karololszak Opublikowano 1 Maja 2013 Zgłoś Udostępnij Opublikowano 1 Maja 2013 Mam na stanie komputer (Win7 x64), na którym na domyślnym profilu nie da się nic zrobić. Awaryjny działa OK, z jego poziomu stworzyłem drugi profil na którym da się jakoś pracować, ale chciałbym przywrócić funkcjonowanie starego profilu. Najpierw przeleciałem komputer AdwCleaner, żeby skan plikow był trochę szybszy. Przeglądając na szybko pliki uruchamiające się w autostarcie namierzyłem różne pliki, które wg. komentarzy na virustotal odpowiadają wirusowi Zeus - te pliki skasowałem (po bojach z uprawnieniami = tylko TrustedInstaller mógł je ruszyć, pomogłem sobie Unlockerem), wyłączyłem je z poziomu msconfig. Nie było żadnego antywirusa, wgrałem Avasta, zrobiłem pełny skan. Załączam logi z AdwCleaner, Avasta i OTL. GMER zrobił szybki skan, ale przy pełnym skanie pod koniec zaliczył bluescreen, logu nie mam [ale pamiętam mnóstwo linijek o svchost]. Myślę przyjrzeć się jeszcze Autoruns, może z jego pomocą coś wypatrzę, ale to jutro. Liczę na pomoc z tymi logami z OTLa + jakieś narzędzie zastępcze za GMERa (ew. ominięcie tego bluescreena / pomoc z wyciągnięciem danych ze zrzutu). AdwCleanerS2.txt OTL.Txt Extras.Txt aswBoot.txt aswAr.txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2013 Zgłoś Udostępnij Opublikowano 1 Maja 2013 Najpierw przeleciałem komputer AdwCleaner, żeby skan plikow był trochę szybszy. Najpierw to należało odinstalować poprawnie adware, czego raczej nie zrobiłeś (widać w raporcie AdwCleaner usuwanie z kluczy Uninstall), dopiero po tym AdwCleaner. AdwCleaner to nie jest zastępstwo dla normalnej deinstalacji, rwie komponenty brutalnie, zdarza się że zostawia martwe wejścia, które z kolei prawidłowa deinstalacja może ruszyć. I zostało jeszcze PrivitizeVPN do deinstalacji. Awaryjny działa OK, z jego poziomu stworzyłem drugi profil na którym da się jakoś pracować, ale chciałbym przywrócić funkcjonowanie starego profilu. Logi stworzone z konta: Computer Name: AGA-KOMPUTER | User Name: Siema | Logged in as Administrator. Na dysku widać katalogi kont: Siema, sylwester i aga. Siema to nowe konto, świeżo zrzucony folder na dysku. Czyli logi bezużyteczne pod kątem diagnostyki starego profilu, załadowany rejestr nowego konta a nie starego. Tu są potrzebne logi zrobione będąc zalogowanym na felernym koncie. Nie, skan w OTL "Wszystkich użytkowników" nie zastępuje tego procesu, wielu rzeczy nie widać. Przeglądając na szybko pliki uruchamiające się w autostarcie namierzyłem różne pliki, które wg. komentarzy na virustotal odpowiadają wirusowi Zeus - te pliki skasowałem (po bojach z uprawnieniami = tylko TrustedInstaller mógł je ruszyć, pomogłem sobie Unlockerem), wyłączyłem je z poziomu msconfig. OTL domyślnie nie skanuje wpisów wyłączonych w msconfig. Uruchom SystemLook x64 i do skanu wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s Nie było żadnego antywirusa, wgrałem Avasta, zrobiłem pełny skan. A wg raportów siedzi tu także Trend Micro Titanium Internet Security (zapewne antywirus zintegrowany firmowo na tym Asusie) w pełnej krasie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{ABBD4BA8-6703-40D2-AB1E-5BB1F7DB49A4}" = Trend Micro Titanium Internet Security"{ABBD4BA9-6703-40D2-AB1E-5BB1F7DB49A4}" = Trend Micro Titanium Internet Security ========== Services (SafeList) ========== SRV:64bit: - File not found [Disabled | Stopped] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe -- (Amsp)SRV:64bit: - [2010-09-17 10:32:56 | 000,241,488 | ---- | M] (Trend Micro Inc.) [Disabled | Stopped] -- C:\Program Files\Trend Micro\Titanium\TiMiniService.exe -- (TiMiniService) ========== Driver Services (SafeList) ========== DRV:64bit: - [2010-09-17 10:52:28 | 000,144,464 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\tmcomm.sys -- (tmcomm)DRV:64bit: - [2010-09-17 10:52:28 | 000,105,552 | ---- | M] (Trend Micro Inc.) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\tmtdi.sys -- (tmtdi)DRV:64bit: - [2010-09-17 10:52:28 | 000,090,704 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\tmactmon.sys -- (tmactmon)DRV:64bit: - [2010-09-17 10:52:28 | 000,067,664 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\tmevtmgr.sys -- (tmevtmgr) O4:64bit: - HKLM..\Run: [Trend Micro Client Framework] C:\Program Files\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe (Trend Micro Inc.) O2:64bit: - BHO: (TmIEPlugInBHO Class) - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - C:\Program Files\Trend Micro\AMSP\module\20004\1.5.1381\6.5.1234\TmIEPlg.dll (Trend Micro Inc.)O2:64bit: - BHO: (TmBpIeBHO Class) - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Program Files\Trend Micro\AMSP\module\20002\6.5.1234\6.5.1234\TmBpIe64.dll (Trend Micro Inc.)O2 - BHO: (TmBpIeBHO Class) - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - C:\Program Files\Trend Micro\AMSP\module\20002\6.5.1234\6.5.1234\TmBpIe32.dll (Trend Micro Inc.)O18:64bit: - Protocol\Handler\tmbp {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Program Files\Trend Micro\AMSP\module\20002\6.5.1234\6.5.1234\TmBpIe64.dll (Trend Micro Inc.)O18:64bit: - Protocol\Handler\tmpx {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Program Files\Trend Micro\AMSP\module\20004\1.5.1381\6.5.1234\TmIEPlg.dll (Trend Micro Inc.)O18 - Protocol\Handler\tmbp {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - C:\Program Files\Trend Micro\AMSP\module\20002\6.5.1234\6.5.1234\TmBpIe32.dll (Trend Micro Inc.)O18 - Protocol\Handler\tmpx {0E526CB5-7446-41D1-A403-19BFE95E8C23} - C:\Program Files\Trend Micro\AMSP\module\20004\1.5.1381\6.5.1234\TmIEPlg32.dll (Trend Micro Inc.) W sytuacji dodania do tego Avast to porażka. Odinstaluj Trend Micro. . Odnośnik do komentarza
karololszak Opublikowano 1 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2013 Na tym felernym koncie aga nie da się nic zrobić praktycznie 2 sekundy po zalogowaniu, dlatego utworzyłem konto "siema" i na nim właśnie tworzyłem te logi. Zalogować się na 'aga' w trybie awaryjnym i wtedy zrobić OTL / GMER, czy to wtedy też nic nie da? No i z tym AdwCleaner faktycznie nawaliłem, cóż, myślałem, że on najpierw robi jakiś silent uninstall a dopiero jak to nie wyjdzie to przełącza się w brutala - czeka mnie w takim razie pewnie ręczne sprzątanie. Zrobię ten log z SystemLook x64 tak jak radzisz.Ale dopiero jutro. _ Czy nie prościej byłoby przenieść ważniejsze rzeczy (zdjęcia, muzyka, dokumenty, dane niektórych aplikacji) ze starego profilu na nowy i ten stary skasować i wtedy po prostu posprzątać "śmieci"? Wiem, że to bardziej ominięcie problemu niż rozwiązanie go, ale bardziej zależy mi na skuteczności (szybkości) niż dokładnym posprzątaniu - przyjechałem do kuzynki na kilka dni i po prostu chcę jej przywrócić komputer do stanu używalności (na jej koncie nie da się zrobić kompletnie nic od kilku dni), a tworzenie logów / skanowanie systemu jest długotrwałe i później zdalnie nie będę jej już w stanie pomóc (ja jakoś te narzędzia ogarniam, jej będzie na pewno trudniej). Odnośnik do komentarza
picasso Opublikowano 1 Maja 2013 Zgłoś Udostępnij Opublikowano 1 Maja 2013 Czy nie prościej byłoby przenieść ważniejsze rzeczy (zdjęcia, muzyka, dokumenty, dane niektórych aplikacji) ze starego profilu na nowy i ten stary skasować i wtedy po prostu posprzątać "śmieci"? To oczywiście jest szybsza metoda i zapewnia lepsze efekty "czyszczące" (świeży rejestr nowego konta). Nadal nie wiem jednak co wyłączono w msconfig, czy były to wpisy globalne czy per konto. Na wszelki wypadek dodaj log Systemlook oraz logi OTL z konta aga zrobione po deinstalacji TrendMicro: Na tym felernym koncie aga nie da się nic zrobić praktycznie 2 sekundy po zalogowaniu, dlatego utworzyłem konto "siema" i na nim właśnie tworzyłem te logi. Zalogować się na 'aga' w trybie awaryjnym i wtedy zrobić OTL / GMER, czy to wtedy też nic nie da? Tak jest, przejdź w Tryb awaryjny, zaloguj się na właściwe konto i zrób raporty z OTL. A GMER jest skanem "globalnym", skoro nie idzie z poziomu innego sprawniejszego konta, to wątpliwe by ruszył na tym bardziej zablokowanym. Nawiasem mówiąc: pełny skan GMER próbowałeś w Trybie awaryjnym? I skoro pełny nie wchodzi, to daj choć Quick. . Odnośnik do komentarza
karololszak Opublikowano 2 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 2 Maja 2013 Chronologicznie, co robiłem: Na koncie siema:1. Odinstalowałem PrivitizeVPN2. Odinstalowałem Trend Micro Titanium Internet Security W trybie awaryjnym, na koncie aga:3. SystemLook x644. OTL5. GMER 1 (quick skan)Zauważyłem wzmianki o sptd, więc odinstalowałem Daemon Tools, zrobiłem reset, potem próbowałem tym programem do deinstalacji sptd coś zdziałać, ale wg niego plików nie było, więc użyłem defoggera i kolejny reset.6. GMER 2 (skan całego dysku C, ale przerwałem go bo długo trwał a nic specjalnego nie pokazał - to samo co quick, a kończył już skanować C:\Windows) Przelogowanie się na normalny tryb, na koncie siema:7. GMER 3 (BSOD, jak wczoraj, więc brak loga;zgrałem dumpy, zauważyłem że występują gdy leci IAT/EAT)8. GMER 4 (zatrzymałem przed IAT)9. GMER 5 (po IAT, od urządzeń) Załączam wszystkie otrzymane logi + minidump z wczoraj i dzisiaj. SystemLook.txt OTL.Txt Extras.Txt GMER 1.txt defogger_disable.txt GMER 4.txt GMER 5.txt Odnośnik do komentarza
picasso Opublikowano 3 Maja 2013 Zgłoś Udostępnij Opublikowano 3 Maja 2013 (edytowane) Proszę nie oszukuj rozszerzeń w załącznikach, blokuję celowo wszystko poza TXT. Takie materiały jak pliki DMP na serwisach zewnętrznych w ZIP. Przerzuciłam. Redukuję też liczbę załączników GMER, gdyż powielają się dane, nie jest mi potrzebne to. Nic z tych raportów nie wynika i póki co to nie ma tu dowodu na infekcję. 1. W msconfig nie ma żadnego wpisu związanego z infekcją, zdeaktywowany głównie majdan wbudowany w Asus oraz komponenty Trend Micro. Brak wpisu dopasowanego do tej akcji: Przeglądając na szybko pliki uruchamiające się w autostarcie namierzyłem różne pliki, które wg. komentarzy na virustotal odpowiadają wirusowi Zeus - te pliki skasowałem (po bojach z uprawnieniami = tylko TrustedInstaller mógł je ruszyć, pomogłem sobie Unlockerem), wyłączyłem je z poziomu msconfig. Sprecyzuj dokładniej o jakich wpisach w msconfig mowa i jakie pliki usuwałeś. 2. Raport OTL z konta aga nie wykazuje ani wpisów infekcji na tym koncie, ani innych dziwnych rzeczy. Widać tylko drobnostki adware (w Firefox i IE oraz PrivitizeVPN w Menu Start) na tym koncie, ale czyszczenie tego nie pomoże na główny defekt i nie warto tego robić w kontekście tego: Czy nie prościej byłoby przenieść ważniejsze rzeczy (zdjęcia, muzyka, dokumenty, dane niektórych aplikacji) ze starego profilu na nowy i ten stary skasować i wtedy po prostu posprzątać "śmieci"? W takiej sytuacji już nie patyczkowałabym się: migracja ważnych plików / danych ze starego konta na nowe, a stare upłynnić. Nie kopiuj jednak z tego profilu całego profilu Firefox, gdyż preferencje są zabrudzone adware, eksport tylko zakładek z poziomu opcji i nic więcej. Na zakończenie wykonaj działania ogólne, które mają wpływ na wszystkie konta: 1. Doczyszczenie obiektów ogólnych adware: Na liście zainstalowanych zaplątał się jeszcze wpis adware BrowseToSave oraz przez SHIFT+DEL dokasuj folder C:\ProgramData\Premium Wyczyść Harmonogram Windows, o ile już tego w jakiś sposób nie zrobiłeś. OTL nie skanuje Harmonogramu, skorzystaj z Autoruns (karta Scheduled Tasks). Patrząc na to co usuwał AdwCleaner + błędy OTL Extras conajmniej powinien istnieć MagniPicUpdater. 2. Odinstaluj niektóre zbędne aplikacje zintegrowane firmowo, co odetnie kilka procesów. Głównie mam na myśli: ASUS WebStorage, BingBar. Ogólnie można rozważyć pozbycie się tego wszystkiego: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{13F4A7F3-EABC-4261-AF6B-1317777F0755}" = Fast Boot "{9B6239BF-4E85-4590-8D72-51E30DB1A9AA}" = ASUS Power4Gear Hybrid > tweaker zasilania [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0969AF05-4FF6-4C00-9406-43599238DE0D}" = ASUS Splendid Video Enhancement Technology > asusowe "poprawianie" jakości obrazu "{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF}" = Bing Bar "{1DBD1F12-ED93-49C0-A7CC-56CBDE488158}" = ASUS LifeFrame3 > zrzuter ekranu / edytor powiązany z kamerą "{64452561-169F-4A36-A2FF-B5E118EC65F5}" = ASUS FaceLogon > logowanie do komputera za pomocą rozpoznawania twarzy "{B0002707-4F7E-4745-88A7-852DA8A88635}" = ASUS Sonic Focus "{EC8BD21F-0CA0-4BBF-97D9-4A52B30041A1}" = ASUS Virtual Camera "{FA540E67-095C-4A1B-97BA-4D547DEC9AF4}" = ASUS Live Update > autoaktualizacja sterów/BIOS "Asus Vibe2.0" = AsusVibe2.0 > "Sklep Apple" w wersji ASUS "ASUS WebStorage" = ASUS WebStorage > wirtualny dysk "AsusScr_K3 Series_ENG" = AsusScr_K3 Series_ENG "InstallShield_{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}" = CyberLink Media Suite "InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go "InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}" = CyberLink LabelPrint "WinLiveSuite" = Podstawowe programy Windows Live 3. Posprzątaj wpisy wyłączone w msconfig. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > w kluczu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig Pousuwaj wszystkie wpisy od odinstalowanych obiektów. 4. Na koniec klasyczne działania: usunięcie narzędzi, czyszczenie folderów Przywracania systemu, aktualizacje softu... . Edytowane 3 Czerwca 2013 przez picasso 3.06.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi