml, a tym bardziej nie jestem w stanie zajrzeć w rejestr.

Byłbym wdzięczny za sugestie co dalej można zrobić, czy może to być awaria komputera czy błędy systemu.

Pozdrawiam

OK. Log z kvrt na ustawieniach: poziom ochrony wysoki i wyłączone całkowicie przywracania systemu. Poprzednie były robione na "zalecany" i wyłączone a potem włączone przed skanowaniem przywracanie systemu.

Pozdrawiam

raport kvrt3.txt

Punkty 1-4 wykonane. W załączeniu log z Kaspersky Virus Removal Tool. Niestety trochę się pogubiłem w ustawieniach leczenia i jest kilku etapowy - ale kończy się na czysto .

Pozdrawiam

raport kvrt2.txt

Wygląda na to, że jest dobrze. Zmiana wygaszacza bezproblemowa. Załączm log z OTL i AD-remover

Pozdrawiam

Ad-Report-CLEAN1.txt

06122011_131236.txt

- komenda resetu firewalla wykonana

- deinstalacja śmieci wykonana - w trakcie deinstalacji Conduit Engine pojawił się komunikat o braku uprawnień, ale zapis w dodaj-usuń programy zniknął

- problem z wygaszaczem - nadal istnieje. Rzeczywiście włączony jest wygaszacz:

Jeden z wygaszaczy ekranu też tu był leczony Dr. Web i widać jego plik jako zmodyfikowany:

 

2011-06-10 01:36:41 PM Scanner Info cured 1 files: /win/C:/WINDOWS/system32/ssmypics.scr;

Przy edycji tj. po PPM na ekranie ->Właściowści -> kliknięcie zakladki "Wygaszacz ekranu" we właściwościach Ekran następuje komunikat o błędzie z aplikacją rundll32.exe. Po 2-3 krotnym kliknięciu zamknij tworzone są pliki tymczasowe np. 292c_appcompat.txt i c236_appcompat.txt które załączam. Próba kliknięcia debuguj kończy się komunikatem o błędzie aplikacji drwatson32.exe i tworzy się plik appcompat.txt.

Wejście do Właściwości: Ekran poprzez Panel Sterowania->Ekran jest bezproblemowe i pozwala zmienić wygaszacz, ale zmiana na inny nadal powoduje problemy przy próbie edycji PPM na ekranie ->Właściowści -> kliknięcie zakladki "Wygaszacz ekranu"

- po opisanych wyżej próbach zmiany wygaszacza na ekranie pozostają ślady po otwieranych oknach - brak możliwości odświeżenia pulpitu

Pozdrawiam

OTL.Txt

Extras.Txt

gmer.txt

W załączeniu logi po skrypcie. Mam nadzieję, że to iż jeszcze nie usunęłem śmieci jak niżej nie przeszkadza w ocenie. System pracuje lepiej ale występuje np. błąd rundll.32 przy próbie wyłączenia wygaszacza ekranu.

3. Do deinstalacji śmieci / adware:

W Dodaj / Usuń programy pozbądź się: Babylon-English Toolbar, MediaBar, Conduit Engine, facemoods, Seekdns, ShopperReports.

W menedżerze rozszerzeń Firefox usuń: Babylon-English Toolbar, Facemoods, Seekdns

06102011_214945.txt

gmer.txt

OTL.Txt

Witam. Komputer znajomego. Objawy to restarty systemu, szczególnie przy uruchamianiu programów, nieaktywny Avast. Po wyeliminowaniu grzejącego się procesora, skan drWeb z poziomu LiveCD. Za pierwszym razem wykrył ponad 1000 wirusów nazwanych Win32.Virut.56, Win32.Virut.5 i kilka o innych niestety niezapamiętanych nazwach. Niestety zabrakło powierzchni na dysku do zakończenia skanu. Po usunięciu plików przywracania systemu drugi skan i wyglada na to, że wszystko jest usunięte. System działa ale kulawo -np msconfig i kilka programów nie uruchamia się. Załączam raport z drWeb, OTL i Gmer z prośbą o sprawdzenie i ew. doczyszczenie oraz pomoc w naprawie systemu. Pozdrawiam

OTL.Txt

Extras.Txt

gmer.txt

Kopia raport1.txt

Oczywiście masz rację - pozbyłem się OA i komputer odżył. Zainstalowałem Panda Cloud AV i mam nadzieję, że razem z DW wystarczy.

Pozdrawiam

Witam.

Od kilku dni mam problem z uruchomieniem wielu programów - zaczęło się od Office poprzez brak wyświetlania ikon uruchomionych programów min. antywirusa i zapory Online Armor do braku możliwości odinstalowania np.Alkohola lub wejścia do centrum zabezpieczeń. Chyba pogorszyłem wczoraj sprawę bo OA informował o zmianie opery poprzez proces eksplorer i kilku jeszcze innych a ja dałem zgodę.

Logi wykonane w trybie awaryjnym bo w normalym żaden ze skanerów się nie uruchamia.

W proces explorer widać pracującego AV i zaporę, ale próba wywołania GUI daje komunikat "System Windows nie może uzyskać dostępu do okreslonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień,aby uzyskać dostęp do elementu"

DDS.txt

OTL.Txt

Extras.Txt

Attach.txt

Witam wszystkich. Jako aktywny czytelnik SE nie mogę się doczekać rozwoju nowego forum. Tutki i pomoc picasso nieraz ratowała mój i moich znajomych komputer przed formatem. Pozdrawiam i życzę powodzenia.