laptop unieruchomiony

[gustaw99]

Witam. Mam problemy z laptopem. Wydaje mi sie że go czymś zaraziłem, avast po przeskanowaniu wskazuje miejsce na dysku c z koncówką juzjf.exe. Ogólnie na codzień łączę się z internetem przez wifi za pomocą reutera, obecnie nic nie mog zrobić, nawet loga wkleić ponieważ jak wspomniałem nie mogę się połaczyć ( ta wiadomość pisana jest ze stacjonarnego komputera) Można powiedziec ze komputer działa tylko offline. Co powinienem zrobi, od czego zacząć by problem przestał istnieć? Bardzo proszę o pomoc

[picasso]

Ogólnie na codzień łączę się z internetem przez wifi za pomocą reutera, obecnie nic nie mog zrobić, nawet loga wkleić ponieważ jak wspomniałem nie mogę się połaczyć ( ta wiadomość pisana jest ze stacjonarnego komputera)

A przenoszenie narzędzi logów i raportów via stick USB?

[gustaw99]

A przenoszenie narzędzi logów i raportów via stick USB?

Próbowałem via USB, niestety, cokolwiek podłącze tego nie moge otworzyc, otrzymuje komunikat o formatowaniu pendriva, uruchomić już nie można. Próbowałem również przywrócic system, tam również niewiele mogę zdziałać, istnieje w opcji tylko dzisiejsza data, wczesniejszych juz nie ma. Nie wiem od czego zacząć....

[picasso]

No cóż, i tak nie zdziałasz tu wiele spod systemu bez żadnej możliwości posłużenia się dodatkowymi narzędziami, bez sieci i to jeszcze w sytuacji gdy tak naprawdę nie wiadomo ile i jakich infekcji jest w Twoim systemie (ja tego nie potrafię ocenić na podstawie szczątkowych wypowiedzi). W takim układzie nagraj spod stacjonalnego płytę CD z OTLPE w wersji ze sterownikami sieciowymi (by można było uaktywnić w tym środowisku połączenie internetowe), zastartuj z tej CD na laptopa i zgodnie ze wskazówkami stwórz log, by w ogóle był jakikolwiek materiał do oceny....

[gustaw99]

Rozumiem ( chyba) postaram sprostać temu zadaniu. Pewnie troszke mi zejdzie....czy ja mam czystą płytę?

Tymczasem dziekuję...

 

Nie wiem czy wszystko dobrze zrobiłem ale log z OTL mam.

Płyta nadal jest w laptopie, czy ma jeszcze nadal tam pozostac?

OTL.Txt

[picasso]

Czy z poziomu OTLPE masz czynną sieć lub inny sposób podania pliku? Chodzi o ściągnięcie gotowego pliku skryptu do OTL usuwającego trojany. Jeśli tak, wystarczy uruchomić OTL i kliknąć w Run Fix a na pytanie o plik skryptu wskazać FIX.TXT. A oto zawartość, którą należy zapisać jako plik FIX.TXT:

 

:OTL
SRV - File not found [Auto] --  -- (ayeyumpe29kyi)
DRV - File not found [Kernel | Boot] --  -- (dznwu)
O4 - HKLM..\Run: [jcpvgqva] C:\WINDOWS\system32\jcpvgqva.exe ()
O4 - HKLM..\Run: [nabu]  File not found
O4 - HKU\Administrator_ON_C..\Run: [DATC.tmp.exe]  File not found
O4 - HKU\Administrator_ON_C..\Run: [EWABQAF7KL]  File not found
O4 - HKU\Administrator_ON_C..\Run: [jcpvgqva]  File not found
O4 - HKU\Administrator_ON_C..\Run: [Local Security Authority Service]  File not found
O4 - HKU\Administrator_ON_C..\Run: [NVIDIA driver monitor]  File not found
O4 - HKU\Administrator_ON_C..\Run: [uBC5AB1IDP]  File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Temporary Shortcut.lnk =  File not found
O20 - HKLM Winlogon: Shell - (rundll32.exe) -  File not found
O20 - HKLM Winlogon: Shell - ("C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\awuk.gno") -  File not found
O20 - HKLM Winlogon: Shell - (ysnxj) -  File not found
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Administrator\Dane aplikacji\juzjf.exe) - C:\Documents and Settings\Administrator\Dane aplikacji\juzjf.exe ()
O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Documents and Settings\Administrator\xvlof.exe) - C:\Documents and Settings\Administrator\xvlof.exe ()
O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Documents and Settings\Administrator\Dane aplikacji\juzjf.exe) - C:\Documents and Settings\Administrator\Dane aplikacji\juzjf.exe ()
[2011/02/14 11:23:11 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
[2011/02/10 15:47:30 | 000,000,000 | -H-- | C] () -- C:\Documents and Settings\Administrator\Dane aplikacji\CmI1eJ1FIL.txt
[2010/09/17 06:21:59 | 000,005,237 | ---- | C] () -- C:\WINDOWS\itokerevafidel.dll
[2010/09/16 17:17:33 | 000,005,237 | ---- | C] () -- C:\WINDOWS\uzegebud.dll
[2010/09/15 15:36:33 | 000,005,231 | ---- | C] () -- C:\WINDOWS\owejonatuqicace.dll
[2010/09/14 15:28:26 | 000,005,219 | ---- | C] () -- C:\WINDOWS\uzuxepodatodejex.dll
[2010/09/14 05:47:52 | 000,005,247 | ---- | C] () -- C:\WINDOWS\akuzerahemi.dll
[2010/09/13 17:21:41 | 000,005,217 | ---- | C] () -- C:\WINDOWS\edatekudat.dll
[2010/09/13 15:19:46 | 000,005,235 | ---- | C] () -- C:\WINDOWS\ewaxevok.dll
[2010/09/13 06:31:21 | 000,005,245 | ---- | C] () -- C:\WINDOWS\ohuzahuy.dll
[2010/09/12 13:38:15 | 000,005,223 | ---- | C] () -- C:\WINDOWS\uqacefuhe.dll
[2010/09/10 16:50:22 | 000,005,211 | ---- | C] () -- C:\WINDOWS\idijimiji.dll
[2010/09/09 07:19:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uvijuhediqad.dll
[2010/09/08 08:10:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\arabedid.dll
[2010/09/08 06:35:59 | 000,000,000 | ---- | C] () -- C:\WINDOWS\upunamanewohisiq.dll
[2010/09/07 15:28:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\asinupiy.dll
[2010/09/07 12:15:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\odumukedom.dll
[2010/09/07 01:34:08 | 000,000,000 | ---- | C] () -- C:\WINDOWS\olefofoceqozuzeq.dll
[2010/09/06 14:51:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\urabedidayiyuk.dll
[2010/09/06 12:18:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\origixivazom.dll
[2010/09/05 06:07:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ozokotad.dll
[2010/09/04 08:05:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ajapomukimupewu.dll
[2010/09/01 05:09:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ozumexekocubu.dll
[2010/08/31 16:47:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\osuvaxikufikav.dll
[2010/08/31 16:42:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\adigojudoyatupek.dll
[2010/08/31 07:45:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\aniwoqaned.dll
[2010/08/30 18:34:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\onolosupu.dll
[2010/08/30 16:31:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\esulosup.dll
[2010/08/30 14:29:31 | 000,000,000 | ---- | C] () -- C:\WINDOWS\avuguyoyamuzage.dll
[2010/08/30 06:57:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ozaraqilaquvacax.dll
[2010/08/29 09:35:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\irahiqop.dll
[2010/08/29 07:45:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\idivusukasevegu.dll
[2010/08/27 04:16:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\okuzerahemileki.dll
[2010/08/27 02:19:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oxuxagijobake.dll
[2010/08/26 16:16:08 | 000,000,000 | ---- | C] () -- C:\WINDOWS\umokerev.dll
[2010/08/26 08:19:27 | 000,005,251 | ---- | C] () -- C:\WINDOWS\uwudadujo.dll
[2010/08/26 06:57:05 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iwikadikuji.dll
[2010/08/25 01:41:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ofobazuk.dll
[2010/08/25 01:04:51 | 000,000,000 | ---- | C] () -- C:\WINDOWS\apaheyekit.dll
[2010/08/24 15:50:49 | 000,000,000 | ---- | C] () -- C:\WINDOWS\isoluvuneb.dll
[2010/08/24 06:37:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\abuxirakipejoxi.dll
[2010/08/24 05:31:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uwejonat.dll
[2010/08/23 14:30:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\okeyevev.dll
[2010/08/23 06:43:51 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ecetahixowetohe.dll
[2010/08/23 01:53:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\agedikuj.dll
[2010/08/23 01:26:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\otedazaderirifej.dll
[2010/08/22 15:23:07 | 000,000,000 | ---- | C] () -- C:\WINDOWS\atapilid.dll
[2010/08/22 10:34:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\idedagakusa.dll
[2010/08/22 09:32:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ogimomop.dll
[2010/08/22 07:13:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\odobuxid.dll
[2010/08/22 06:31:07 | 000,005,241 | ---- | C] () -- C:\WINDOWS\azabuworucato.dll
[2010/08/22 05:06:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\agumemapiqiy.dll
[2010/08/21 17:53:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ixoyajof.dll
[2010/08/21 14:37:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\atedazaderir.dll
[2010/08/21 14:14:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\amasiboqu.dll
[2010/08/21 12:03:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ikefidequbefo.dll
[2010/08/21 08:55:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uruneniqedukicu.dll
[2010/08/21 05:29:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ogigasudev.dll
[2010/08/21 02:04:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uhezohec.dll
[2010/08/20 15:04:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ipuzahuy.dll
[2010/08/20 14:24:04 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iziwogep.dll
[2010/08/20 08:39:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iqexifivuf.dll
[2010/08/20 06:51:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\egigasudevibeb.dll
[2010/08/20 05:33:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\efoyimaxeqa.dll
[2010/08/20 01:21:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\isefomohuxewote.dll
[2010/08/19 13:42:24 | 000,000,000 | ---- | C] () -- C:\WINDOWS\icabeqixiwuhuqe.dll
[2010/08/19 12:15:03 | 000,005,223 | ---- | C] () -- C:\WINDOWS\ehuminixigotane.dll
[2010/08/19 10:59:04 | 000,000,000 | ---- | C] () -- C:\WINDOWS\apihusuc.dll
[2010/08/19 06:42:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ewahidonokecikot.dll
[2010/08/19 01:46:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\apefekutegefi.dll
[2010/08/18 15:19:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ejocunoj.dll
[2010/08/18 01:16:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\exedebir.dll
[2010/08/17 15:20:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\unihoriq.dll
[2010/08/17 10:31:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ifumalok.dll
[2010/08/17 01:11:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ejapomuk.dll
[2010/08/16 15:19:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\igogubelixibug.dll
[2010/08/16 13:17:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\igimomopuduyenax.dll
[2010/08/16 06:30:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ukesokupugebudax.dll
[2010/08/16 05:21:34 | 000,005,231 | ---- | C] () -- C:\WINDOWS\afigurixuqugaro.dll
[2010/08/15 15:33:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\acuxosivolupuf.dll
[2010/08/15 06:47:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\aqolizodowurafox.dll
[2010/08/14 10:37:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ohasuqikuwaf.dll
[2010/08/14 09:28:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ekobolud.dll
[2010/08/13 14:11:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\adokewej.dll
[2010/08/13 06:26:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\utikitenimiq.dll
[2010/08/13 05:46:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\akumopud.dll
[2010/08/12 16:12:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ufigurixuqu.dll
[2010/08/11 18:09:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ofimilekihiba.dll
[2010/08/11 13:42:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ugimomopuduy.dll
[2010/08/11 07:24:48 | 000,000,000 | ---- | C] () -- C:\WINDOWS\imarayapevafiyu.dll
[2010/08/11 06:52:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\itahuziqizo.dll
[2010/08/10 15:44:29 | 000,000,000 | ---- | C] () -- C:\WINDOWS\eroqopuhuhiqo.dll
[2010/08/10 12:23:21 | 000,000,000 | ---- | C] () -- C:\WINDOWS\igesegadavemom.dll
[2010/08/10 01:54:46 | 000,000,000 | ---- | C] () -- C:\WINDOWS\otokerev.dll
[2010/08/09 06:04:53 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ohesihik.dll
[2010/08/09 02:16:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\etarayapevafiyu.dll
[2010/08/08 05:24:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\onefahinal.dll
[2010/08/08 03:27:04 | 000,000,000 | ---- | C] () -- C:\WINDOWS\owudaduj.dll
[2010/08/07 13:56:15 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iyitabiv.dll
[2010/08/07 11:53:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\obejonat.dll
[2010/08/07 09:28:26 | 000,000,000 | ---- | C] () -- C:\WINDOWS\odacixafesujoxu.dll
[2010/08/07 07:22:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\azivenup.dll
[2010/08/07 02:52:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\onejelehefonu.dll
[2010/08/07 02:30:42 | 000,005,233 | ---- | C] () -- C:\WINDOWS\okasaxup.dll
[2010/08/06 15:41:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ohacuyaj.dll
[2010/08/06 13:30:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\epihusucam.dll
[2010/08/06 02:06:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ofabozerahemi.dll
[2010/08/05 15:36:24 | 000,000,000 | ---- | C] () -- C:\WINDOWS\odabixudumosed.dll
[2010/08/05 11:55:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ulasezejoh.dll
[2010/08/05 07:31:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iliweweciqusolet.dll
[2010/08/05 02:16:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\atarayapeva.dll
[2010/08/04 15:52:57 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ocitoxolib.dll
[2010/08/04 13:50:59 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ahuminixigo.dll
[2010/08/04 12:04:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\utolawetidalu.dll
[2010/08/04 06:21:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\inocuzuhi.dll
[2010/08/04 02:01:07 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ukaguxavigam.dll
[2010/08/03 15:07:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\alunihuqaja.dll
[2010/08/03 13:54:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ovitidedug.dll
[2010/08/03 11:53:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ehomocinex.dll
[2010/08/03 07:05:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\asefofoc.dll
[2010/08/03 06:52:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\atocomepo.dll
[2010/08/03 04:54:13 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ugobehavaqegayux.dll
[2010/08/03 01:57:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ucoyaciko.dll
[2010/08/02 15:26:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\elunihuqajacuqe.dll
[2010/08/02 13:39:15 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ebarijanoxozoq.dll
[2010/08/02 13:18:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\aqivuladiwox.dll
[2010/08/01 17:14:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\upocabenuwiq.dll
[2010/08/01 08:31:51 | 000,000,000 | ---- | C] () -- C:\WINDOWS\acabeqix.dll
[2010/08/01 06:10:17 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ezolucipihaxiq.dll
[2010/07/31 02:44:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\apesezaxijo.dll
[2010/07/30 13:55:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\efokisoxe.dll
[2010/07/30 03:55:40 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ilaqumofut.dll
[2010/07/29 16:20:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\eduxutuxunaka.dll
[2010/07/29 12:34:19 | 000,000,000 | ---- | C] () -- C:\WINDOWS\axivamik.dll
[2010/07/28 11:55:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\idokewejoguxa.dll
[2010/07/28 11:02:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ipivopebasu.dll
[2010/07/28 06:42:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uzasitaduxotoy.dll
[2010/07/28 04:41:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\akimapiqiy.dll
[2010/07/27 17:20:25 | 000,000,000 | ---- | C] () -- C:\WINDOWS\oguxevokoxaxeda.dll
[2010/07/27 12:11:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\egagiyel.dll
[2010/07/27 07:59:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\izimukohiyima.dll
[2010/07/27 05:47:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\acetahixowe.dll
[2010/07/26 15:49:15 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ewexacodeneq.dll
[2010/07/25 14:54:47 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ibivipeji.dll
[2010/07/25 04:00:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ilefofoceqoz.dll
[2010/07/24 08:31:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\umedasod.dll
[2010/07/24 06:11:14 | 000,000,000 | ---- | C] () -- C:\WINDOWS\izoyozox.dll
[2010/07/23 13:25:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\otapilidarex.dll
[2010/07/23 05:30:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ijocunojagiq.dll
[2010/07/19 12:35:58 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ulunihuq.dll
[2010/07/19 08:27:37 | 000,000,000 | ---- | C] () -- C:\WINDOWS\aloluvun.dll
[2010/07/19 05:33:49 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uyegoqora.dll
[2010/07/19 03:31:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\igagiyelov.dll
[2010/07/18 17:11:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\eqexifiv.dll
[2010/07/18 16:06:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uxihobek.dll
[2010/07/18 10:02:50 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ovitiqefameteqa.dll
[2010/07/18 08:01:00 | 000,000,000 | ---- | C] () -- C:\WINDOWS\inapomuk.dll
[2010/07/18 05:28:01 | 000,005,255 | ---- | C] () -- C:\WINDOWS\ixaruyaxubexu.dll
[2010/07/17 05:55:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\okuxicedojod.dll
[2010/07/16 05:08:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\izigalajunazile.dll
[2010/07/16 01:11:41 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ahobikix.dll
[2010/07/15 10:02:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\efasiwojiy.dll
[2010/07/14 16:46:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\adigopepubitukix.dll
[2010/07/14 15:05:11 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ojijoguxa.dll
[2010/07/14 11:47:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uyudemad.dll
[2010/07/14 01:22:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ukumopuduyenax.dll
[2010/07/12 15:10:55 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ijijogux.dll
[2010/07/12 12:05:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iqarowov.dll
[2010/07/11 16:34:28 | 000,000,000 | ---- | C] () -- C:\WINDOWS\okesokupugeb.dll
[2010/07/11 11:40:33 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uzabuworu.dll
[2010/07/11 07:45:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\amolawetidalu.dll
[2010/07/11 05:16:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\otaxosiv.dll
[2010/07/11 03:14:59 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ubuxirakipe.dll
[2010/07/10 05:20:15 | 000,000,000 | ---- | C] () -- C:\WINDOWS\elefofoc.dll
[2010/07/09 13:19:18 | 000,000,000 | ---- | C] () -- C:\WINDOWS\uwijakok.dll
[2010/07/09 12:57:06 | 000,000,000 | ---- | C] () -- C:\WINDOWS\evapunep.dll
[2010/02/03 15:17:02 | 000,000,590 | ---- | C] () -- C:\WINDOWS\system32\config\systemprofile\MSIb80e2.LOG
 
:Commands
[emptyflash]
[emptytemp]

[gustaw99]

Już wcześniej , po umieszczeniu loga probowałem probowałem połaczyc sie z internetem ale nie udalo mi sie to, nawet pomyslalem ze to moze nie byc mozliwe z tego poziomu. Moze raz jeszcze sprobuje. Choddzi o sciagniecie OTL? Moze via pedrive bedzie to mozliwe?

[picasso]

Już wcześniej , po umieszczeniu loga probowałem probowałem połaczyc sie z internetem ale nie udalo mi sie to, nawet pomyslalem ze to moze nie byc mozliwe z tego poziomu. Moze raz jeszcze sprobuje.

 

Czy na pewno mówimy o sieci z poziomu płyty OTLPE a nie Windows? Czy OTLPE zostało pobrane w wersji sieciowej a nie standardowej?

 

 

Choddzi o sciagniecie OTL? Moze via pedrive bedzie to mozliwe?

 

Zupełnie się nie rozumiemy.... Chodzi o OTLPE, ten sam OTL którym teraz robiłeś log.... Masz mu podać plik FIX.TXT w jakiś sposób.

 

 

 

.

[gustaw99]

chyba juz wiem o co chodzi. Jestem obecnie zalogowany w chorym laptopie. Za chwilke wkleje w OTL, to co powyzej wskazalas i zrobie nowy log ktory nastepnie tu umieszcze.

[picasso]

Jeszcze raz powtarzam: ten skrypt jest przystosowany do OTL umieszczonego na płycie OTLPE a nie do OTL uruchomionego spod Windows. Ścieżki rejestru się nie zgadzają. W OTLPE rejestr jest montowany inną metodą i takie coś jak "HKU\Administrator_ON_C" nie występuje pod Windows.

[gustaw99]

Jeszcze raz powtarzam: ten skrypt jest przystosowany do OTL umieszczonego na płycie OTLPE a nie do OTL uruchomionego spod Windows. Ścieżki rejestru się nie zgadzają. W OTLPE rejestr jest montowany inną metodą i takie coś jak "HKU\Administrator_ON_C" nie występuje pod Windows.

 

Picasso, na plycie mam OTLPE w wersji poszerzonej sieciowej, loga wkleilem Ci wlasnie z tego poziomu, na pulpicie mam cos zupelnie nowego czego nigdy wczesniej nie widzialema co widzialem na screenach OTLPE czyli REATOGO-X-PE.

Obecnie zalogowalem sie z laptopa, wkleilem to co umiescilas w poscie w OTLPE, kliknalem run fix i zrobilem drugiego loga juz na "czysto" do sprawdzenia.

Ten nowy log ponizej.

OTL.Txt

[picasso]

Wszystko zostało usunięte, za wyjątkiem tego (już pustego wpisu):

 

O20 - HKLM Winlogon: TaskMan - (c:\documents and settings\administrator\dane aplikacji\juzjf.exe) -  File not found

W związku z tym wyciągnij płytę i zastartuj normalnie do tego Windows i sprawdź czy można uruchomić już internet. Jeśli tak, to wyprodukuj logi z OTL + GMER już normalną drogą, czyli spod Windows. Przypominam, że log z OTL spod Windows powinien mieć ustawioną opcję "Rejestr - skan dodatkowy" na "Użyj filtrowania", by powstał log Extras.

 

 

na pulpicie mam cos zupelnie nowego czego nigdy wczesniej nie widzialema co widzialem na screenach OTLPE czyli REATOGO-X-PE

 

Nie rozumiem..... Co masz na myśli? Jedyne co mi się z tym kojarzy, to tapeta z takim napisem, bo OTLPE jest zrobione kreatorem REATOGO-X-PE.

 

 

.

[gustaw99]

Tak, własnie o tej tapecie myślałem ( to na dowód że jednak z poziomu OTLPE działałem.

Obecnie znów piszę ze stacjonarnego, chciałem na laptopie juz bez płyty zacząć działac ale pojawił mi sie zrowrogi niebieski monitor z jakimis tekstami ostrzegajacymi ze twardy dysk mogł umrzec itd...

Jak powrocic do własciwego uruchomienia komputera? Wystarczy wyjąć płyte? w Biosie nic sie nie ustawia? Pytam bo naprawde nie wiem a to co robiłem to czarna magia dla mnie.

[picasso]

Obecnie znów piszę ze stacjonarnego, chciałem na laptopie juz bez płyty zacząć działac ale pojawił mi sie zrowrogi niebieski monitor z jakimis tekstami ostrzegajacymi ze twardy dysk mogł umrzec itd...

Jak powrocic do własciwego uruchomienia komputera? Wystarczy wyjąć płyte? w Biosie nic sie nie ustawia? Pytam bo naprawde nie wiem a to co robiłem to czarna magia dla mnie.

 

Tu wystarczy tylko i wyłącznie wyjąć płytę OTLPE i nic więcej (sam start do OTLPE nic nie zmienia w konfiguracji). Jeśli po wyjęciu płyty komputer nie startuje i są ekrany błędu, pojawił się jakiś problem.... Nie wiem co to za plansza z tekstami o "umierającym dysku twardym". Opisz to dokładniej co to jest (czy ekran wygląda na fazę "BIOS", czy też to typowy niebieski ekran śmierci czy coś innego jeszcze).

 

 

 

.

[gustaw99]

Po wyjeciu płyty, początek uruchamiania jest podobny jak podczas uruchamiana z OTLPE czyli STYL NOTE INTEL, potem juz narne tło windows xp ale po chwili wskakuje niebieska plansza a na niej:

Pojawił sie problem i isystem został zamkniety aby zapobiec uszkodzeniu komputera.

 

Sprawdz czy na komputerze nie ma wirusow, usun wszelkie zainstalowane dyski twarde i ich kontrolery, sprawdz dysk twardy uruchom program CHKDSK/F aby sprawdzic czy dysk twardy nie został uszkodzony a nastepnie uruchom komputer informacje techniczne:

Stop : ( jakies cyfry)

 

to mam na niebieskim tle:(

 

W międzyczasie, metodą prób wszelakich uruchomiłem w normalnym trybie laptopa ale...nadal nie działa. komunikat z avasta ze nie jest komputer chroniony, osłona sieciowa np. jest nieosiagalna. w sumie podobnie sie zachowuje jak wczesniej z tym że usunąłem to co było do usuniecia...

Zauwazyłem ze komputer nie wykrywa polaczenia, wifi jest właczone, nie ma utworzonego połaczenia sieciowego, jak gdyby nigdy wczesniej nie łaczył sie z siecią.

[picasso]

Stop : ( jakies cyfry)

 

Te "jakieś cyfry" to była najważniejsza część komunikatu. Czy ten błąd to nie był aby 0x0000007B?

 

 

Nie rozumiem też za bardzo, czy ten BSOD nadal się pojawia, bo:

 

 

W międzyczasie, metodą prób wszelakich uruchomiłem w normalnym trybie laptopa ale...nadal nie działa. komunikat z avasta ze nie jest komputer chroniony, osłona sieciowa np. jest nieosiagalna. w sumie podobnie sie zachowuje jak wczesniej z tym że usunąłem to co było do usuniecia...

Zauwazyłem ze komputer nie wykrywa polaczenia, wifi jest właczone, nie ma utworzonego połaczenia sieciowego, jak gdyby nigdy wczesniej nie łaczył sie z siecią.

 

Pytaniem jest: a kiedy ta sieć przestała działać, czyli czy na pewno na skutek ingerencji infekcji? Kolejna rzecz: z poziomu OTLPE nie wszystko da się przeprowadzić, różne diagnostyki czy procedury nie będą działać w tym środowisku. Jest potrzebne jakieś medium przenośne na którym będą transportowane narzędzia. I jak mówię, chcę obejrzeć logi zrobione z poziomu tego Windows (OTL + GMER), gdyż GMER nie da się uruchomić z poziomu OTLPE, a Extras wyliczające m.in. błędy Dziennika zdarzeń nie zostało tu sprawdzone. Czy pendrive podpięty w trakcie startu z OTLPE staje się dostępny z poziomu OTLPE (gdy wchodzisz w "My computer" OTLPE)?

 

 

 

.

[gustaw99]

Tak, to były te własnie cyfry. Cos tam w biosie poprzestawiałem ( Wiem ze vista w bios sie pojawiała i przestawiłem na xp) cos jeszcze ( nie pamietam:( ) i uruchomił sie normalnie pod windowsa obecnie

Obecnie jestem w windowsie wiec nie wiem jak sie pendrive zachowuje OTLPE ale wczesniej nie chciał sie uruchomic. teraz tak, zrobiłem nawet logi na laptopie i przez pendriva tu na stacjonarny przeniosę.

Aha, wczesniej udalo sie sie połaczyc z internetem z laptopa z poziomu OTLPE ale miałem podłaczony bezposrednio przewod z modemu, przez wifi nie dziala.

 

Picasso, uwierz mi ten laptop tak mi dzis dał popalic że najchetniej bym go wywalił gdyby nie fakt że...moze sie uda coś z nim jeszcze zrobić.

Moze to przypadek z tymi infekcjami ale juz wczoraj dziwnie sie zachowywał, zrywał połaczenie z internetem, myślałem że to problemy z siecia, przeciazenia itd. zrestartowałem i jakos chodził. Dzis od rana kompetnie nic nie dało sie z nim robic a stacjonarny dzialał, przeskanowałem i avast wykrył tylko juzjf.exe którego notabene nie dałoi sie ani wywalic ani leczyc czy cokolwiek.

Na pasku pojawiła sie ikonka avasta z wykrzyknikiem i czerwona ikonka zapory ( ze niby komp nie jest chroniony. Nie było juz tak jak zawsze ikonki połaczenia z intentetem choc wifi bylo właczone, pendrive po otrzymywal komunikat o formatowaniu i nie dał sie uruchomic ( stad moja prosba o pomoc i kombinowanie by zamiesci loga).

Po tych wszystkich operacjach juz nie wiem co jest powoidem nie dzialania internetu, nic takiego szczegolnego w nim nie robilem, zwykle przegladanie wiadomosci, emaili jak codzien. fakt faktem ze nie działa. nie wiem co zrobic by go ponownie uzywac w sieci i co jest tego przyczyną

OTL.Txt

Extras.Txt

log gmer.txt

[picasso]

1. Załatwmy szybko resztówki infekcji widziane w raportach OTL. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Administrator\Pulpit\facebook-pic000934519.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-

Klik w Wykonaj skrypt.

 

2. Cóż, po spisie z Dziennika zdarzeń (błędy uruchamiania zależności usług sieciowych) nie wróżę dobrze.

 

[ System Events ]
Error - 2011-02-14 15:50:36 | Computer Name = KOMPUTER | Source = Service Control Manager | ID = 7001
Description = Usługa Pomoc TCP/IP NetBIOS zależy od usługi AFD, której nie można
 uruchomić z powodu następującego błędu:   %%31
 
Error - 2011-02-14 15:50:36 | Computer Name = KOMPUTER | Source = Service Control Manager | ID = 7001
Description = Usługa Konfiguracja zerowej sieci bezprzewodowej zależy od usługi 
Protokół We/Wy trybu użytkownika NDIS, której nie można uruchomić z powodu następującego
 błędu:   %%2
 
Error - 2011-02-14 15:50:36 | Computer Name = KOMPUTER | Source = Service Control Manager | ID = 7024
Description = Usługa Stacja robocza zakończyła działanie; wystąpił specyficzny dla
 niej błąd 2250 (0x8CA).
 
Error - 2011-02-14 15:50:36 | Computer Name = KOMPUTER | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi Readresator klienta WebDav z powodu następującego
 błędu:   %%2
 
Error - 2011-02-14 15:50:36 | Computer Name = KOMPUTER | Source = Service Control Manager | ID = 7001
Description = Usługa WebClient zależy od usługi Readresator klienta WebDav, której
 nie można uruchomić z powodu następującego błędu:   %%2
 
Error - 2011-02-14 15:50:36 | Computer Name = KOMPUTER | Source = Service Control Manager | ID = 7001
Description = Usługa Przeglądarka komputera zależy od usługi Stacja robocza, której
 nie można uruchomić z powodu następującego błędu:   %%1066
 
Error - 2011-02-14 15:50:36 | Computer Name = KOMPUTER | Source = Service Control Manager | ID = 7023
Description = Usługa Serwer zakończyła działanie; wystąpił następujący błąd:   %%2
 
Error - 2011-02-14 15:50:36 | Computer Name = KOMPUTER | Source = Service Control Manager | ID = 7001
Description = Usługa Usługi IPSEC zależy od usługi Sterownik IPSEC, której nie można
 uruchomić z powodu następującego błędu:   %%31
 
Error - 2011-02-14 15:50:36 | Computer Name = KOMPUTER | Source = Service Control Manager | ID = 7023
Description = Usługa Zapora systemu Windows/Udostępnianie połączenia internetowego
 zakończyła działanie; wystąpił następujący błąd:   %%2
 
Error - 2011-02-14 15:50:36 | Computer Name = KOMPUTER | Source = Service Control Manager | ID = 7024
Description = Usługa Usługa inteligentnego transferu w tle zakończyła działanie;
 wystąpił specyficzny dla niej błąd 2147952450 (0x80072742).

Był tu podobny przypadek z padniętą siecią i skończyło się na postawieniu Windows od nowa. Dostarcz dane do analizy ręcznej:

 

• Kopię rejestru: wytwórz kopię programem ERUNT wskazując jako miejsce docelowe przykładowy folder na Pulpicie. Folder skompresuj do ZIP.
  
• Pełne Dzienniki zdarzeń: Start > Uruchom > eventvwr.msc i z prawokliku na gałązki System + Aplikacje zapisz je do plików EVT. Oba pliki skompresuj do ZIP.
  

Obie paczki ZIP shostuj np. na SpeedyShare i podaj tu linki. Analiza tego zajmie mi sporo czasu.

 

 

 

.

[gustaw99]

Czyli narobiło się bałaganu. Mimo wszystko nie wiem jak to się mogło stać, żadnych grzechów według mnie nikt nie popełnił na laptopie. Może uda sie cos zrobic i obędzie sie bez nowego windowsa

 

Nie wiem czy potrzebny ale zrobiłem log z OTL ( skrypt) i podaję linki na speedyshare:

 

http://www.speedyshare.com/files/26875447/aplikacja.7z

 

http://www.speedyshare.com/files/26875448/system.7z

 

http://www.speedyshare.com/files/26875772/2011-02-15.zip

Edytowane 15 Lutego 2011 przez picasso
Posty połączone. //picasso

[picasso]

W Dzienniku zdarzeń od góry do dołu błędy usług sieciowych. M.in.przy próbie startu sterownika IPSEC czy AFD "niemożność znalezienia pliku". Pliki tych konkretnych usług zapewne są na dysku, w przeciwnym wypadku OTL by wykazał uszczerbek (pod warunkiem, że usługi są w rejestrze, a na to wygląda). Na szybko przeanalizowałam pierwszy z plików rejestru (SYSTEM) i widzę, że Twój Windows jest zupełnie pozbawiony klucza tego sterownika:

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\NDIS

 

Jest tylko ten podklucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_NDIS

 

(u Ciebie ControlSet004 = CurrentControlSet)

 

Zanim przejdziemy do rekonstrukcji tego fragmentu, wylistuj czy są jakiekolwiek wystąpienia pliku ndis.sys na dysku (musi zostać uzupełniony przed importem rejestru). Uruchom OTL, wszystkie sekcje przestaw na Brak / Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

/md5start
ndis.sys
/md5stop

Klik w Skanuj i podaj mi wyniki.

 

 

.

[gustaw99]

Dzień dobry Picasso.

Jak zobaczyłem godzinę napisania Twojego ostatniego postu zadałem sobie pytanie: Czy ona ma czas na sen? :/

Przy okazji zauważyłem ( nie wiem czy to przypadek) że nie działa mi w laptopie Bluetoth, niby jest widoczny ale nie można go używać, nie może znaleźć zadnych urzadzeń.

Zauważyłem też że wcześniej podczas przegladania stron w sieci nagle przerywało połączenie i pojawiał sie komunikat: Program Internet Explorer nie może otworzyc miejsca internetowego. Operacja zostala przerwana.

Za chwilę było juz dobrze. To działo ( dzieje się) i na stacjonarnym i na laptopie. Nie wiem czy to jest ważne ale wspominam poniewaz może pomóc w diagnozie.

Poniżej najnowszy log z OTL

OTL.Txt

[picasso]

Podany log z OTL nie wskazuje, byś zrobił skan na warunku przeze mnie podanym. Brak tej linii w raporcie:

 

========== Custom Scans ==========

 

Taka jest nawet wtedy, gdy narzędzie nic nie znajdzie. Powtórz, przypominam, co masz wkleić do okna:

 

/md5start
ndis.sys
/md5stop

 

Tak przy okazji, to starym OTL się posługujesz. Aktualna wersja to 3.2.20.6.

 

 

.

[gustaw99]

Dobry wieczór.

Faktycznie, przepraszam, nie wiem dlaczego ale kliknałem w wykonaj skrypt. Moja wina.

 

Poniżej prawidlowy już log z nowego OTL

OTL.Txt

[picasso]

Teraz się zgadza, są wyniki, a konkretniej: tylko jedno wystąpienie pliku w cache ComboFix.....

 

1. Włącz pokazywanie ukrytych w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego.

 

2. Przekopiuj plik C:\WINDOWS\ERDNT\cache\ndis.sys do dwóch katalogów:

 

C:\WINDOWS\system32\drivers

C:\WINDOWS\system32\dllcache

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NDIS]
"DisplayName"="Sterownik systemu NDIS"
"ErrorControl"=dword:00000001
"Group"="NDIS Wrapper"
"Start"=dword:00000000
"Type"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NDIS\MediaTypes]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NDIS\Parameters]
"ProcessorAffinityMask"=dword:ffffffff
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NDIS\Enum]
"0"="Root\\LEGACY_NDIS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

4. Restart komputera i oby sieć zaczęła działać....

 

 

 

.

[gustaw99]

Wydaje mi sie ze chyba dobrze wszystko zrobiłem, po zapisaniu w notatniku FIX.REG nie zdązyłem nawet zrestartowac i pojawił mi sie niebieski monitor wraz z cyframi:

STOP: 0x0000007E ( 0XC0000005, 0x805A6EE4,0XBAD13694,0xBAD13390)

 

Czy to już koniec?

 

 

NIE! Jest Ok...chyba...ale tuman ze mnie:(

Zapisałem ale nie otworzyłem tego pliku...w trybie awaryjnym to zrobiłem ( raz jeszcze przeczytałem co nakazałaś zrobic).....juz na pierwszy rzut oka widze ze mam ikonki połaczenia sieciowego na pasku...działa:))))

Picasso, nie wiem tylko co oznacza druga podobna ikonka na pasku : połączenie lokalne 3 przekreslone na czerwonoi...ma to byc czy mozna usunac?

Picasso, FIX.REG w notatniku mam zapisany na pulpicie, nie sądze ze tam powinien zostac wiec gdzie trzeba go umiescic? OTL I GMER mam na dysku juz zainstalowane na zaś ale nie wiem co mam zrobic z zapisanym w notatniku NTREGOPT, ERUNT...mozna to usunąć?

I wreszcie. Laptop działa ale wyskakuje mi co jakis czas komunikat: Ochrona plików systemu Windows. Ze pliki wymagane do prawidlowego działania systemu zostały zastapione nierozpoznanymi wersjami. Aby przywrocic stabilnosc, system Windows musi przywrocić oryginalne wersje tych plików. Włoż teraz dysk CD dodatku serwice Pack 2 systemu. Ponow próbe - anuluj

 

Juz wiem ze jestes genialna:)