tomo
-
Postów
19 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez tomo
-
-
Jesli chodzi o tą usługę to w trybie ręcznym a całkiem wyłączona nie ma różnicy w czasie ładowania. Jedynie w automatycznym zamula na starcie.
Wydawało mi się, że po wyłączeniu tej usługi przestała działać opcja "uruchom/pokaż nawigatora" dostępna w prawego przyciku myszy na ikonce HP Digital imaging z traya. ale po włączeniu też nie działa. Może przesintaluje soft, żeby to jeszcze sprawdzić.
Wszystko inne super.Ładuje się szybko, programy też ładnie się odpalają.
Proszę o instrukcje czy coś jeszcze trzeba zrobić z komputerem aby było ok.
Może defragmentację? Tylko jakim programem, żeby defragmentował wszystkie obszary dysku a nie tylko same dane?
Czy pefrectdisk będzie dobry? A może jakis darmowy?
-
Na virustotal pokazało coś takiego:
Antivirus results
AhnLab-V3 - 2010.08.27.00 - 2010.08.26 - -
AntiVir - 8.2.4.46 - 2010.08.26 - W95/CIH
Antiy-AVL - 2.0.3.7 - 2010.08.26 - -
Authentium - 5.2.0.5 - 2010.08.26 - -
Avast - 4.8.1351.0 - 2010.08.26 - -
Avast5 - 5.0.594.0 - 2010.08.26 - -
AVG - 9.0.0.851 - 2010.08.26 - Win32/Small
BitDefender - 7.2 - 2010.08.27 - Win95.CIH.299
CAT-QuickHeal - 11.00 - 2010.08.24 - -
ClamAV - 0.96.2.0-git - 2010.08.26 - -
Comodo - 5870 - 2010.08.27 - -
DrWeb - 5.0.2.03300 - 2010.08.27 - -
eSafe - 7.0.17.0 - 2010.08.26 - -
eTrust-Vet - 36.1.7820 - 2010.08.27 - -
F-Prot - 4.6.1.107 - 2010.08.26 - -
F-Secure - 9.0.15370.0 - 2010.08.26 - Win95.CIH.299
Fortinet - 4.1.143.0 - 2010.08.26 - -
GData - 21 - 2010.08.27 - Win95.CIH.299
Ikarus - T3.1.1.88.0 - 2010.08.26 - -
Jiangmin - 13.0.900 - 2010.08.26 - -
Kaspersky - 7.0.0.125 - 2010.08.27 - -
McAfee - 5.400.0.1158 - 2010.08.27 - -
McAfee-GW-Edition - 2010.1B - 2010.08.26 - -
Microsoft - 1.6103 - 2010.08.26 - -
NOD32 - 5400 - 2010.08.26 - -
Norman - 6.05.11 - 2010.08.26 - -
nProtect - 2010-08-26.01 - 2010.08.26 - -
Panda - 10.0.2.7 - 2010.08.26 - -
PCTools - 7.0.3.5 - 2010.08.27 - -
Prevx - 3.0 - 2010.08.27 - -
Rising - 22.62.03.01 - 2010.08.26 - -
Sophos - 4.56.0 - 2010.08.26 - -
Sunbelt - 6799 - 2010.08.27 - -
SUPERAntiSpyware - 4.40.0.1006 - 2010.08.27 - -
Symantec - 20101.1.1.7 - 2010.08.27 - -
TheHacker - 6.5.2.1.356 - 2010.08.26 - -
TrendMicro - 9.120.0.1004 - 2010.08.26 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.27 - -
VBA32 - 3.12.14.0 - 2010.08.25 - -
ViRobot - 2010.8.26.4009 - 2010.08.26 - -
VirusBuster - 5.0.27.0 - 2010.08.26 - -
File info:
MD5: fbb838f6e908e267efc2446e689c8d7b
SHA1: 7a73e8504621707d4212f9050efcd58490a53430
SHA256: 3e617223d29bde8623b9789ad0b244c0f309ae4b0ac996d5dc1fa67cf59c036d
File size: 909824 bytes
Scan date: 2010-08-26 23:41:38 (UTC)
A co do reszty to teraz znacznie szybciej startuje, a w Menadzeże urządzeń nie ma żadnych wykrzykników. Wszystkie urządzenia OK.
ps. czy wyłączenie tej usługi HP ma na coś wpływ? Bo wyglada na to ze załadował się do traya ten HP Digital Imaging Monitor ale nie mogę go uruchomić.
-
Zainstalowałem wszystko zalecane.
Po zainstalowaniu Aviry przeskanowałem cały system na wszelki wypadek. Poniżej załączam log bo coś się jeszcze znalazło.
AVSCAN-20100826-224141-8059B074.txt
Ogólnie wszystko śmiga jak nalezy. Jedynie co mnie jeszcze zastanawia to dlaczego po starcie systemu ikonka od karty sieciowej oraz ikonka od HP Digital Imaging monitor pojawia się gdzies po około 2 minutach od załadowania systemu. W tym czasie nie widać aby dysk jakoś pracował czy coś. Wydaje mi się że to było zanim zacząłem instalować comodo i avire bo wtedy pojawiała się ta ikonka od Centrum zabezpieczeń i ona też właśnie się tak po długim czasie od uruchomienia systemu dopiero pojawiała w trayu.
Jakiś pomysł o co chodzi?
-
-
Jeśli chodzi o IE to nic się nie pokazuje na starcie i wyglada na to że jest ok.
Żadnych innych objawów nie zauwazyłem.
Jedyne co to po wykonanu skryptu na dole okna OTL wyświetlił się napis Processin complete czy jakoś tak ale nie wrócił do pulpitu ani nie zrestartował się. Zrobiłem Alt+Ctrl+del, zamknałem OTL i uruchomiłem explorer.exe. Potem zrestartowałem kompa. Log pojawił się jak ponownie uruchomilem OTL jak chcialem zrobić następny skan.
Zgrany MBR zgodnie z instrukcją we wczesniejszym poście wysłałem na PW.
-
Log z Gmera z trybu awaryjnego bo w normalnym niestety BSOD.
MBRCheck nadal się wiesza wiec log z Bootkit Remover.
Log z usuwania OTLPE:
Reszta logów:
-
Wykasowałem _OTL oraz Qoobox.
Odpaliłem płyte Kasperskyego
Zrobiłem krótkie skanowanie bez dysku C: oraz razem z dyskiem C:
-
Po uruchomieniu Bootkit Remover i z linni polecen MBR sie nadpisał i system sam się zresetował. Pokazało się zielone ok i tak jakbym zresetował przyciskiem. Żadnego zamykania systemu czy coś.
oto nowe logi:
Gmer niestety z awaryjnego. W normalnym nie moge uruchomić.
Co do IE to dalej to samo, (tak to wyglada - )
a także plik 2008.exe na c:\ i svc2.exe w procesach.
Cięzki przypadek tej mój komp.
-
Komputer to zwykły składak. Nie ma żadnych plansz podczas startu. Normalnie bios a potem start systemu. Płyta to Epox 8rda+. Nie było montowanego żadnego menadzera rozruchu.
MBRCheck nadal nie działa. A poniżej log z Bootkit Remover.
Bootkit Remover
© 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600
)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd
Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)
Done;
Press any key to quit...
-
Bootkit Remover
© 2009 eSage Lab
www.esagelab.com
Program version: 1.1.0.0
OS Version: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600
)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 5792afe8a152cb642f1b5a62fc36d86e
Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Unknown boot code
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Done;
Press any key to quit...
-
Po uruchomieniu MBRCheck system kompletnie się zawiesza w momencie jak narzędzie ma pokazać MBR Status. Kursor parę razy mignie i następuje zwis. W trybie awaryjnym też. Po zawieszeniu kontrolka od dysku cały czas świeci.
-
Zrobiłem wszystko wg instrukcji.
Tym raem był problem z Gmerem. Nie udało mi sie go uruchomic w normalnym trybie. Zakazdym razem BSOD po kliknieciu na ikone. Nawet sie okienko nie pokazywalo. W awaryjnym poszedl gladko.
W glownym katalogu C dalej jest plik 2008.exe, i podczas startu dalej komunikat o niezakończonej sesji IE.
ps. nie wiem czemu ale nie moge dodac zalacznikow. Dostaje komunikat: NIe wybrano plików do wgrywania. Dlatego daje linki do logow na wklej.org.
Zalaczylem jeszcze minidump z restartu gmera.
-
Wrzucam na razie skan z Malwarebytes Anti-Malware.
Combofix wrzuce jak mi sie uda uruchomić tak że pojdzie do końca bo teraz znowu BSOD wywala podczas skanowania. Raz zanim pojdzie restart po komunikacie ze wykryl rootkita, raz po restarcie. Próbuje. A może zamieścić zrzut pamięci moze coś pomoże.
Udało mi się uruchomić Combofix w trybie awaryjnym i poszedł do końca. Log poniżej.
I jeszcze skan userinit.exe z Virustotal
Antivirus results
AhnLab-V3 - 2010.08.25.00 - 2010.08.24 - -
AntiVir - 8.2.4.38 - 2010.08.24 - TR/Dropper.Gen
Antiy-AVL - 2.0.3.7 - 2010.08.23 - Trojan/Win32.Swisyn.gen
Authentium - 5.2.0.5 - 2010.08.24 - -
Avast - 4.8.1351.0 - 2010.08.24 - -
Avast5 - 5.0.594.0 - 2010.08.24 - -
AVG - 9.0.0.851 - 2010.08.24 - Dropper.Generic.BZRW
BitDefender - 7.2 - 2010.08.25 - Trojan.Generic.3914100
CAT-QuickHeal - 11.00 - 2010.08.24 - -
ClamAV - 0.96.2.0-git - 2010.08.24 - -
Comodo - 5848 - 2010.08.24 - -
DrWeb - 5.0.2.03300 - 2010.08.25 - Trojan.MulDrop.34168
Emsisoft - 5.0.0.37 - 2010.08.24 - Trojan-Downloader.Win32.Isnev!IK
eSafe - 7.0.17.0 - 2010.08.24 - -
eTrust-Vet - 36.1.7814 - 2010.08.24 - -
F-Prot - 4.6.1.107 - 2010.08.24 - -
F-Secure - 9.0.15370.0 - 2010.08.25 - Trojan.Generic.3914100
Fortinet - 4.1.143.0 - 2010.08.24 - -
GData - 21 - 2010.08.24 - Trojan.Generic.3914100
Ikarus - T3.1.1.88.0 - 2010.08.24 - Trojan-Downloader.Win32.Isnev
Jiangmin - 13.0.900 - 2010.08.23 - Trojan/Swisyn.jju
Kaspersky - 7.0.0.125 - 2010.08.24 - -
McAfee - 5.400.0.1158 - 2010.08.24 - Suspect-D!7F9C2B666148
McAfee-GW-Edition - 2010.1B - 2010.08.24 - -
Microsoft - 1.6103 - 2010.08.24 - -
NOD32 - 5394 - 2010.08.24 - a variant of Win32/Small.NHS
Norman - 6.05.11 - 2010.08.24 - W32/Suspicious_Gen2.KXCE
nProtect - 2010-08-24.01 - 2010.08.24 - Trojan/W32.Agent.25088.EL
Panda - 10.0.2.7 - 2010.08.24 - -
PCTools - 7.0.3.5 - 2010.08.24 - -
Prevx - 3.0 - 2010.08.25 - -
Rising - 22.62.01.04 - 2010.08.24 - Trojan.Win32.Nodef.abn
Sophos - 4.56.0 - 2010.08.24 - -
Sunbelt - 6786 - 2010.08.24 - Trojan.Win32.Generic!BT
SUPERAntiSpyware - 4.40.0.1006 - 2010.08.24 - -
Symantec - 20101.1.1.7 - 2010.08.24 - -
TheHacker - 6.5.2.1.355 - 2010.08.24 - Trojan/Small.nhs
TrendMicro - 9.120.0.1004 - 2010.08.24 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.24 - -
VBA32 - 3.12.14.0 - 2010.08.24 - Trojan.Win32.Swisyn.ahfm
ViRobot - 2010.8.24.4005 - 2010.08.24 - -
VirusBuster - 5.0.27.0 - 2010.08.24 - -
File info:
MD5: 7f9c2b6661488bd6bd483dd4ce0c8b46
SHA1: 79ce01aec7b11b71314843a073fff7b08215d6e6
SHA256: a875f2823e548912de6072ad4504e63c30b0e4aca0ada20152e01831dc7b1a15
File size: 25088 bytes
Scan date: 2010-08-24 22:34:56 (UTC)
-
Plik przekopiowałem.
Wykonałem skrypt. Po ponownym uruchomieniu kompa w czasie startowania Windowsa BSOD. I tak chyba z 6 razy a potem sie uruchomił.
Potem jak sie uruchomił to już ok.
Skan z OTL zrobiłem.
Strona virustotal nie działa obecnie.
Nadal wyskakuje po uruchomieniu kompa, że chce uruchomić IE. I pyta czy przywrócić poprzednią sesję czy otworzyć od nowa. Ale ja normalnie zamykam IE jak w ogóle z niego korzystam. NIe wiem co z tym jest. No i w C: jest nadal plik 2008.exe a w C:\windows plik svc2.exe.
-
Pobrałem pliki ale nie moge ich wypakować bo dostaje komunikat że dysk jest pełny. Zmieniłem w archuwim nazwy pliku dodajac 1 na koncu i wypakowalem takie i zapisalo. Poprawilem tez w skrypcie ale nie wiem czy tak mozna ze w tej sekcji FCopy dalem plik zrodłowy ndis1.sys a wynikowy ndis.sys. Czy nazwa sie odpowiednio zmieni?
W czasie uruchamiania Combofix wyrzuca jeszcze że nie może odnaleźć pliku grpconv.exe.
Jak odpalilem Combofix z takim skryptem to wyrzuca komunikat ze wykrył rootkita i restart i potem chwile idzie i BSOD. Udało się jedynie jak uruchomienie ponowne puściłem w trybie awaryjnym.
Ale udało się i Combofix przeszedł cały i log stworzył kompletny.
Przepuściłem potem Gmera i OTL wg wskazówek.
Logi poniżej:
-
Uruchomienie ComboFixa nie było do końca udane. Najpierw w czasie uruchomienia był komunikat, że ComboFix wykrył rootkita i że trzeba ponownie uruchomić kompa. W trakćie ponownego uruchomienia wywaliło BSOD. "BAD_POOL_HEADER" a potem nie chciał wystartować system. Dopiero w awaryjnym tuszył i tam ComboFix poszedł. Po restarcie w czasie tworzenia loga jak już Combofix kończył działanie wystąpił reset kompa. Nie wiem czy log będzie kompletny bo w głownym katalogu nie było tylko znalazłem go w katalogu c:\Combofix.
Jak ponownie uchomiłem kompa to zauważyć się dało, że znacznie szybciej chodzi i nie ma juz tego diabełka w Alt+tab i pojawiło się centrum zabezpieczeń w trayu.
Uruchomienie GMERA to znowu BSOD. Ale po drugiej próbie poszedł i jest kompletny log.
-
Uruchomiłem Kaspersky TDSSKiller. Wykrył coś ale nie wiedziałem czy dać Quarantine czy Delete, bo opcji Cure nie było. Zostawiłem na Skip, żeby nic nie zepsuć i czekam na instrukcje.
Poniżej także log z Listingu USBFix
ps. Nie widziałem tego wcześniej ale jak przechodzę pomiędzy aplikacjami za pomocą Atl+Tab to jest jedna ikonka na którą jak wejdę to żadna aplikacja się nie pojawia. Ikonka wyglądem przypomina głowę diabła z takimi zawiniętymi rogami. Ma kolor czerwony. Dałem screena. I jeszcze teraz wyskoczyła mi strona w IE z jakimiś tresciami porno i za każdym uruchomieniem systemu wyskakuje komunikat, czy przywrócić sesję IE.
-
Witam
Mam następujący problem z komputerem.
Komputer przestał się uruchamiać. Zamiast pojawić się ekran z tym paskiem postępu i logiem Windows Xp wyświetlał się czarny ekran. Spróbowałem uruchomić z trybu awaryjnego ale też się zawieszał. Podczas startu w trybie awaryjnym widać było na czym się zatrzymuje. Najpierw był to plik kbxrr.sys. Wyłączyłem go z konsoli odzyskiwania. Potem przechodził dalej ale zatrzymywał się na pliku mxvhbaqh.exe. Po wyłączeniu i jego system ruszył.
System nie działa jednak normalnie. Chodzi bardzo wolno. Otwieranie okien trwa kilkanaście sekund. Przy starcie wyskakuje błąd, że brak pliku svc.exe. W procesach jest kilka dziwnych pozycji takich jak: svc.exe, xvsfym.exe, u2lj.exe
Chciałem przeskanować system Dr.web ale podczas skanowania następuje restart. Skaner wykrywa, że w pamięci jest BackDoor.Tdss.565 i pisze, że zniszczony, ale po chwili następuje restart i od nowa jest.
Zrobiłem logi z OTL. Z Gmera tylko udało się zrobić ze wstępnego skanowania bo w czasie pełnego następuje restart. Nawet w trybie awaryjnym.
Rootrepeal też nie mogę zrobić skanu bo wiesza się chwilę po wystartowaniu skanowania.
System wolno działa - dziwne procesy: svc.exe, xvsfym.exe, u2lj.exe
w Dział pomocy doraźnej
Opublikowano
Ok wszystko pieknie działa.
Pytanie jeszcze jedno moje i myślę że można zamykać temat. Czy włączenie w BIOSie opcji Wirus Warning może zapobiec infekcji w MBR i czy warto to włączyć?
pozdrawiam i dziękuję bardzo za wszelką pomoc
Tomo