holcus Opublikowano 8 Grudnia 2012 Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Początkowo na laptopie (Windows 7 x64) sieczka: - nie można uruchomić większości programów - zdeaktywowana licencja MS Office - sterowniki wifi, dźwięku uszkodzone (nie dziłały) - bałagan w sterownikach graficznych, brak możliwości regulacji jasnością ekranu - domyślan jasność ostawiona na najniższą - powyłączana większość usług windows, brak dostępu do większości narzędzi (windows update, odinstaluj program, raportowanie błędów itd) - Kaspersky antywirus nie zgłaszał problemów (!?) po wstępnej diagnozie stwierdziłem, że się nie będe męczył (za dużo roboty) łatwiej skopiować ulubione i dane na zewnętrzny dysk i skorzystać z partycji recovery. Sprawdziłem czy nie ma jakichś ukrytych partycji na dysku programami DiskGenius i Easus partition master - tu czysto (tylko partycja recovery ukryta) Była jeszcze kwestia dysku zewnętrznego, na który przeniosłem dane ale tutaj raczej czysto, MSSE oraz NOD online skaner nic nie wykrył (skanowane na innym komputerze) Po odzyskaniu systemu, nic nie kopiując z dysku zewnętrznego oddałem laptopa znajomemu, Na następny dzień wraca - nie można dokończyć aktualizacji, uruchamianie systemu zapętlone (instalowanie aktualizacji, niepowodzenie, cofanie zmian) Jeszcze jedno odzyskanie systemu, użyłem combofixa ponieważ nie miałem już nic do stracenia na tym systemie, combofix coś wykrył i usunął (nie mam loga, ale moge mieć, po każdym odzyskaniu systemu to samo). Aktualizacje instalują się bez problemów. Odkryłem partycję recovery, skan MSSE oraz NOD online skanner nic nie wykrył. Ukryłem partycję recovery. Jeszcze jedno odzyskanie systemu, usunięcie antywirusa zainstalowanego przez producenta (trendmicro), skan po wszystkim. Proszę o pomoc w diagnozie i usunięciu tej infekcji, bardzo zależy mi na zachowaniu oryginalnej partycji odzyskiwania jak i dostępu do niej przez wciśnięcie F9 podczas uruchamiania, ewentualnie jak najbardziej eleganckiego rozwiązania problemu. OTL.Txt Extras.Txt MBRCheck_12.08.12_13.01.10.txt TDSSKiller.2.8.15.0_08.12.2012_13.03.33_log.txt Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2012 Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Powiedz mi skąd tu koncepcja "infekcji" i to jeszcze w MBR? Twoje dane i opis (chodzi o operacje po Recovery, bo co było przed to tylko wróżbita już powie) nie wskazują na to. A w logach żadnych oznak infekcji. I ja bardzo wątpię, by tu o infekcję chodziło. Jeszcze jedno odzyskanie systemu, użyłem combofixa ponieważ nie miałem już nic do stracenia na tym systemie, combofix coś wykrył i usunął (nie mam loga, ale moge mieć, po każdym odzyskaniu systemu to samo). Aktualizacje instalują się bez problemów. Brak danych ComboFix, to i nie mogę tego ocenić. Po odzyskaniu systemu, nic nie kopiując z dysku zewnętrznego oddałem laptopa znajomemu, Na następny dzień wraca - nie można dokończyć aktualizacji, uruchamianie systemu zapętlone (instalowanie aktualizacji, niepowodzenie, cofanie zmian) No tak, ale nie wiadomo jakie kroki wykonał użytkownik, a poza tym opisany tu problem to przecież żaden dowód "infekcji", ten rodzaj przypadków możesz sobie pooglądać w dziale Windows 7... To prędzej wskazuje na jakiś problem po stronie systemu Windows Update. Do analizy problemu z instalacją aktualizacji całkiem inne raporty potrzebne, czyli zawartość C:\Windows\Logs\CBS. Ukryłem partycję recovery. Jeszcze jedno odzyskanie systemu, usunięcie antywirusa zainstalowanego przez producenta (trendmicro) I nie jest wykluczony problem z aplikacjami zintegrowanymi w obrazie na partycji Recovery. Stary antywirus, sadło producenta, stare sterowniki. Np. tu oto mamy starszy Intel: DRV:64bit: - [2010/06/08 02:33:13 | 000,540,696 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iaStor.sys -- (iaStor) Sterowniki Intel mogą powodować problemy z Windows Update. Pierwszy z brzegu przykład: KLIK. . Odnośnik do komentarza
holcus Opublikowano 8 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Dziękuje za błyskawiczną odpowiedź. zaraz po napisaniu tematu włączyłem combofixa. Obecność wirusów stwierdziłem po obejrzeniu tego fragmentu loga, wyglądają dla mnie conajmniej podejrzanie. prosze o sprawdzenie ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\esupport\eDriver\Software\ASUS\MultiFrame\XP32_Vista32_Vista64_Win7_32_Win7_64_1.0.0021\Desktop_.ini c:\program files (x86)\Common Files\ASPG_icon.ico c:\programdata\FullRemove.exe c:\windows\msvcr71.dll c:\windows\SysWow64\pt c:\windows\SysWow64\pt\AuthFWSnapIn.Resources.dll c:\windows\SysWow64\pt\AuthFWWizFwk.Resources.dll A tutaj całość combofix.txt Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2012 Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Uruchomienie ComboFix żadnego pożytku tu nie przyniosło, a nawet zaszkodziło. To nie są wirusy, to są fałszywe alarmy ComboFix, powywalał pliki firmowe ASUS (dwie pierwsze pozycje + FullRemove.exe), językowe Microsoftu (wszystko w SysWOW64, a PT = portugalski). Plik msvcr71.dll ma owszem dziwną lokalizację, ale to nie pierwszy "asusowy" log w którym to widzę. Ogólnie: to nie pierwszy tu przypadek na forum usuwania tego zestawu plików. Tyle szczęścia, że te pliki nie są kluczowe i ich wywalenie nie ma widocznych negatywnych skutków. . Odnośnik do komentarza
holcus Opublikowano 8 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 czyli fałszywy alarm, przyznam że troche spanikowałem:) Dziękuje za pomoc, zrobie recovery jeszcze raz, zainstaluje najnowsze sterowniki i aktualizacje. najgroźniej wyglądało dla mnie FullRemove.exe oraz msvcr71.dll Problemów z aktualizacją się już raczej nie da odtworzyć bo i po co. Też na początku myślałem, że to kolejny problem z wuapp dopóki nie obejrzałem logów combofix. Odnośnik do komentarza
Rekomendowane odpowiedzi