tomo

Ok wszystko pieknie działa. Pytanie jeszcze jedno moje i myślę że można zamykać temat. Czy włączenie w BIOSie opcji Wirus Warning może zapobiec infekcji w MBR i czy warto to włączyć? pozdrawiam i dziękuję bardzo za wszelką pomoc Tomo

Jesli chodzi o tą usługę to w trybie ręcznym a całkiem wyłączona nie ma różnicy w czasie ładowania. Jedynie w automatycznym zamula na starcie. Wydawało mi się, że po wyłączeniu tej usługi przestała działać opcja "uruchom/pokaż nawigatora" dostępna w prawego przyciku myszy na ikonce HP Digital imaging z traya. ale po włączeniu też nie działa. Może przesintaluje soft, żeby to jeszcze sprawdzić. Wszystko inne super.Ładuje się szybko, programy też ładnie się odpalają. Proszę o instrukcje czy coś jeszcze trzeba zrobić z komputerem aby było ok. Może defragmentację? Tylko jakim programem, żeby defragmentował wszystkie obszary dysku a nie tylko same dane? Czy pefrectdisk będzie dobry? A może jakis darmowy?

Na virustotal pokazało coś takiego: Antivirus results AhnLab-V3 - 2010.08.27.00 - 2010.08.26 - - AntiVir - 8.2.4.46 - 2010.08.26 - W95/CIH Antiy-AVL - 2.0.3.7 - 2010.08.26 - - Authentium - 5.2.0.5 - 2010.08.26 - - Avast - 4.8.1351.0 - 2010.08.26 - - Avast5 - 5.0.594.0 - 2010.08.26 - - AVG - 9.0.0.851 - 2010.08.26 - Win32/Small BitDefender - 7.2 - 2010.08.27 - Win95.CIH.299 CAT-QuickHeal - 11.00 - 2010.08.24 - - ClamAV - 0.96.2.0-git - 2010.08.26 - - Comodo - 5870 - 2010.08.27 - - DrWeb - 5.0.2.03300 - 2010.08.27 - - eSafe - 7.0.17.0 - 2010.08.26 - - eTrust-Vet - 36.1.7820 - 2010.08.27 - - F-Prot - 4.6.1.107 - 2010.08.26 - - F-Secure - 9.0.15370.0 - 2010.08.26 - Win95.CIH.299 Fortinet - 4.1.143.0 - 2010.08.26 - - GData - 21 - 2010.08.27 - Win95.CIH.299 Ikarus - T3.1.1.88.0 - 2010.08.26 - - Jiangmin - 13.0.900 - 2010.08.26 - - Kaspersky - 7.0.0.125 - 2010.08.27 - - McAfee - 5.400.0.1158 - 2010.08.27 - - McAfee-GW-Edition - 2010.1B - 2010.08.26 - - Microsoft - 1.6103 - 2010.08.26 - - NOD32 - 5400 - 2010.08.26 - - Norman - 6.05.11 - 2010.08.26 - - nProtect - 2010-08-26.01 - 2010.08.26 - - Panda - 10.0.2.7 - 2010.08.26 - - PCTools - 7.0.3.5 - 2010.08.27 - - Prevx - 3.0 - 2010.08.27 - - Rising - 22.62.03.01 - 2010.08.26 - - Sophos - 4.56.0 - 2010.08.26 - - Sunbelt - 6799 - 2010.08.27 - - SUPERAntiSpyware - 4.40.0.1006 - 2010.08.27 - - Symantec - 20101.1.1.7 - 2010.08.27 - - TheHacker - 6.5.2.1.356 - 2010.08.26 - - TrendMicro - 9.120.0.1004 - 2010.08.26 - - TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.27 - - VBA32 - 3.12.14.0 - 2010.08.25 - - ViRobot - 2010.8.26.4009 - 2010.08.26 - - VirusBuster - 5.0.27.0 - 2010.08.26 - - File info: MD5: fbb838f6e908e267efc2446e689c8d7b SHA1: 7a73e8504621707d4212f9050efcd58490a53430 SHA256: 3e617223d29bde8623b9789ad0b244c0f309ae4b0ac996d5dc1fa67cf59c036d File size: 909824 bytes Scan date: 2010-08-26 23:41:38 (UTC) A co do reszty to teraz znacznie szybciej startuje, a w Menadzeże urządzeń nie ma żadnych wykrzykników. Wszystkie urządzenia OK. ps. czy wyłączenie tej usługi HP ma na coś wpływ? Bo wyglada na to ze załadował się do traya ten HP Digital Imaging Monitor ale nie mogę go uruchomić.

Zainstalowałem wszystko zalecane. Po zainstalowaniu Aviry przeskanowałem cały system na wszelki wypadek. Poniżej załączam log bo coś się jeszcze znalazło. AVSCAN-20100826-224141-8059B074.txt Ogólnie wszystko śmiga jak nalezy. Jedynie co mnie jeszcze zastanawia to dlaczego po starcie systemu ikonka od karty sieciowej oraz ikonka od HP Digital Imaging monitor pojawia się gdzies po około 2 minutach od załadowania systemu. W tym czasie nie widać aby dysk jakoś pracował czy coś. Wydaje mi się że to było zanim zacząłem instalować comodo i avire bo wtedy pojawiała się ta ikonka od Centrum zabezpieczeń i ona też właśnie się tak po długim czasie od uruchomienia systemu dopiero pojawiała w trayu. Jakiś pomysł o co chodzi?

Oto skan z MBAM mbam-log-2010-08-26 (19-20-57).txt

Jeśli chodzi o IE to nic się nie pokazuje na starcie i wyglada na to że jest ok. Żadnych innych objawów nie zauwazyłem. Jedyne co to po wykonanu skryptu na dole okna OTL wyświetlił się napis Processin complete czy jakoś tak ale nie wrócił do pulpitu ani nie zrestartował się. Zrobiłem Alt+Ctrl+del, zamknałem OTL i uruchomiłem explorer.exe. Potem zrestartowałem kompa. Log pojawił się jak ponownie uruchomilem OTL jak chcialem zrobić następny skan. otl_z_usuwania.txt OTL.Txt Extras.Txt Zgrany MBR zgodnie z instrukcją we wczesniejszym poście wysłałem na PW.

Log z Gmera z trybu awaryjnego bo w normalnym niestety BSOD. MBRCheck nadal się wiesza wiec log z Bootkit Remover. Log z usuwania OTLPE: otlpe_skrypt.txt Reszta logów: Extras.Txt OTL.Txt gmer.txt bootkit remover.txt

Wykasowałem _OTL oraz Qoobox. Odpaliłem płyte Kasperskyego Zrobiłem krótkie skanowanie bez dysku C: oraz razem z dyskiem C: Kaspersky_mini.txt kaspersky_full.txt

Po uruchomieniu Bootkit Remover i z linni polecen MBR sie nadpisał i system sam się zresetował. Pokazało się zielone ok i tak jakbym zresetował przyciskiem. Żadnego zamykania systemu czy coś. oto nowe logi: gmer5.txt OTL.Txt Extras.Txt Gmer niestety z awaryjnego. W normalnym nie moge uruchomić. Co do IE to dalej to samo, (tak to wyglada - ) a także plik 2008.exe na c:\ i svc2.exe w procesach. Cięzki przypadek tej mój komp.

Komputer to zwykły składak. Nie ma żadnych plansz podczas startu. Normalnie bios a potem start systemu. Płyta to Epox 8rda+. Nie było montowanego żadnego menadzera rozruchu. MBRCheck nadal nie działa. A poniżej log z Bootkit Remover. Bootkit Remover © 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600 ) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found) Done; Press any key to quit...

Bootkit Remover © 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600 ) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 5792afe8a152cb642f1b5a62fc36d86e Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit...

Po uruchomieniu MBRCheck system kompletnie się zawiesza w momencie jak narzędzie ma pokazać MBR Status. Kursor parę razy mignie i następuje zwis. W trybie awaryjnym też. Po zawieszeniu kontrolka od dysku cały czas świeci.

Zrobiłem wszystko wg instrukcji. Tym raem był problem z Gmerem. Nie udało mi sie go uruchomic w normalnym trybie. Zakazdym razem BSOD po kliknieciu na ikone. Nawet sie okienko nie pokazywalo. W awaryjnym poszedl gladko. W glownym katalogu C dalej jest plik 2008.exe, i podczas startu dalej komunikat o niezakończonej sesji IE. ps. nie wiem czemu ale nie moge dodac zalacznikow. Dostaje komunikat: NIe wybrano plików do wgrywania. Dlatego daje linki do logow na wklej.org. Zalaczylem jeszcze minidump z restartu gmera. combofix gmer minidump

Wrzucam na razie skan z Malwarebytes Anti-Malware. Combofix wrzuce jak mi sie uda uruchomić tak że pojdzie do końca bo teraz znowu BSOD wywala podczas skanowania. Raz zanim pojdzie restart po komunikacie ze wykryl rootkita, raz po restarcie. Próbuje. A może zamieścić zrzut pamięci moze coś pomoże. Malwarebytes.txt Udało mi się uruchomić Combofix w trybie awaryjnym i poszedł do końca. Log poniżej. ComboFix_2.txt I jeszcze skan userinit.exe z Virustotal Antivirus results AhnLab-V3 - 2010.08.25.00 - 2010.08.24 - - AntiVir - 8.2.4.38 - 2010.08.24 - TR/Dropper.Gen Antiy-AVL - 2.0.3.7 - 2010.08.23 - Trojan/Win32.Swisyn.gen Authentium - 5.2.0.5 - 2010.08.24 - - Avast - 4.8.1351.0 - 2010.08.24 - - Avast5 - 5.0.594.0 - 2010.08.24 - - AVG - 9.0.0.851 - 2010.08.24 - Dropper.Generic.BZRW BitDefender - 7.2 - 2010.08.25 - Trojan.Generic.3914100 CAT-QuickHeal - 11.00 - 2010.08.24 - - ClamAV - 0.96.2.0-git - 2010.08.24 - - Comodo - 5848 - 2010.08.24 - - DrWeb - 5.0.2.03300 - 2010.08.25 - Trojan.MulDrop.34168 Emsisoft - 5.0.0.37 - 2010.08.24 - Trojan-Downloader.Win32.Isnev!IK eSafe - 7.0.17.0 - 2010.08.24 - - eTrust-Vet - 36.1.7814 - 2010.08.24 - - F-Prot - 4.6.1.107 - 2010.08.24 - - F-Secure - 9.0.15370.0 - 2010.08.25 - Trojan.Generic.3914100 Fortinet - 4.1.143.0 - 2010.08.24 - - GData - 21 - 2010.08.24 - Trojan.Generic.3914100 Ikarus - T3.1.1.88.0 - 2010.08.24 - Trojan-Downloader.Win32.Isnev Jiangmin - 13.0.900 - 2010.08.23 - Trojan/Swisyn.jju Kaspersky - 7.0.0.125 - 2010.08.24 - - McAfee - 5.400.0.1158 - 2010.08.24 - Suspect-D!7F9C2B666148 McAfee-GW-Edition - 2010.1B - 2010.08.24 - - Microsoft - 1.6103 - 2010.08.24 - - NOD32 - 5394 - 2010.08.24 - a variant of Win32/Small.NHS Norman - 6.05.11 - 2010.08.24 - W32/Suspicious_Gen2.KXCE nProtect - 2010-08-24.01 - 2010.08.24 - Trojan/W32.Agent.25088.EL Panda - 10.0.2.7 - 2010.08.24 - - PCTools - 7.0.3.5 - 2010.08.24 - - Prevx - 3.0 - 2010.08.25 - - Rising - 22.62.01.04 - 2010.08.24 - Trojan.Win32.Nodef.abn Sophos - 4.56.0 - 2010.08.24 - - Sunbelt - 6786 - 2010.08.24 - Trojan.Win32.Generic!BT SUPERAntiSpyware - 4.40.0.1006 - 2010.08.24 - - Symantec - 20101.1.1.7 - 2010.08.24 - - TheHacker - 6.5.2.1.355 - 2010.08.24 - Trojan/Small.nhs TrendMicro - 9.120.0.1004 - 2010.08.24 - - TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.24 - - VBA32 - 3.12.14.0 - 2010.08.24 - Trojan.Win32.Swisyn.ahfm ViRobot - 2010.8.24.4005 - 2010.08.24 - - VirusBuster - 5.0.27.0 - 2010.08.24 - - File info: MD5: 7f9c2b6661488bd6bd483dd4ce0c8b46 SHA1: 79ce01aec7b11b71314843a073fff7b08215d6e6 SHA256: a875f2823e548912de6072ad4504e63c30b0e4aca0ada20152e01831dc7b1a15 File size: 25088 bytes Scan date: 2010-08-24 22:34:56 (UTC)

Plik przekopiowałem. Wykonałem skrypt. Po ponownym uruchomieniu kompa w czasie startowania Windowsa BSOD. I tak chyba z 6 razy a potem sie uruchomił. Potem jak sie uruchomił to już ok. Skan z OTL zrobiłem. Strona virustotal nie działa obecnie. OTL.Txt Extras.Txt otl_wykonanie_skryptu.txt Nadal wyskakuje po uruchomieniu kompa, że chce uruchomić IE. I pyta czy przywrócić poprzednią sesję czy otworzyć od nowa. Ale ja normalnie zamykam IE jak w ogóle z niego korzystam. NIe wiem co z tym jest. No i w C: jest nadal plik 2008.exe a w C:\windows plik svc2.exe.