cod3r

Dałem spokój, gdyby była możliwość przetrzymania dysku dłużej to pewnie bym się jeszcze trochę "pobawił" i potestował ale kumpel stwierdził, że już pal licho te dane, nie były jakieś bardzo mocno ważne. Dysk wrócił do lapka, format poszedł, system postawiony i wszystko śmiga jak należy, przynajmniej teraz będzie o robieniu kopii pamiętał, może...

Dzięki za zainteresowanie, temat można zamknąć.

Zrobiłem zgodnie z poradą, pliki wyizolowane. Sprawdziłem i nie widziałem żadnych negatywnych skutków więc je usunąłem.

Dzięki za pomoc, temat można zamknąć.

Ok, a więc tak, udało mi się odzyskać dane przy pomocy programu, który polecał Bonifacy, długo to trwało ale jakoś dobiegło końca. Problem teraz jest w tym, że te pliki po skopiowaniu i próbie odpalenia np. jpg, czy .doc są uszkodzone i nie da rady ich otworzyć. Teraz moje pytanie dotyczy tego czy znacie może jakiś dobry soft naprawiający uszkodzone pliki czy raczej sytuacja jest ciężka?

MarekB, dzięki, sprawdzę jak nie pójdzie tym co polecił Bonifacy (załączyłem dziś rano, leci "skanowanie wgłąb", po czasie stwierdzam, że się program stara, aczkolwiek zobaczymy efekty).

wieslaw531, a więc tak, odpaliłem płytkę z systemem i dałem napraw, nie powiodło się (tzn. stwierdził, że nie da się naprawić) ale była możliwość dostępu do konsoli, tak więc ją odpaliłem i wykonałem skan chkdsk.

Dam znać jutro co i jak ewentualnie, a co do chkdsk to robiłem to na samym początku, jeszcze u kumpla, rzucał kodem błędu 50. Obecnie próbuję program, który polecił Bonifacy . Dobranoc .

Przepraszam, teraz ja się zamotałem, mam taki sam system jak stoi u niego W7 x64 .

Ok, opiszę wszystko co i jak. System był Windows 7 64-bitowy.

Sytuacja ma się tak, kumpel postanowił zrobić sobie formata. Płytki nie dostał więc mu mówię, że pewnie masz ukrytą partycję recovery, w Asusie z tego co wiem odpala się ją naciskając f8 lub f9 po odpaleniu kompa. Oczywiście postanowił sprawdzić czy jest nie zgrywając wcześniej danych (ała). Owszem była, odpalił się menedżer recovery, doszedł do momentu w którym, z tego co mówił, odpalił przywracanie/odzyskiwanie, a następnie postanowił je przerwać przypomniawszy sobie o danych do zgrania :/. Przerwał twardym resetem... i system nie wstaje . Patrzyłem też spod gparted, partycja C na której były pożądane dane jest oznaczona jako uszkodzona. I tak właśnie myślę jak to ugryźć, teoretycznie po szybkim formacie dane powinny udać się jakoś wydobyć.

up

Ok, dzięki za odpowiedź, aczkolwiek interesującą mnie informacją jest co się dzieje przy szybkim formacie z partycją recovery, myślę, że jest bezpieczna, natomiast nie mam 100% pewności.

Wcześniej był na pewno NTFS, obecnie RAW . Poniżej załączony obrazek, podłączony dysk to Dysk1.

Witam,

Kumpel pomieszał trochę na dysku i obecnie nie można się za bardzo do niego dostać ani z pod linuxa ani Windowsa, system nie wstaje wcale, a zależy mu na kilku plikach z tego dysku, kopii nie zrobił :/. Opiszę co chcę zrobić. Wymontowaliśmy dysk z lapka i wziąłem go do siebie, mam możliwość podłączenia dysku do USB odpowiednimi kablami + zasilanie. Dysk mi wykrywa natomiast chce go sformatować, ok. Mam plan by dać szybkiego formata i wtedy odzyskać dane. Nurtuje mnie tylko pytanie na temat partycji recovery, która znajduje się na tym dysku, a jest ukryta (widać pod linuxem). Czy szybkie formatowanie nie wyrządzi jej szkód?

Ok, tak więc w folderze Common znajduje się plik o nazwie Shared101.ini mający taką zawartość:

AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAKFV/LYRdVEe3JaGzEg0DiQAAAAACAAAAAAAQZgAAAAEAACAAAABDzroqtdDvKikiR2IQ6lx00qcAdABNAPQq5UHKKFTIOwAAAAAOgAAAAAIAACAAAABqwRDoDwYBy3QORnjRqmkOEVJ6mYlfK20F3KPqa7SlnDAAAACdWtE6/qHucThgLA2DsAr6bQ650of5mFWn2p9CaXjnxmHcWVqlzkcXRXSbzabFXchAAAAA/N5r5WxiJPvtPaKHyKIPS/tuzGnPkDSBaKQuMyJUwnR8ogRQ4SsVqB+tL8v3MZgoKLanmsyPNmz62uevHaK5aw==

A co do tych 3 plików, być może są to drivery do jakiś produktów HP'owskich bądź powiązanych. Kupując komputer system miałem niestety z masą niepotrzebnych aplikacji wciśniętych dodatkowo.

Dziś folderu Common nie odnajduję w podanej ścieżce. Być może ulotnił się po czyszczeniu CCleanerem? Codziennie czyszczę. Co do 3 pierwszych plików, to one są chyba od samego początku na kompie. Z tego co sobie przejrzałem to we wszystkich wcześniejszych wątkach, które zamieszczałem na tutejszym forum zawsze w logach OTL te pliki były. Musiałby się pojawić wraz z instalacją świeżego systemu, komputer mam od września ubiegłego roku.

Witam,

Co jakiś czas wykonuję rutynowe skany Comodo, dziś wykrył mi jakiś podejrzany plik. Przeskanowałem plik na Virustotal i Kaspersky oznaczył go jako Exploit.Java.CVE-2012-1723.bx. (link do wyników z virustotal: klik).

Dodam jeszcze, że podejrzany plik znajduje się w lokalizacji C:\Users\Uzytkownik\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 .

Załączam skany OTL.

OTL.Txt

Extras.Txt

Ok, załączam log po zrobieniu wyżej wymienionych czynności. Aktualizacja zakończyła się nareszcie powodzeniem .

CheckSUR.txt

Ok, po ponownym uruchomieniu logi sie pojawiły, załączam.

CheckSUR.txt

w katalogu C:\Windows\Logs\CBS nie ma żadnego innego pliku oprócz CBS.log + kilku spakowanych w archiwum .rar. Sprawdzałem też dla pewności czy może nie jest ukryty, nie jest.

Witam,

Od kilku dni mam problem z zainstalowaniem aktualizacji na jednym z moich komputerów. Komputer na którym pojawia się problem ma posiada system Windows 7 x86 Home Premium. Instalacja aktualizacji KB2718704 (która wyszła 4 czerwca) do dziś ciągle kończy się niepowodzeniem. A więc tak, co zrobiłem żeby problem rozwiązać. Spróbowałem 2 możliwości na które wskazywała pomoc, konkretnie tych dwóch: http://windows.micro...-error-800B0100

Po wykonaniu punktu 1 nic się nie zmieniło, instalacja aktualizacji znów kończyła się niepowodzeniem.

Po wykonaniu punktu 2 tak samo, chociaż była informacja, że problemy zostały pomyślnie naprawione, mimo to instalacja się nie powiodła.

W podglądzie zdarzeń widnieje kilkanaście takich samych wpisów:

Błędy	2012-06-18 15:26:08	WindowsUpdateClient	20	Windows Update Agent

Nazwa dziennika:System

Źródło: Microsoft-Windows-WindowsUpdateClient

Data: 2012-06-18 15:26:08

Identyfikator zdarzenia:20

Kategoria zadania:Windows Update Agent

Poziom: Błędy

Słowa kluczowe:Niepowodzenie,Instalacja

Użytkownik: SYSTEM

Komputer: Komputer

Opis:

Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x800b0100: Aktualizacja systemu Windows 7 (KB2718704).

Kod XML zdarzenia:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

<System>

<Provider Name="Microsoft-Windows-WindowsUpdateClient" Guid="{945A8954-C147-4ACD-923F-40C45405A658}" />

<EventID>20</EventID>

<Version>0</Version>

<Level>2</Level>

<Task>1</Task>

<Opcode>13</Opcode>

<Keywords>0x8000000000000028</Keywords>

<TimeCreated SystemTime="2012-06-18T13:26:08.535394300Z" />

<EventRecordID>1027602</EventRecordID>

<Correlation />

<Execution ProcessID="1152" ThreadID="2484" />

<Channel>System</Channel>

<Computer>Komputer</Computer>

<Security UserID="S-1-5-18" />

</System>

<EventData>

<Data Name="errorCode">0x800b0100</Data>

<Data Name="updateTitle">Aktualizacja systemu Windows 7 (KB2718704)</Data>

<Data Name="updateGuid">{9CA0B1C7-2A98-46EE-8C71-9E9985FCF904}</Data>

<Data Name="updateRevisionNumber">100</Data>

</EventData>

</Event>

Załączam log CBS, wrzuciłem na hosting ponieważ waży dość sporo bo około 17MB.

CBS.log - http://hostuje.net/f...67b0e5a3bd42249

Może miał ktoś podobny problem i sobie poradził?

Dzięki za pomoc, temat do zamknięcia .

Nie wiem dlaczego nie mogę dodać załącznika. Wklejam poniżej treść loga po usuwaniu:

All processes killed
========== OTL ==========
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry key HKEY_USERS\S-1-5-21-3588997498-3946416563-196430977-1001\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2fa28606-de77-4029-af96-b231e3b8f827}\ not found.
Registry key HKEY_USERS\S-1-5-21-3588997498-3946416563-196430977-1001\Software\Microsoft\Internet Explorer\SearchScopes\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ec29edf6-ad3c-4e1c-a087-d6cb81400c43}\ not found.
C:\Users\marcin\AppData\Roaming\Mozilla\Firefox\Profiles\as9dldmv.default\searchplugins\search.xml moved successfully.
C:\Users\marcin\AppData\Roaming\pdfforge\Images2PDF folder moved successfully.
C:\Users\marcin\AppData\Roaming\pdfforge folder moved successfully.
========== REGISTRY ==========
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: marcin
->Temp folder emptied: 116295420 bytes
->Temporary Internet Files folder emptied: 364931 bytes
->Java cache emptied: 26618 bytes
->FireFox cache emptied: 84844168 bytes
->Flash cache emptied: 917 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 29936 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50400 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 192,00 mb


OTL by OldTimer - Version 3.2.39.2 log created on 03252012_235900

Files\Folders moved on Reboot...
C:\Users\marcin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Co do desktop.ini to faktycznie są, aczkolwiek wcześniej widziałem je jak tylko włączyłem opcję pokazywania ukrytych plików. Teraz widać je dopiero jak się włączy pokazywanie ukrytych plików i odznaczy opcję Ukryj chronione pliki systemu operacyjnego. No ale, wszystko jest jak powinno teraz.

Zdarzenia antywirusa:

Zdarzenia Defense

Tutaj właśnie co do pliku hosts to się zasugerowałem tym wpisem, Modyfikacja pliku .

I dołączam log z AdwCleaner'a.

Jeszcze co do plików desktop.ini, były 2 na pulpicie z datą po infekcji i 2 w folderze C:\Users\marcin\Documents, ale poznikały już... Pewnie po czyszczeniu AdwCleanerem .

AdwCleanerR1.txt

Witam,

Dziś Comodo przyblokował mi próbę dostania się na komputer infekcji, dodał pliki do piaskownicy, więc działań infekcji za bardzo nie widać. Natomiast zauważyłem, po włączeniu opcji pokazywania ukrytych plików, jest kilka z nazwą desktop.ini z datą modyfikacji zbliżoną do daty blokowania infekcji. Na niektórych folderch wiszą też kłódeczki.

Np. na Documents and Settings. Czy usunięcie plików desktop.ini wystarczy? Comodo też zgłaszał próbę modyfikacji pliku hosts, ale to chyba była tylko próba bo plik hosts wygląda normalnie.

# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#	  102.54.94.97	 rhino.acme.com		  # source server
#	   38.25.63.10	 x.acme.com			  # x client host

# localhost name resolution is handled within DNS itself.
#	127.0.0.1	   localhost
#	::1			 localhost

Dołączam też logi z OTL i proszę o sprawdzenie czy coś pozostało lub dostało się jednak do komputera?

OTL.Txt

Extras.Txt

OK, dzięki Landuss. Nic podejrzanego więcej nie widzę, więc skoro to wszystko to temat można zamknąć.

Ok, a więc tak. Foldery i pliki które się w nich znajdowały (LP, FBD23, F44FB) wywaliłem wczoraj ręcznie. Plik csrss.exe Comodo trzymał w nierozpoznanych plikach więc nie powinien narobić szkód.

Chciałbym się jeszcze zapytać o plik C:\Windows\System32\svchost.exe . Widziałem go w Comodo, że zużywał sporo zasobów, np. zaraz po odpaleniu kompa (teraz już nie) i przeskanowałem na VirusTotal.

Jeden skaner wykrył jakiegoś Trojana. https://www.virustot...sis/1327228816/ Fałszywy alarm?

Przedstawiam raporty z usuwania i nowy log OTL.

Nie wiem dlaczego loga po usuwaniu nie mogę dać w załącznik :|. (Błąd Nie masz uprawnień do wysyłania tego typu plików)

Więc załączę tutaj:

All processes killed

========== FILES ==========

File\Folder C:\Program Files (x86)\LP not found.

File\Folder C:\Program Files (x86)\FBD23 not found.

File\Folder C:\Users\marcin\AppData\Roaming\F44FB not found.

C:\Users\marcin\AppData\Roaming\csrss.exe moved successfully.

========== OTL ==========

64bit-Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ deleted successfully.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 56468 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: marcin

->Temp folder emptied: 5318 bytes

->Temporary Internet Files folder emptied: 114822 bytes

->Java cache emptied: 5690105 bytes

->FireFox cache emptied: 51416372 bytes

->Flash cache emptied: 57084 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 57099 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50534 bytes

%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 638 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 55,00 mb

 

 

OTL by OldTimer - Version 3.2.31.0 log created on 01222012_112815

 

Files\Folders moved on Reboot...

C:\Users\marcin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

 

Registry entries deleted on Reboot...

OTL.Txt

Witam,

Przeglądając dziś pewną stronkę kliknąłem sobie w link po czym Windows Defender zgłosił Trojana Downloadera, nie zapamiętałem dokładnie nazwy. Kliknałem oczyść system, następnie zabiłem podejrzane procesy i usunąłem pliki z katalogu C:\Users\marcin\AppData\Local\Temp (tam był zidentyfikowany plik infekcji przez Defendera).

Co jest dla mnie bardzo dziwne Comodo nie zareagował... wcale. W C:\Program Files (x86) zlokalizowałem również 2 podejrzane katalogi FBD23 i LP).

Katalog pierwszy jest pusty, drugi natomiast zawiera następujące pliki, które przeskanowałem na VirusTotal i załączam linki do wykonanej analizy:

5F38.tmp --> https://www.virustot...sis/1327178935/

419A.exe --> https://www.virustot...sis/1327179023/

419A.tmp --> ten ma 0 kB

DE0.exe --> https://www.virustot...sis/1327179263/

Domyślam się, że najlepiej je ręcznie wywalić .

Załączam też logi OTL, proszę o sprawdzenie, czy jeszcze siedzi jakaś infekcja.

Aha, i jeszcze zauważyłem, że ustawienia Mozilli się zmieniły. Po tym jak wywaliłem pliki wirusa z katalogu Temp, przeskanowałem Defenderem komputer i chciałem odpalić przeglądarkę to było ustawione łączenie za pomocą proxy.

edit:

Teraz przeglądając sobie zdarzenia Comodo widze, że niektóre pliki dodał sobie do piaskownicy, więc jednak jakoś zareagował.

Jest jeszcze jeden podejrzany plik w katalogu: C:\Users\marcin\AppData\Roaming\F44FB

BD23.44F -- > https://www.virustotal.com/file/b1c846241fc0b420ad2afc3555c8f32720ad91a7e6bd78459f5b033a0cc0a5f2/analysis/1327181127/

OTL.Txt

Extras.Txt

Dzięki za odpowiedzi wszystkim, jak by ktoś się natknął kiedyś na jakieś materiały, linki, do takich przypadków to fajnie by było jakby się podzielił.

ja też tylko czytałem, natomiast nikt nie potrafi wytłumaczyć "jak" i "dlaczego" ani tego udowodnić.

Dlatego zadałem właśnie to pytanie, myślę że to forum jest właściwym miejscem, ponieważ zajmuje się tą tematyką i sporo osób ma tu szeroką wiedzę na ten temat.