horrida Opublikowano 1 Maja 2013 Zgłoś Udostępnij Opublikowano 1 Maja 2013 Po raz drugi u mnie ta infekcja, tym razem bez możliwości uruchomienia trybu awaryjnego. Skan z FRST. Dziwna sytuacja: byłem przekonany że mam wersję Win 7 64 bit, tymczasem podczas próby odpalenia frst64.exe otrzymałem komunikat o niezgodności z systemem. Po odpaleniu frst.exe raport chyba wykonał się prawidłowo. Bardzo proszę o pomoc. FRST.txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2013 Zgłoś Udostępnij Opublikowano 1 Maja 2013 Dziwna sytuacja: byłem przekonany że mam wersję Win 7 64 bit, tymczasem podczas próby odpalenia frst64.exe otrzymałem komunikat o niezgodności z systemem. Po odpaleniu frst.exe raport chyba wykonał się prawidłowo. Użyłeś jednak nieprawidłową wersję. System jest 64-bitowy tylko zbootowałeś złą 32-bitową płytę naprawczą: ATTENTION!:=====> THE OPERATING SYSTEM IS A X64 SYSTEM BUT THE BOOT DISK THAT IS USED TO BOOT TO RECOVERY ENVIRONMENT IS A X86 SYSTEM DISK. Narzędzie FRST odmówiło uruchomienia w wersji 64-bit, bo uruchomiłeś 32-bitowe środowisko WinRE. To nie chodzi wymiennie. Jeśli system 64 bit, to zarówno płyta WinRE, jak i narzędzia spod niej uruchamiane także muszą być 64-bitowe. 1. Otwórz Notatnik i wklej w nim: HKU\DM\...\Run: [Media Finder] "C:\Program Files (x86)\Media Finder\Media Finder.exe" /opentotray [x] HKU\DM\...\Winlogon: [shell] explorer.exe,C:\Users\DM\AppData\Roaming\skype.dat C:\Users\DM\AppData\Roaming\skype.dat C:\Users\DM\AppData\Roaming\skype.ini C:\Program Files (x86)\Media Finder Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST. 2. Uruchom FRST i wybierz opcję Fix. Powstanie plik fixlog.txt. 3. System zostanie odblokowany, więc logujesz się normalnie do Windows. Tworzysz standardowe raporty z OTL. Dołącz też fixlog.txt. . Odnośnik do komentarza
horrida Opublikowano 1 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2013 Masz rację, nie ta płyta. W Załączniku logi. Dodam jeszcze że ok. 2 miesiące temu system zaktualizował się do SP1 co poskutkowało brakiem możliwości jego uruchomienia (także w trybie awaryjnym a niestety punkty przywracania systemu były nieutworzone). Po kliku zabiegach z płytą z której korzystałem dziś, udało się go jakoś wskrzesić - możliwe zatem że cały system jest w chwili obecnej kaleki. Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 30-04-2013 01 Ran by SYSTEM at 2013-05-01 21:14:18 Run:1 Running from H:\ Boot Mode: Recovery ============================================== HKEY_USERS\DM\Software\Microsoft\Windows\CurrentVersion\Run\\Media Finder => Value deleted successfully. HKEY_USERS\DM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully. C:\Users\DM\AppData\Roaming\skype.dat => Moved successfully. C:\Users\DM\AppData\Roaming\skype.ini => Moved successfully. C:\Program Files (x86)\Media Finder not found. ==== End of Fixlog ==== Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Maja 2013 Zgłoś Udostępnij Opublikowano 2 Maja 2013 Zadania wykonane pomyślnie. Tylko drobne poprawki na szczątki po adware oraz Kasperskym w Firefox. 1. Otwórz Google Chrome i wejdź do ustawień. W Rozszerzeniach odinstaluj General Crawler. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O8:64bit: - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru [2013-04-11 22:57:37 | 000,000,000 | ---D | M] (Blokowanie banerów) -- C:\Program Files (x86)\mozilla firefox\extensions\KavAntiBanner@kaspersky.ru_bak [2013-04-11 22:57:37 | 000,000,000 | ---D | M] (Kaspersky URL Advisor) -- C:\Program Files (x86)\mozilla firefox\extensions\linkfilter@kaspersky.ru_bak [2012-12-26 02:59:37 | 000,000,000 | ---D | M] -- C:\Users\DM\AppData\Roaming\GoforFiles [2012-12-26 00:19:27 | 000,000,000 | ---D | M] -- C:\Users\DM\AppData\Roaming\Media Finder :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 3. Zrób nowy log z OTL ograniczony do: tylko opcję Rejestr (nie pomyl z Rejestr - skan dodatkowy) ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. Poza tym, na wszystkich dyskach powstały identyczne ukryte pliki autorun.inf: O32 - AutoRun File - [2013-04-04 18:34:03 | 000,000,057 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2013-04-04 18:34:04 | 000,000,057 | RHS- | M] () - D:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2013-04-04 18:34:03 | 000,000,057 | RHS- | M] () - F:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2013-04-04 18:34:03 | 000,000,057 | RHS- | M] () - G:\autorun.inf -- [ NTFS ] O32 - AutoRun File - [2013-04-04 18:34:04 | 000,000,057 | RHS- | M] () - I:\autorun.inf -- [ NTFS ] Dodaj ekstra skan. Uruchom SystemLook x64 i w oknie wklej: :contents C:\autorun.inf :dir C:\Users\DM\AppData\Local\{AEAB3F22-8567-4C3E-AD4C-C305A305F01F} /s Klik w Look. Dodam jeszcze że ok. 2 miesiące temu system zaktualizował się do SP1 co poskutkowało brakiem możliwości jego uruchomienia (także w trybie awaryjnym a niestety punkty przywracania systemu były nieutworzone). Po kliku zabiegach z płytą z której korzystałem dziś, udało się go jakoś wskrzesić - możliwe zatem że cały system jest w chwili obecnej kaleki. Nie, system nie powinien zostać "okaleczony" w sposób, który tu sugerujesz ("bitowo"). Natomiast odskakując, to mnie interesuje co Ty właściwie robiłeś wtedy, gdyż używanie płyty 32-bit do naprawy systemu 64-bit poważnie limituje zakres dostępnych spod płyty funkcji (Narzędzie do naprawy systemu podczas uruchomienia czy Przywracanie systemu nie są dostępne), właściwie tylko linia komend sprawna... W widzianej tu sytuacji naciskam, by wyposażyć się w natywnie 64-bitową płytę WinRE. . Odnośnik do komentarza
horrida Opublikowano 3 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 3 Maja 2013 1, 2 i 3 wykonane. Poza tym, na wszystkich dyskach powstały identyczne ukryte pliki autorun.inf: Czy sprawę załatwił SystemLook? Czy z tym coś trzeba dodatkowo zrobić? otl.txt Odnośnik do komentarza
picasso Opublikowano 4 Maja 2013 Zgłoś Udostępnij Opublikowano 4 Maja 2013 SystemLook nic tu nie załatwi, to jest tylko skan "tylko do odczytu" pobierający dane i dopiero po analizie wyników skanu okaże się czy trzeba coś robić. Podany tu skan z SystemLook jest zły (usuwam), w oknie wklejone tagi formatujące forum. Proszę o ponowny skan z SystemLook. Odnośnik do komentarza
horrida Opublikowano 7 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2013 Teraz powinno być ok: SystemLook 30.07.11 by jpshortstuff Log created at 00:29 on 08/05/2013 by DM Administrator - Elevation successful ========== contents ========== C:\autorun.inf - Opened succesfully. [AutoRun] open=ji83j.exe shell\open\Command=ji83j.exe ========== dir ========== C:\Users\DM\AppData\Local\{AEAB3F22-8567-4C3E-AD4C-C305A305F01F} - Parameters: "/s" ---Files--- None found. No folders found. -= EOF =- Odnośnik do komentarza
picasso Opublikowano 8 Maja 2013 Zgłoś Udostępnij Opublikowano 8 Maja 2013 Te pliki autorun.inf to definitywne szkodniki, otwierają plik: ========== contents ========== C:\autorun.inf - Opened succesfully. [AutoRun] open=ji83j.exe shell\open\Command=ji83j.exe 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives C:\Users\DM\AppData\Local\{AEAB3F22-8567-4C3E-AD4C-C305A305F01F} Klik w Wykonaj skrypt. Wklej do posta wyniki przetwarzania skryptu. 2. Podaj raport USBFix z opcji Listing. . Odnośnik do komentarza
horrida Opublikowano 11 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 11 Maja 2013 Udało się . Raporty w załączniku. OTL_moved.txt UsbFix Listing 1 .txt Odnośnik do komentarza
picasso Opublikowano 13 Maja 2013 Zgłoś Udostępnij Opublikowano 13 Maja 2013 Zadanie wykonane, ale jeszcze poprawka, gdyż na wszystkich dyskach jest ukryty plik ji83j.exe, który miał być uruchamiany przez autorun.inf. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files ji83j.exe /alldrives RECYCLER /alldrives $RECYCLE.BIN /alldrives I:\Recycled Klik w Wykonaj skrypt. Wklej do posta raport z wynikami usuwania. . Odnośnik do komentarza
horrida Opublikowano 15 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2013 OK udało się. OTLmoved2.txt Odnośnik do komentarza
picasso Opublikowano 16 Maja 2013 Zgłoś Udostępnij Opublikowano 16 Maja 2013 (edytowane) Był problem z usuwaniem koszowego katalogu I:\Recycled: Files\Folders moved on Reboot... I:\Recycled\Dh1 folder moved successfully. Folder move failed. I:\Recycled scheduled to be moved on reboot. Uruchom GrantPerms x64 i w oknie wklej: I:\Recycled Klik w Unlock. Po tym spróbuj ręcznie przez SHIFT+DEL skasować ten folder. . Edytowane 17 Czerwca 2013 przez picasso 17.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi