jaraczk Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Witam, pewnego razu po podlaczeniu dysku zewnetrznego zauwazylem ze sa na nim tylko 2 pliki i ukryty folder RECYCLER, zadnych innych plikow chociaz miejsce na dysku bylo zajete, a po wpisaniu w pasku adresu np K:/szkola, pokazywal sie folder szkola ze wszystkimi plikami. Myslalem ze to nic powaznego i podlaczylem do kompa pendrivea na ktorym bylo to samo i do laptopa podlaczylem rowniez dysk i pendrive'a (co chyba okazalo sie kompletnym glupstwem...). Nie znam sie zbytnio na tym ale po przeczytaniu sporej ilosci tematow na forach trafilem tutaj i prosze o pomoc. Zrestartowalem kompa i zaczal troche swirowac, nie chcial sie odpalic zaden program, ani menadzer urzadzen, panel sterowania, jakims cudem odpalilem chrome'a poprzed antyvira noda by pobrac aktualizacje, wyskakiwal blad w stylu "pamiec nie moze byc read" i "pamiec nie moze byc written" teraz niestety zniknal mi tez explorer bo nie widze paska startu... Zalaczam logi z OLT. PS: gdy robilem log weryfikacji zabezpieczeń wyskoczyl mi blad: wmiprsc.exe - Błąd aplikacji Instrukcja spod "0x008914fb" odwołuje się do pamięci pod adresem "0xfec0179e". Pamięć nie może być "read". a log jest caly czas w stanie "Preparing" Skanuje rowniez dysk GMERem ale juz dodaje temat bo boje sie ze wywali mi chrome'a. Log dodam zaraz po zakonczeniu skanowania! EDIT: LOG z securitycheck Results of screen317's Security Check version 0.99.42 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` ESET NOD32 Antivirus 4.0 Antivirus up to date! `````````Anti-malware/Other Utilities Check:````````` Java™ 6 Update 23 Java version out of Date! Adobe Flash Player 11.1.102.55 Adobe Reader 6 Adobe Reader out of Date! ````````Process Check: objlist.exe by Laurent```````` `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` Aha i zapomnialem dodac ze jak ostatni raz podlaczylem dysk to byly pokazane wszystkie foldery ktore powinny tam byc ale ukryte + folder recycler + folder System Volume Information do ktorego nie moglem wejsc. EDIT2: poprzez wpisanie w chrome C:/ uruchomilem explorera i menadzer zadan zuploadowal mi kumpel, odpalilem i dziala, uruchom w starcie tez dziala wiec jesli potrzeba wiecej informacji to sluze pomoca OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 W logach rootkit ZeroAccess w najnowszej wersji, zaś infekcja na dysku zewnętrznym to swoją drogą. Także masz dwie infekcje. Potrzebny raport dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
jaraczk Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Prosze bardzo, czekam na dalsze instrukcje SystemLook.txt Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 1. Start > Uruchom > cmd > wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\jaraczk\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) IE - HKU\S-1-5-21-1220945662-287218729-839522115-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" :Files C:\Documents and Settings\jaraczk\Dane aplikacji\6DD0.exe C:\Documents and Settings\jaraczk\Dane aplikacji\Fxhghl.exe C:\Windows\Installer\{5ba87cd9-c293-6b1b-15f7-547dc7c72a28} C:\Documents and Settings\jaraczk\Ustawienia lokalne\Dane aplikacji\{5ba87cd9-c293-6b1b-15f7-547dc7c72a28} netsh winsock reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: vShare Plugin 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z USBFix z opcji Listing Odnośnik do komentarza
jaraczk Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 UsbFix wlaczyl mi sie caly bialy ale pojawil sie jakis plik .txt wiec jesli mam powtorzyc ten krok to prosze o rozkaz a systemlook ze skryptem z wczesniejszych postow, reszta zrobiona! OTL.Txt UsbFix.txt SystemLook.txt Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 To jest zły log z USBFix. Pisałem, zeby zrobić z opcji Listing. Popraw to raz jeszcze. Odnośnik do komentarza
jaraczk Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Prosze bardzo. UsbFix.txt Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Wklej do notatnika: J: attrib /d /s -s -h J:\* reg delete HKU\S-1-5-21-1220945662-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run /ve Fxhghl /f pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik. Do obejrzenia dajesz nowy log z OTL i USBFix z Listingu. Odnośnik do komentarza
jaraczk Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Po uruchomieniu fix.bat wyskoczyl jakis blad (zalaczam ss'a) nacisnalem klawisz i cmd sie wylaczylo. UsbFix.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Ale foldery się uwidoczniły więc jest dobrze. To by było chyba ba tyle z usuwania. Wykonaj kroki na koniec: 1. Wklej do OTL skrypt poprawkowy: :OTL O4 - HKLM..\Run: [mgeav] rundll32.exe "C:\DOCUME~1\jaraczk\USTAWI~1\Temp\mgeav.dll",SteamAPI_GetSteamInstallPath File not found O4 - HKU\S-1-5-21-1220945662-287218729-839522115-1003..\Run: [Fxhghl] C:\Documents and Settings\jaraczk\Dane aplikacji\Fxhghl.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1038-7646-CE0000000001}" = Adobe Reader 6.0 CE Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Podsumuj czy wszystko gra. Odnośnik do komentarza
jaraczk Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Dysk zewnetrzny jest ok, komp chodzi najprawdopodobniej bezproblemowo zrobilem jeszcze wszystko co kazales. Mam jeszcze kilka pytan: 1. Czy moge sprawdzic laptopa i wrzucic tu logi czy nie przeskoczylo nic z dysku lub pendrive'a na niego? 2. Boje sie podlaczyc pendrive'a do kompa zeby znow jakies dziadostwo z niego nie wlazlo na kompa, da sie go jakos bezpiecznie odratowac? Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 1. Czy moge sprawdzic laptopa i wrzucic tu logi czy nie przeskoczylo nic z dysku lub pendrive'a na niego? Kontrolnie możesz tak zrobić. 2. Boje sie podlaczyc pendrive'a do kompa zeby znow jakies dziadostwo z niego nie wlazlo na kompa, da sie go jakos bezpiecznie odratowac? Możesz spróbować zabezpieczenia Panda USB Vaccine Odnośnik do komentarza
jaraczk Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 To logi z laptopa, pendrive'a na razie zostawiam w spokoju. Extras.Txt gmer.txt OTL.Txt checkup.txt Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Te logi są czyste. Tylko odinstaluj wątpliwą wtyczkę vShare.tv plugin 1.3 Odnośnik do komentarza
jaraczk Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Super, wielkie dzieki za pomoc! Studiuje w Krakowie i chetnie sie z Toba za to napije! Odnośnik do komentarza
Rekomendowane odpowiedzi