tomo

Ok wszystko pieknie działa. Pytanie jeszcze jedno moje i myślę że można zamykać temat. Czy włączenie w BIOSie opcji Wirus Warning może zapobiec infekcji w MBR i czy warto to włączyć? pozdrawiam i dziękuję bardzo za wszelką pomoc Tomo

Jesli chodzi o tą usługę to w trybie ręcznym a całkiem wyłączona nie ma różnicy w czasie ładowania. Jedynie w automatycznym zamula na starcie. Wydawało mi się, że po wyłączeniu tej usługi przestała działać opcja "uruchom/pokaż nawigatora" dostępna w prawego przyciku myszy na ikonce HP Digital imaging z traya. ale po włączeniu też nie działa. Może przesintaluje soft, żeby to jeszcze sprawdzić. Wszystko inne super.Ładuje się szybko, programy też ładnie się odpalają. Proszę o instrukcje czy coś jeszcze trzeba zrobić z komputerem aby było ok. Może defragmentację? Tylko jakim programem, żeby defragmentował wszystkie obszary dysku a nie tylko same dane? Czy pefrectdisk będzie dobry? A może jakis darmowy?

Na virustotal pokazało coś takiego: Antivirus results AhnLab-V3 - 2010.08.27.00 - 2010.08.26 - - AntiVir - 8.2.4.46 - 2010.08.26 - W95/CIH Antiy-AVL - 2.0.3.7 - 2010.08.26 - - Authentium - 5.2.0.5 - 2010.08.26 - - Avast - 4.8.1351.0 - 2010.08.26 - - Avast5 - 5.0.594.0 - 2010.08.26 - - AVG - 9.0.0.851 - 2010.08.26 - Win32/Small BitDefender - 7.2 - 2010.08.27 - Win95.CIH.299 CAT-QuickHeal - 11.00 - 2010.08.24 - - ClamAV - 0.96.2.0-git - 2010.08.26 - - Comodo - 5870 - 2010.08.27 - - DrWeb - 5.0.2.03300 - 2010.08.27 - - eSafe - 7.0.17.0 - 2010.08.26 - - eTrust-Vet - 36.1.7820 - 2010.08.27 - - F-Prot - 4.6.1.107 - 2010.08.26 - - F-Secure - 9.0.15370.0 - 2010.08.26 - Win95.CIH.299 Fortinet - 4.1.143.0 - 2010.08.26 - - GData - 21 - 2010.08.27 - Win95.CIH.299 Ikarus - T3.1.1.88.0 - 2010.08.26 - - Jiangmin - 13.0.900 - 2010.08.26 - - Kaspersky - 7.0.0.125 - 2010.08.27 - - McAfee - 5.400.0.1158 - 2010.08.27 - - McAfee-GW-Edition - 2010.1B - 2010.08.26 - - Microsoft - 1.6103 - 2010.08.26 - - NOD32 - 5400 - 2010.08.26 - - Norman - 6.05.11 - 2010.08.26 - - nProtect - 2010-08-26.01 - 2010.08.26 - - Panda - 10.0.2.7 - 2010.08.26 - - PCTools - 7.0.3.5 - 2010.08.27 - - Prevx - 3.0 - 2010.08.27 - - Rising - 22.62.03.01 - 2010.08.26 - - Sophos - 4.56.0 - 2010.08.26 - - Sunbelt - 6799 - 2010.08.27 - - SUPERAntiSpyware - 4.40.0.1006 - 2010.08.27 - - Symantec - 20101.1.1.7 - 2010.08.27 - - TheHacker - 6.5.2.1.356 - 2010.08.26 - - TrendMicro - 9.120.0.1004 - 2010.08.26 - - TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.27 - - VBA32 - 3.12.14.0 - 2010.08.25 - - ViRobot - 2010.8.26.4009 - 2010.08.26 - - VirusBuster - 5.0.27.0 - 2010.08.26 - - File info: MD5: fbb838f6e908e267efc2446e689c8d7b SHA1: 7a73e8504621707d4212f9050efcd58490a53430 SHA256: 3e617223d29bde8623b9789ad0b244c0f309ae4b0ac996d5dc1fa67cf59c036d File size: 909824 bytes Scan date: 2010-08-26 23:41:38 (UTC) A co do reszty to teraz znacznie szybciej startuje, a w Menadzeże urządzeń nie ma żadnych wykrzykników. Wszystkie urządzenia OK. ps. czy wyłączenie tej usługi HP ma na coś wpływ? Bo wyglada na to ze załadował się do traya ten HP Digital Imaging Monitor ale nie mogę go uruchomić.

Zainstalowałem wszystko zalecane. Po zainstalowaniu Aviry przeskanowałem cały system na wszelki wypadek. Poniżej załączam log bo coś się jeszcze znalazło. AVSCAN-20100826-224141-8059B074.txt Ogólnie wszystko śmiga jak nalezy. Jedynie co mnie jeszcze zastanawia to dlaczego po starcie systemu ikonka od karty sieciowej oraz ikonka od HP Digital Imaging monitor pojawia się gdzies po około 2 minutach od załadowania systemu. W tym czasie nie widać aby dysk jakoś pracował czy coś. Wydaje mi się że to było zanim zacząłem instalować comodo i avire bo wtedy pojawiała się ta ikonka od Centrum zabezpieczeń i ona też właśnie się tak po długim czasie od uruchomienia systemu dopiero pojawiała w trayu. Jakiś pomysł o co chodzi?

Oto skan z MBAM mbam-log-2010-08-26 (19-20-57).txt

Jeśli chodzi o IE to nic się nie pokazuje na starcie i wyglada na to że jest ok. Żadnych innych objawów nie zauwazyłem. Jedyne co to po wykonanu skryptu na dole okna OTL wyświetlił się napis Processin complete czy jakoś tak ale nie wrócił do pulpitu ani nie zrestartował się. Zrobiłem Alt+Ctrl+del, zamknałem OTL i uruchomiłem explorer.exe. Potem zrestartowałem kompa. Log pojawił się jak ponownie uruchomilem OTL jak chcialem zrobić następny skan. otl_z_usuwania.txt OTL.Txt Extras.Txt Zgrany MBR zgodnie z instrukcją we wczesniejszym poście wysłałem na PW.

Log z Gmera z trybu awaryjnego bo w normalnym niestety BSOD. MBRCheck nadal się wiesza wiec log z Bootkit Remover. Log z usuwania OTLPE: otlpe_skrypt.txt Reszta logów: Extras.Txt OTL.Txt gmer.txt bootkit remover.txt

Wykasowałem _OTL oraz Qoobox. Odpaliłem płyte Kasperskyego Zrobiłem krótkie skanowanie bez dysku C: oraz razem z dyskiem C: Kaspersky_mini.txt kaspersky_full.txt

Po uruchomieniu Bootkit Remover i z linni polecen MBR sie nadpisał i system sam się zresetował. Pokazało się zielone ok i tak jakbym zresetował przyciskiem. Żadnego zamykania systemu czy coś. oto nowe logi: gmer5.txt OTL.Txt Extras.Txt Gmer niestety z awaryjnego. W normalnym nie moge uruchomić. Co do IE to dalej to samo, (tak to wyglada - ) a także plik 2008.exe na c:\ i svc2.exe w procesach. Cięzki przypadek tej mój komp.

Komputer to zwykły składak. Nie ma żadnych plansz podczas startu. Normalnie bios a potem start systemu. Płyta to Epox 8rda+. Nie było montowanego żadnego menadzera rozruchu. MBRCheck nadal nie działa. A poniżej log z Bootkit Remover. Bootkit Remover © 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600 ) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found) Done; Press any key to quit...

Bootkit Remover © 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600 ) System volume is \\.\C: \\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00 Boot sector MD5 is: 5792afe8a152cb642f1b5a62fc36d86e Size Device Name MBR Status -------------------------------------------- 74 GB \\.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump <device_name> [output_file] To disinfect the master boot sector, use the following command: remover.exe fix <device_name> Done; Press any key to quit...

Po uruchomieniu MBRCheck system kompletnie się zawiesza w momencie jak narzędzie ma pokazać MBR Status. Kursor parę razy mignie i następuje zwis. W trybie awaryjnym też. Po zawieszeniu kontrolka od dysku cały czas świeci.

Zrobiłem wszystko wg instrukcji. Tym raem był problem z Gmerem. Nie udało mi sie go uruchomic w normalnym trybie. Zakazdym razem BSOD po kliknieciu na ikone. Nawet sie okienko nie pokazywalo. W awaryjnym poszedl gladko. W glownym katalogu C dalej jest plik 2008.exe, i podczas startu dalej komunikat o niezakończonej sesji IE. ps. nie wiem czemu ale nie moge dodac zalacznikow. Dostaje komunikat: NIe wybrano plików do wgrywania. Dlatego daje linki do logow na wklej.org. Zalaczylem jeszcze minidump z restartu gmera. combofix gmer minidump

Wrzucam na razie skan z Malwarebytes Anti-Malware. Combofix wrzuce jak mi sie uda uruchomić tak że pojdzie do końca bo teraz znowu BSOD wywala podczas skanowania. Raz zanim pojdzie restart po komunikacie ze wykryl rootkita, raz po restarcie. Próbuje. A może zamieścić zrzut pamięci moze coś pomoże. Malwarebytes.txt Udało mi się uruchomić Combofix w trybie awaryjnym i poszedł do końca. Log poniżej. ComboFix_2.txt I jeszcze skan userinit.exe z Virustotal Antivirus results AhnLab-V3 - 2010.08.25.00 - 2010.08.24 - - AntiVir - 8.2.4.38 - 2010.08.24 - TR/Dropper.Gen Antiy-AVL - 2.0.3.7 - 2010.08.23 - Trojan/Win32.Swisyn.gen Authentium - 5.2.0.5 - 2010.08.24 - - Avast - 4.8.1351.0 - 2010.08.24 - - Avast5 - 5.0.594.0 - 2010.08.24 - - AVG - 9.0.0.851 - 2010.08.24 - Dropper.Generic.BZRW BitDefender - 7.2 - 2010.08.25 - Trojan.Generic.3914100 CAT-QuickHeal - 11.00 - 2010.08.24 - - ClamAV - 0.96.2.0-git - 2010.08.24 - - Comodo - 5848 - 2010.08.24 - - DrWeb - 5.0.2.03300 - 2010.08.25 - Trojan.MulDrop.34168 Emsisoft - 5.0.0.37 - 2010.08.24 - Trojan-Downloader.Win32.Isnev!IK eSafe - 7.0.17.0 - 2010.08.24 - - eTrust-Vet - 36.1.7814 - 2010.08.24 - - F-Prot - 4.6.1.107 - 2010.08.24 - - F-Secure - 9.0.15370.0 - 2010.08.25 - Trojan.Generic.3914100 Fortinet - 4.1.143.0 - 2010.08.24 - - GData - 21 - 2010.08.24 - Trojan.Generic.3914100 Ikarus - T3.1.1.88.0 - 2010.08.24 - Trojan-Downloader.Win32.Isnev Jiangmin - 13.0.900 - 2010.08.23 - Trojan/Swisyn.jju Kaspersky - 7.0.0.125 - 2010.08.24 - - McAfee - 5.400.0.1158 - 2010.08.24 - Suspect-D!7F9C2B666148 McAfee-GW-Edition - 2010.1B - 2010.08.24 - - Microsoft - 1.6103 - 2010.08.24 - - NOD32 - 5394 - 2010.08.24 - a variant of Win32/Small.NHS Norman - 6.05.11 - 2010.08.24 - W32/Suspicious_Gen2.KXCE nProtect - 2010-08-24.01 - 2010.08.24 - Trojan/W32.Agent.25088.EL Panda - 10.0.2.7 - 2010.08.24 - - PCTools - 7.0.3.5 - 2010.08.24 - - Prevx - 3.0 - 2010.08.25 - - Rising - 22.62.01.04 - 2010.08.24 - Trojan.Win32.Nodef.abn Sophos - 4.56.0 - 2010.08.24 - - Sunbelt - 6786 - 2010.08.24 - Trojan.Win32.Generic!BT SUPERAntiSpyware - 4.40.0.1006 - 2010.08.24 - - Symantec - 20101.1.1.7 - 2010.08.24 - - TheHacker - 6.5.2.1.355 - 2010.08.24 - Trojan/Small.nhs TrendMicro - 9.120.0.1004 - 2010.08.24 - - TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.24 - - VBA32 - 3.12.14.0 - 2010.08.24 - Trojan.Win32.Swisyn.ahfm ViRobot - 2010.8.24.4005 - 2010.08.24 - - VirusBuster - 5.0.27.0 - 2010.08.24 - - File info: MD5: 7f9c2b6661488bd6bd483dd4ce0c8b46 SHA1: 79ce01aec7b11b71314843a073fff7b08215d6e6 SHA256: a875f2823e548912de6072ad4504e63c30b0e4aca0ada20152e01831dc7b1a15 File size: 25088 bytes Scan date: 2010-08-24 22:34:56 (UTC)

Plik przekopiowałem. Wykonałem skrypt. Po ponownym uruchomieniu kompa w czasie startowania Windowsa BSOD. I tak chyba z 6 razy a potem sie uruchomił. Potem jak sie uruchomił to już ok. Skan z OTL zrobiłem. Strona virustotal nie działa obecnie. OTL.Txt Extras.Txt otl_wykonanie_skryptu.txt Nadal wyskakuje po uruchomieniu kompa, że chce uruchomić IE. I pyta czy przywrócić poprzednią sesję czy otworzyć od nowa. Ale ja normalnie zamykam IE jak w ogóle z niego korzystam. NIe wiem co z tym jest. No i w C: jest nadal plik 2008.exe a w C:\windows plik svc2.exe.

Pobrałem pliki ale nie moge ich wypakować bo dostaje komunikat że dysk jest pełny. Zmieniłem w archuwim nazwy pliku dodajac 1 na koncu i wypakowalem takie i zapisalo. Poprawilem tez w skrypcie ale nie wiem czy tak mozna ze w tej sekcji FCopy dalem plik zrodłowy ndis1.sys a wynikowy ndis.sys. Czy nazwa sie odpowiednio zmieni? W czasie uruchamiania Combofix wyrzuca jeszcze że nie może odnaleźć pliku grpconv.exe. Jak odpalilem Combofix z takim skryptem to wyrzuca komunikat ze wykrył rootkita i restart i potem chwile idzie i BSOD. Udało się jedynie jak uruchomienie ponowne puściłem w trybie awaryjnym. Ale udało się i Combofix przeszedł cały i log stworzył kompletny. Przepuściłem potem Gmera i OTL wg wskazówek. Logi poniżej: ComboFix.txt gmer_nowy_2.txt Extras.Txt OTL.Txt

Uruchomienie ComboFixa nie było do końca udane. Najpierw w czasie uruchomienia był komunikat, że ComboFix wykrył rootkita i że trzeba ponownie uruchomić kompa. W trakćie ponownego uruchomienia wywaliło BSOD. "BAD_POOL_HEADER" a potem nie chciał wystartować system. Dopiero w awaryjnym tuszył i tam ComboFix poszedł. Po restarcie w czasie tworzenia loga jak już Combofix kończył działanie wystąpił reset kompa. Nie wiem czy log będzie kompletny bo w głownym katalogu nie było tylko znalazłem go w katalogu c:\Combofix. Jak ponownie uchomiłem kompa to zauważyć się dało, że znacznie szybciej chodzi i nie ma juz tego diabełka w Alt+tab i pojawiło się centrum zabezpieczeń w trayu. Uruchomienie GMERA to znowu BSOD. Ale po drugiej próbie poszedł i jest kompletny log. ComboFix.txt gmer_nowy.txt

Uruchomiłem Kaspersky TDSSKiller. Wykrył coś ale nie wiedziałem czy dać Quarantine czy Delete, bo opcji Cure nie było. Zostawiłem na Skip, żeby nic nie zepsuć i czekam na instrukcje. Poniżej także log z Listingu USBFix ps. Nie widziałem tego wcześniej ale jak przechodzę pomiędzy aplikacjami za pomocą Atl+Tab to jest jedna ikonka na którą jak wejdę to żadna aplikacja się nie pojawia. Ikonka wyglądem przypomina głowę diabła z takimi zawiniętymi rogami. Ma kolor czerwony. Dałem screena. I jeszcze teraz wyskoczyła mi strona w IE z jakimiś tresciami porno i za każdym uruchomieniem systemu wyskakuje komunikat, czy przywrócić sesję IE. TDSSKiller.2.4.1.2_23.08.2010_18.03.57_log.txt UsbFix.txt

Witam Mam następujący problem z komputerem. Komputer przestał się uruchamiać. Zamiast pojawić się ekran z tym paskiem postępu i logiem Windows Xp wyświetlał się czarny ekran. Spróbowałem uruchomić z trybu awaryjnego ale też się zawieszał. Podczas startu w trybie awaryjnym widać było na czym się zatrzymuje. Najpierw był to plik kbxrr.sys. Wyłączyłem go z konsoli odzyskiwania. Potem przechodził dalej ale zatrzymywał się na pliku mxvhbaqh.exe. Po wyłączeniu i jego system ruszył. System nie działa jednak normalnie. Chodzi bardzo wolno. Otwieranie okien trwa kilkanaście sekund. Przy starcie wyskakuje błąd, że brak pliku svc.exe. W procesach jest kilka dziwnych pozycji takich jak: svc.exe, xvsfym.exe, u2lj.exe Chciałem przeskanować system Dr.web ale podczas skanowania następuje restart. Skaner wykrywa, że w pamięci jest BackDoor.Tdss.565 i pisze, że zniszczony, ale po chwili następuje restart i od nowa jest. Zrobiłem logi z OTL. Z Gmera tylko udało się zrobić ze wstępnego skanowania bo w czasie pełnego następuje restart. Nawet w trybie awaryjnym. Rootrepeal też nie mogę zrobić skanu bo wiesza się chwilę po wystartowaniu skanowania. OTL.Txt Extras.Txt gmer_preskan.txt