marcos777

Ok Landuss. Sorry. Oczywiście wiem jakie są zasady. Tak, wiem, że dużo logów, ale jak miałem zrobić logi Otl i Gmera skoro W OGÓLE system nie wstawał, tylko w kółko się restartował? Najpierw więc zrobiłem co umiałem, żeby w ogóle odpalić kompa i dostać się do windy (i to chyba z całkiem niezłym skutkiem). A podałem w poście całą historię naprawy, bo wydawało mi się, że lepiej jak fachowcy zobaczą pełny obraz moich działań i wyłapią w pozostałych logach jeszcze jakieś ślady wirusów w systemie do usunięcia np. skryptami. Mogłem oczywiście pominąć cały wcześniejszy kontekst, ale czy wtedy z końcowych logów OTL wiedziałbyś o wirusach usuniętych przez CF, MBAM, A-2 czy Kaspresky Virus Removal Tools? Gmer do końca nie daje logów, bo w trakcie szukania restartuje kompa, więc użyłem TDSS rootkit removing tool, MBR.exe. , EMebRemover.exe, Fixmebroot.exe. Zapomniałem dodać, że w międzyczasie wykonałem jeszcze WWDC, TFC, CCleaner, AFC, czyszczenie Recycler i wyłączanie Przywracania systemu i resety kompa. Usunąłem też na końcu Winamp Toolbar, zaktualizowałem Acrobata do 9.3, FireFoxa do 3.6.3, posprzątałem programem Ashampoo WinOptimizer 2010, MyDefrag i zrobiłem aktualizacje krytyczne systemu XP, ale o tym też już nie pisałem. (A`propos - jeśli ktoś potrzebuje Ashampoo WinOptimizer 2010, to jest do pobrania pełna wersja za FREE) -- Jutro odinstaluję CF i zrobię aktualizację Javy. Zapytam nieśmiało, podać na koniec jakieś logi? Pozdrawiam i dziękuję Landuss.

Witam, w kompie koleżanki z Win Xp HE wirusy nie pozwalały na start systemu. Non-stop na okrągło były restarty, bez możliwości zalogowania i startu systemu. Proszę o ewentualne skrypty czyszczące po usunięciu infekcji. Aktualnie już jest wszystko OK. Zacząłem od Hiren`s Boot Live-CD i antywir Clam. Pousuwał kilka vir. Najpierw ręcznie poczyściłem Temp, Temp. Internet Files, Cookies, następnie użyłem kilka programów antywir + ComboFix, każdy z nich coś pousuwał. (Okazało się przy okazji, że Remover, MBAM i SpyHunter mojego pochodzenia i wgrane na tego kompa, a użyte do testowania - same w sobie mają wiry ). Na kompie jest też rezultat działania ComboFix użyty przez kogoś w listopadzie 2009. Podaję logi (w kolejności powstania): CF z 2009 MBR CF Quarantined Files CF A-squared TDSS rootkit removing tool OTL txt OTL Extras CF Quarantined Files CF Kaspersky Virus Removal Tools Malwarebytes' Anti-Malware A-squared quarantine A-2 screen A-squared Malwarebytes' Anti-Malware GMER w trakcie działania restartował kompa i nigdy nie doszedł do końca. Aktualnie wydaje się, że już jest wszystko OK. Proszę o instrukcje i końcowe skrypty czyszczące po usunięciu infekcji.

Do nnneooo: OK, spróbuję coś podziałać, ale jak skończy się MEMTEST. Po nocy - wynik: "18 pass complete, no errors". ------------ Jak chodzi o logowanie - sprawa załatwiona. Pomogło to co poleciłeś od M$: Thx -------- A czy w sprawie STOP - Blue Screen`ów coś można zaradzić? ------- Zrobiłem jeszcze profilaktyczny scan Spware Doctor - o dziwo znalazł jeszcze i usunął 2 trojany (27 infekcji): Trojan-Downloader.Murlo i Trojan-Downloader.Bagle Log Spyware Doctor ============ Minęło kilka dni. Komp chodzi bez zarzutu. Temat do zamknięcia . Dziękuję wszystkim za pomoc.

Dla porządku podaję ostatnie logi: OTL.txt OTL.Extras GMER Komp chyba w końcu czysty, nawet Gmer nie protestował i zeskanował kompa Proszę jednak o pomoc w kilku innych kwestiach. 1. Czasem wyskaują BSODy: STOP. Page_fault_In_nonpaged_area. Przyczyna problemu: ntfs.sys - adres base at B9E01000 , DateStamp 48025be5. STOP. 2) Logowanie do XP HE. Jak zrobić by nie wyskaiwało żadne okno logowania i jak naprawić konto administratora? Próbowałem przez Control userspaswords2, resetowałem hasła, uprawnienia. Wyskakuje okienko logowania się konta Administratora z komunikatem, że "Nie można się zalogować z powodu ograniczeń konta." Jak wpiszę nazwę użytkownika "Lucyna", to wchodzę. Ale nie chcę ani ikonek do klikania, ani okienek do wpisywania użytkowników i haseł.

OK Landuss, ale dopiero w poniedziałek jak będę miał dostęp. A masz jakiś pomysł na zawieszenia się tego kompa? Bo można przełączać się między aplikacjami (Alt+Tab), ale trzeba bardzo długo czekać na wejście do nich. Nie zawsze, ale często się to zdarza. Czasem wolę zrobić reset niż czekać na reakcję. Wcześniej tego nie było.

Witam ponownie. A teraz po kolei logi: - CF script used: - CATCHME LOG: Z początku wyskakiwały błędy i nie działały skanery MBR (chyba były blokowane przez wirusy?): - screen1 - screen2 - TDSSKiller nic nie znalazł. - SnapShot@2010-06-04 - wkleic? Bo długi i może nudny - ComboFix - Quarantantined Files: - FixMebroot v1.0.1 - Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net Spróbowałem OTL w trybie awaryjnym: OTL.txt OTL.extras A oto log z Kaspersky Virus Removal Tools: Od razu pytanie: czy jest możliwe tego syfa złapać nie grając w Tibię? DrWeb, MBAM nic nie znalazł. KasperskyVirusRemovalTools znalazł i pousuwał: Results of system analysis Kaspersky Virus Removal Tools: avz_sysinfo.htm avz_sysinfo.xml OTL.txt OTL.extras Log FixMebroot v1.0.1 MBR.exe log: screen3 defogger_disable by jpshortstuff (23.02.10.1) Log created at 16:31 on 04/06/2010 (profilux12) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F= ------- 2010-06-04 - 08:35:16 ------------- -------- 2010-06-04 - 08:39:57 ------------- file zipped: C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe -> _Windows Defender Apps Control_.exe.zip -> Windows Defender Apps Control.exe ( 121133 bytes ) PE file "C:\Documents and Settings\All Users\My applications\Windows Defender Apps Control.exe" killed successfully -------- 2010-06-04 - 18:06:52 ------------- Ostatni ComboFix log::ComboFix GMER nie ukończył ani razu skanowania. Wieszał się XP i klepsydra non-stop. Zamieszczę więc skróconą wersję loga, bez opcji szukaj. GMER Komp normalnie się otwiera, ale bardzo często się zawiesza. Proszę o instrukcje jak sfinalizować sanację.

OK Picasso. Ale niestety dopiero jutro. I dziękuję za wyrozumiałość w sprawie CF Picasso: Może jeszcze to w czymś pomoże. Mianowicie po skanowaniach CF zastosowałem Clean w OTL. Pozostał folder C:\xxxCFixxx (pod taką nazwą zapisałem CF jak ściągałem z sieci). W nim były 3 pliki. Podałem w poście zawartość MBR.TXT. Załączam teraz pozostałe, może da Ci się je podglądnąć. Próbuję, ale wyskakuje Te 2 pliki to: mbr.cfxxe i CF8710.cfxxe. Waga: 75 i 375 kB. Hostuję na Sendspace: edytowane

OK Landuss. Dziwna sprawa z tymi aktywnymi emulatorami napędów wirtualnych, bo to komp co miał minimum rzeczy poinstalowane i nikt na nim specjalnie ich nie instalował. Chyba. Sprawdzę oczywiście, ale dopiero w piątek, jak będę miał dostęp do zainfekowanego kompa. Jeszcze jedna informacja, robactwa mogło być więcej, ale logi ich nie pokazują, bo przed skanowaniami i reinstalką - jak miałem dostęp do kompa tylko przez CD-Live DrWeb , czyściłem ręcznie Tempy, Temp.Int.Files, Recykled, Cookies. W C:\Program Files\Temp\... były 2 pliki (o takiej lub podobnej nazwie) "TEMPORARY1.EXE" z wirusami. Usunąłem je również. Czy jest możliwe stwierdzenie - w przybliżeniu chociaż, źródła / sposobu zarażenia?

Ponieważ pogodziłem się już z ewentualną reinstalką, użyłem - mimo wszystko, wbrew zaleceniom - wybacz Picasso - ComboFix. Parę razy nie zaskoczył, tzn. zaczynał się ładować pasek, okienko znikalo i nic. W końcu na nowo go ściągnąłem, ale zapisałem pod zmienioną nazwą. Odpalił i sytuacja się poprawiła. Oto log ComboFix: Powstał też dodatkowy log MBR.TXT, wskazujący na rootkita w MBR: Aktualnie: DrWeb, A-Squared, MBAMalware, Spyware Doctor, SpyRemover w szybkim skanowaniu nic nie znalazły. Zainstalowałem nowego Eseta, bo w starym nie można było odblokować zapory. Na noc zapuściłem pełne skanowanie DrWeb. Proszę o info, jakimi skryptami skończyć tą walkę. --- I jeszcze jedno - podczas poprawiania i zapisywania tego wątku na forum wyskakuje (ale to inny komp, na którym piszę ten post): To wina kompa?

Witam, kilka dni temu przy starcie WinXP Home zaczęło nagle pojawiać się okno logowania z hasłem. I nie przyjmowało żadnych możliwych haseł. 2 programy do resetowania haseł (ActivePasswordChanger i SpotmanPowerSuite) też nie pomagały. Tzn. resetowały hasła i już wydawało się, że będzie OK, system się ładował, ekran przeskakiwał na inną stronę, "Trwa ładowanie ustawień osobistych", zapisywał ustawienia, ale potem znów wyskakiwało okno logowania z hasłem. Przy użytkowniku Administrator pojawiał się komunikat: "Nie można się zalogować z powodu ograniczeń konta". DrWeb CD-Live nie był w stanie przeskanować dysku. Załadował moduły i stop. W końcu zrobiłem reinstalkę nakładkową przez 2.R i udało się. Hasła znikły. Okazało się, że Eset Smart Security był już rozbrojony, bez możliwości pracy. Zapora systemowa również. Żadne anty-spyware się nie uruchamiały, próby ściągnięcia czegoś anty były przerywane. Czyściłem Tempy, Temp.Int.Files, Recycle, cookies. ATF-Cleaner, CCleaner, WWDC, przywracanie systemu. W Windows\Temp\ były 2 pliki (o takiej lub podobnej nazwie) "temporary1.exe" z wirusami. Usunąłem je ręcznie. W końcu GMER zaczynał pracować, wskazywał na czerwono działanie rotkita i nagle stopował i reset kompa. I tak kilka razy. Na czerwono było coś z Windows ... Defender. A zapora systemowa i w Esecie była zablokowana. Log OTL.Extras: Log OTL.TXT: