Problem z plikami LNK, brak dostępu do plików

[Piotr]

Witam,

 

problem polega na tym że poprzez pendrive złapałem infekcję która przeniosła się na mój dysk wymienny 320GB, wszystkie foldery które miałem zniknęły a w zamian mam pliki LNK których nie da się otworzyć. Pod linuxem widoczne są wszystkie pliki jakie miałem wcześniej. Proszę o pomoc i wklejam logi:

OTL:

http://www.wklej.org/id/372254/

http://www.wklej.org/id/372255/

 

Gmer:

http://www.wklej.org/id/372268/

[picasso]

Używałeś ComboFix i nie mówisz nic na ten temat. W ogłoszeniu jest punktowany obowiązek przedstawienia wyników jego pracy, jeśli go używano. Proszę pokaż log, który powstał z jego użycia. Kombinowano także z OTL, kto i gdzie się tym zajmował, co prowadzono?

 

mój dysk wymienny 320GB, wszystkie foldery które miałem zniknęły a w zamian mam pliki LNK których nie da się otworzyć. Pod linuxem widoczne są wszystkie pliki jakie miałem wcześniej.

 

Zapewne foldery dostały atrybuty H+S (ukryty systemowy). Ja widzę takie LNK także na Twoim dysku systemowym i został stworzony falsyfikat w postaci plików symujących w nazwie prawidłowe nazwy folderów. Oba elementy mają dokładnie ten sam rozmiar:

 

[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\Ustawienia lokalne.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\Ulubione.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\Szablony.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\SendTo.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\Recent.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\Pulpit.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\PrivacIE.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\PrintHood.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\NetHood.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\Moje dokumenty.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\Menu Start.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\IETldCache.lnk
[2010-07-19 23:27:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\Gadu-Gadu.lnk
[2010-07-19 23:27:39 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\Dane aplikacji.lnk
[2010-07-19 23:27:39 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\.borland.lnk
[2010-07-19 23:27:39 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\..lnk
[2010-07-19 23:27:39 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\SysOp\...lnk
 
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\Ustawienia lokalne
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\Ulubione
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\Szablony
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\SendTo
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\Recent
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\Pulpit
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\PrivacIE
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\PrintHood
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\NetHood
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\Moje dokumenty
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\Menu Start
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\IETldCache
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\Gadu-Gadu
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\Dane aplikacji
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\.borland
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\.
[2010-07-19 21:52:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\SysOp\..

 

Dla porównania zestaw prawdziwych katalogów, z których część w normalnych warunkach nie ma atrybutów H+S, a tu jest to nałożone (np. typowo folder Pulpit nie powinien być kryty):

 

[2010-09-03 19:23:08 | 000,000,000 | --SD | C] -- C:\Documents and Settings\SysOp\Ustawienia lokalne\Dane aplikacji\Microsoft
[2010-09-03 19:23:08 | 000,000,000 | --SD | C] -- C:\Documents and Settings\SysOp\Dane aplikacji\Microsoft
[2010-09-03 19:23:08 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\SysOp\Ulubione
[2010-09-03 19:23:08 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\SysOp\Szablony
[2010-09-03 19:23:08 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\SysOp\SendTo
[2010-09-03 19:23:08 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\SysOp\Pulpit
[2010-09-03 19:23:08 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\SysOp\PrintHood
[2010-09-03 19:23:08 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\SysOp\NetHood
[2010-09-03 19:23:08 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\SysOp\Moje dokumenty
[2010-09-03 19:23:08 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\SysOp\Menu Start
[2010-09-03 19:23:08 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\SysOp\Dane aplikacji
[2010-09-03 19:23:08 | 000,000,000 | -HSD | C] -- C:\WINDOWS\CSC
[2010-09-03 19:23:08 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\SysOp\Cookies
[2010-09-03 19:23:08 | 000,000,000 | -H-D | C] -- C:\Documents and Settings\SysOp\Ustawienia lokalne

 

 

1. Rzecz najważniejsza, czy masz zainstalowaną najnowszą łatę eliminującą lukę w parsowaniu skrótów? Jeśli nie, instaluj: KB2286198. Dopiero po zainstalowaniu tej poprawki:

 

2. Potrzebny wyciąg plików z dysku zewnętrznego. Przy podpiętym dysku zewnętrznym wytwórz log z USBFix z opcji Listing. Po uzyskaniu kompletu danych podam instrukcje usuwania i przywrócenia do formy właściwego wyświetlania katalogów.

 

 

 

 

.

[Piotr]

wczoraj zainstalowałem tą łatkę ale problem miałem już kilka dni wcześniej, wszystko co kombinowałem znajduje się pod tym linkiem: LINK.

Log z UsbFix:

http://wklej.org/id/372765/

[picasso]

Wg spodziewań, Twoje katalogi dostały atrybuty H+S, to łatwo ściągnąć. I do tego zaraz przejdę, tylko chcę się upewnić w jednej kwestii: na liście z USBFix nie widzę żadnych plików LNK. Czy Ty już usuwałeś coś z tego dysku?

 

PS. Tak na wyrywki sprawdzam tamten obcy temat i jakieś chaotyczne poczynania. Pierwsze z brzegu "ciekawostki" to na stronie dwa używanie AVZ do eliminacji sterownika ALSysIO.sys, który jest ... sterownikiem tymczasowym Core Temp. Jednocześnie nie zauważono wcale plików LNK na Twoim dysku i podrobionych plików do pary.

[Piotr]

wczoraj na linuxie postanowiłem ręcznie pousuwać te pliki, myślałem że coś to pomoże mając zainstalowaną łatkę ale nic to nie dało, co prawda nie utworzyły się same znowu jak przedtem ale jest po staremu. Co do poprzedniego tematu to jak widać kombinowało się w prawo i lewo ale nie wiele to pomogło więc z braku pomysłów postanowiłem poszukać gdzieś indziej mam nadzieję że trafiłem dobrze

[picasso]

wczoraj na linuxie postanowiłem ręcznie pousuwać te pliki, myślałem że coś to pomoże mając zainstalowaną łatkę ale nic to nie dało

 

Bo to nic nie da dla odwrócenia stanów katalogów otagowanych nowym atrybutem, jest to odrębna sprawa do ręcznej roboty. Z tego co zaobserwowałam, na innych forach osoby próbujące pomagać nie rozumieją w ogóle tego zagadnienia i myślą, że atrybuty z katalogów się same zdejmą. Widziałam masę herezji m.in. używanie narzędzi do LNK od GData i Sophos licząc, że to usunie ten defekt, a te narzędzia nie służą w ogóle do usuwania żadnego pliku infekcji (a tym bardziej do znoszenia atrybutów), to są narzędzia zabezpieczające, blokujące parsowanie szkodliwych skrótów, a obecnie zastępuje je łatka MS. Albo też zapodawanie "FIX.REG" odkrywającego ukryte katalogi = owszem, to te katalogi pokaże, ale atrybutów nie wyzeruje!

 

Załączam to co jest potwierdzone przeze mnie naocznie, czyli usunięcie LNK i do pary podróbek z dysku systemowego oraz zdejmowanie atrybutów z katalogów, zarówno z dysku systemowego jak i zewnętrznego. Układ atrybutów z C:\Documents and settings "przekopiowałam" z czystego XP z wirtuala, tzn. ściągam tylko te nadwyżkowe a nie wszystkie. Za to z dysku zewnętrznego atrybuty hurtem pójdą na zerowanie.

 

 

1. Otwórz Notatnik i wklej w nim:

 

attrib -s -h "C:\Documents and Settings\SysOp\Ulubione"
attrib -s -h "C:\Documents and Settings\SysOp\Pulpit"
attrib -s -h "C:\Documents and Settings\SysOp\Moje dokumenty"
attrib -s -h "C:\Documents and Settings\SysOp\Menu Start"
attrib -h "C:\Documents and Settings\SysOp\Cookies"
attrib -s "C:\Documents and Settings\SysOp\Szablony"
attrib -s "C:\Documents and Settings\SysOp\SendTo"
attrib -s "C:\Documents and Settings\SysOp\PrintHood"
attrib -s "C:\Documents and Settings\SysOp\NetHood"
attrib -s "C:\Documents and Settings\SysOp\Dane aplikacji"
H:
attrib /d /s -s -h H:\*
J:
attrib /d /s -s -h J:\*
PAUSE

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

2. Do oceny: nowy zestaw logów z OTL oraz USBFix opcji Listing.

 

 

EDYCJA: Wadliwa część skryptu BAT wycięta.

 

 

.

[Piotr]

skopiowałem i uruchomiłem skrypt jednak coś poszło nie tak bo zaczęło mnie pytać T/N więc wciskałem T i usunąłem sobie pół pulpitu da się to jakoś odzyskać? myślałem że usuwa to jakieś zbędne pliki

[picasso]

1. Po tym co linia komend zintepretowała wnioskuję, że to jest mój błąd oceny sytuacji.

 

EDIT: to raczej w związku z istnieniem duplikatu folder + plik o takiej samej nazwie, mimo że dałam komendę DEL w zamiarze na pojedynczy plik, w związku z kolizją podwójnych nazw wzięło po prostu wszystkie pliki z katalogu, a nie plik o tej samej nazwie. Niestety. Przepraszam za podanie wadliwej instrukcji.

 

Linia komend kasuje bezśladowo, tu może pomóc tylko program do odzyskiwania danych. Spróbuj: Recuva Portable. Uwaga: program zapisz na innym dysku niż ten z którego odzyskujesz, by nie zamazać śladów w tablicy plików.

 

2. Jeśli się uporasz z tym, sprowadź plik BAT tylko do takiej postaci:

 

attrib -s -h "C:\Documents and Settings\SysOp\Ulubione"
attrib -s -h "C:\Documents and Settings\SysOp\Pulpit"
attrib -s -h "C:\Documents and Settings\SysOp\Moje dokumenty"
attrib -s -h "C:\Documents and Settings\SysOp\Menu Start"
attrib -h "C:\Documents and Settings\SysOp\Cookies"
attrib -s "C:\Documents and Settings\SysOp\Szablony"
attrib -s "C:\Documents and Settings\SysOp\SendTo"
attrib -s "C:\Documents and Settings\SysOp\PrintHood"
attrib -s "C:\Documents and Settings\SysOp\NetHood"
attrib -s "C:\Documents and Settings\SysOp\Dane aplikacji"
H:
attrib /d /s -s -h H:\*
J:
attrib /d /s -s -h J:\*
PAUSE

 

 

.

[Piotr]

linia komend usunęła pliki na dobre, odzyskałem parę zdjęć ale to nie o nie chodziło tylko o 2 pliki tekstowe no ale trudno, mam ich kopie z przed 2 miesięcy, dysk wymienny służy mi właśnie jako magazyn danych żeby nie trzymać nic w Windowsie w razie awarii, a jednak zdarzyło się odwrotnie, wracając do tematu po zastosowaniu skryptu pliki powróciły jest jeszcze mały problemik z folderami na dysku RECYCLER ,System Volume Information oraz .Trash-1000 usuwam je a one wracają jako ukryte, niżej logi:

 

UsbFix

http://wklej.org/id/372932/

 

OTL:

http://wklej.org/id/372934/

http://wklej.org/id/372935/

[picasso]

W logach już w porządku. Nie adresuję usług systemowych, które mają oznaczenia w braku pliku, ponieważ z raportu wynika iż jest to system upiększany i modyfikowany, co nasuwa przypuszczenia, że braki plików są konsekwencją stosowania mocno tweakowanego XP. Wykonaj końcowe porządki:

 

1. W OTL wywołaj funkcję Sprzątanie. USBFix do deinstalacji.

2. Pozbądź się wszystkich wystąpień Java (w tym starych) za pomocą JavaRa, a następnie zainstaluj najnowszą: INSTRUKCJE.

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

linia komend usunęła pliki na dobre, odzyskałem parę zdjęć ale to nie o nie chodziło tylko o 2 pliki tekstowe no ale trudno, mam ich kopie z przed 2 miesięcy

 

Przepraszam za ten niefortunny skrypt.

 

1. Jeszcze bym spróbowała szukania przez PhotoRec, specjalizowanego w odzyskiwaniu plików graficznych i innych typów dokumentów.

 

2. Pomijając dane Pulpitowe tak rozważam, czy nie brakuje czegoś od systemu i programów. Leciało rekursywnie po katalogach, brak kompleksowych danych. Mam tylko wycinek z CMD, nie ma początku, ale przetwarzało po kolei, więc jestem w stanie sobie wyobrazić w sposób częściowy wstęp, ale nie jestem pewna czy to co pokazujesz (ostatnia linia jest nadal z kasowania Pulpitu) to koniec. Czy przy zatwierdzaniu usuwania plików z Pulpitu nie poszedłeś dalej? Z tego co na razie widzę:

 

• Opróżnienie w Ustawienia lokalne podkatalogów o nazwach Temp i Tempory Internet Files nieszkodliwe, a nawet z pożytkiem (konserwacyjne sprzątanie). Recent nie przetworzyło wcale.
  
• Zawartość Szablony i SendTo wypadła, ale dam to oczywiście do uzupełnienia.
  
• Folder Ulubione Internet Explorer nie był najwyraźniej przez Ciebie utylizowany (Twój pojazd główny to Firefox), wypadły stamtąd nieistotne linki MS i jeden Twój niedomyślny.
  
• To czego nie wiem, czy zostało przetworzone: Zawartość katalogów NetHood i PrintHood nie gra roli, domyślnie są one puste. Opróżnienie Cookies nie ma drastycznych skutków. Podobnie jest z katalogami IE czyli PrivacIE oraz IETldCache. Zawartość domyślną Menu Start da się odtworzyć, ale wszystkie skróty programów doinstalowanych wtórnie musiałbyś ręcznie tworzyć. Jeśli w Moich dokumentach nic nie trzymałeś, to nie ma problemu. Nie zaradzę już nic na folder Gadu, .borland oraz katalogi programów doinstalowanych ręcznie figurujące w folderach Ustawienia lokalne i Dane aplikacji (nawet nie wiem ile ich tam było). Aczkolwiek przesłanki pośrednie wskazują, że może rzeczywiście nie było tu naruszenia, bo w raporcie są wpisy z Danych aplikacji kierujące przykładowo do rozszerzeń Firefoxa czy Gadu i nie mają statusu braku pliku.
  

Mogę dostarczyć tylko zawartość fabryczną z obrazu XP SP3 PL, ograniczoną do tego co tu na pewno skasowało się oraz fabrycznych skrótów: KLIK. Porównaj sobie i wstaw ewentualnie co brakuje. Na resztę nic już nie poradzę.

 

jest jeszcze mały problemik z folderami na dysku RECYCLER ,System Volume Information oraz .Trash-1000 usuwam je a one wracają jako ukryte

 

To jest prawidłowe zachowanie. Na każdej partycji dostępnej spod Windows są tworzone foldery: RECYCLER (to jest prawdziwy docelowy folder Kosza, na Pulpicie to tylko wirtualny skrót) + System Volume Information (folder Przywracania systemu). Foldery te mają być, a przy próbie kasacji i tak wrócą, bo Windows je rekonstruuje. Natomiast .Trash-1000 wygląda na pochodną Linuxa, którego tu przecież bootowałeś.

 

 

 

.

[Piotr]

Powoli system staje z powrotem na nogi wszystko już wykonałem, mam jeszcze dwie małe kwestie pierwsza pozostały jeszcze skróty w różnych miejscach działające normalnie ale nie mających ikonek ( instalowałem wcześniej jakiś fix zapewniający nie złapanie tej infekcji ) oraz druga sprawa z którą borykam się już od dawna, podczas ładowania systemu w końcowej fazie po automatycznym logowaniu zawsze słychać dźwięk błędu Windowsa obok tego prawidłowego, po załadowaniu pulpitu jednak żaden komunikat się nie wyświetla.

[picasso]

pozostały jeszcze skróty w różnych miejscach działające normalnie ale nie mających ikonek ( instalowałem wcześniej jakiś fix zapewniający nie złapanie tej infekcji )

 

Jeśli to jest skutek kombinacji z ochroną LNK, to spróbuj użyć z artykułu Microsoftu KB2286198 plik Fix-it, który odwraca zmiany, czyli oznaczony jako Disable workaround. Po tym zresetuj system.

 

sprawa z którą borykam się już od dawna, podczas ładowania systemu w końcowej fazie po automatycznym logowaniu zawsze słychać dźwięk błędu Windowsa obok tego prawidłowego, po załadowaniu pulpitu jednak żaden komunikat się nie wyświetla

 

Tak popatrzyłam jeszcze do Dziennika zdarzeń. Jest tu pasujące zdarzenie. Powiela się adnotacja o jakimś błędzie usługi TuneUp:

 

Error - 2010-08-04 13:58:45 | Computer Name = COA12 | Source = TuneUp.UtilitiesSvc | ID = 300
Description = 

 

Brak tu szczegółów dla błędu. Podaj mi bardziej kompleksowe pliki Dziennika zdarzeń do wglądu. Start > Uruchom > eventvwr.msc i z prawokliku na gałąź SYSTEM + Aplikacje wykonaj zapis do plików EVT. Oba pliki zzipuj i zlinkuj mi gdzieś do wglądu. Ja sobie podmontuję te pliki na swoim systemie do wertowania.

 

 

Error - 2010-08-04 17:08:40 | Computer Name = COA12 | Source = Windows Search Service | ID = 3013
Description = Nie można zaktualizować pozycji 
 na mapie mieszania.  Kontekst: aplikacja , wykaz SystemIndex  Szczegóły:  Urządzenie 
podłączone do komputera nie działa.   (0x8007001f) 
 
Error - 2010-08-04 17:08:40 | Computer Name = COA12 | Source = Windows Search Service | ID = 3013
Description = Nie można zaktualizować pozycji 
 na mapie mieszania.  Kontekst: aplikacja , wykaz SystemIndex  Szczegóły:  Urządzenie 
podłączone do komputera nie działa.   (0x8007001f) 

 

To kolejna seria błędów. Katalog Recent i tak nie był tu sprzątany. Wejdź do niego i przez SHIFT+DEL skasuj wszystko co jest w środku. To tylko historia "ostatnio odwiedzanych".

 

 

 

.

[Piotr]

pliki już działają wrzucam dziennik: LINK

[picasso]

Niedokładnie popatrzyłam. TuneUp Events = to powinna być dodatkowa gałąź nienatywna w Dzienniku. Tę wyeksportuj tu do wglądu.

[Piotr]

LINK_1

[picasso]

Piotr, niestety nie jestem w stanie pobrać szczegółów błędu usługi TuneUp. U mnie również brakuje opisu. Sprawdź jeszcze u siebie, czy i Ty w Dzienniku w gałązce TuneUp nie możesz go odczytać. Wstępnie można sprawdzić czy to TuneUp jest problemem w inny sposób: poprzez tymczasowe (i odwracalne w każdej chwili) wyłączenie obiektów TuneUp. W logu masz taki zestaw od TuneUp:

 

========== Win32 Services (SafeList) ==========
 
SRV - [2010-07-20 00:13:33 | 000,435,016 | ---- | M] (TuneUp Software) [On_Demand | Stopped] -- C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe -- (TuneUp.Defrag)
SRV - [2010-03-19 21:57:23 | 000,604,488 | ---- | M] (TuneUp Software) [Auto | Running] -- C:\WINDOWS\system32\TUProgSt.exe -- (TuneUp.ProgramStatisticsSvc)
SRV - [2010-01-19 18:27:18 | 001,043,784 | ---- | M] (TuneUp Software) [Auto | Running] -- C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe -- (TuneUp.UtilitiesSvc)
SRV - [2010-01-19 18:24:12 | 000,030,024 | ---- | M] (TuneUp Software) [Auto | Running] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
 
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009-10-14 07:24:44 | 000,010,064 | ---- | M] (TuneUp Software) [Kernel | On_Demand | Running] -- C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv)

 

Pobierz i uruchom Autoruns. W karcie Services odptaszkuj pierwszą grupę, w karcie Drivers odptaszkuj sterownik z drugiej grupy. Szukaj nazw widocznych tu w końcowych nawiasach. Zresetuj komputer i podaj mi wyniki, czy nadal słyszysz ten dźwięk po zalogowaniu.

 

 

 

 

.

[Piotr]

dziękuje bardzo serdecznie pani za pomoc w rozwiązaniu problemu z moim komputerem cieszę się że istnieją osoby które lubią pomagać innym. Prosiłbym jeszcze o pomoc w komputerze na którym również wkradł się jakiś wirus, komputer uruchamia się i gdy pojawia się pulpit wyskakuje blue screen z błędem pliku zocvnsbba3.sys, tryb awaryjny działa prawidłowo. Logi:

Gmer

http://wklej.org/id/375443

OTL:

http://wklej.org/id/375444/

http://wklej.org/id/375446/

[picasso]

Pierwszy komputer: czy to oznacza, że test z TuneUp przebiegł pomyślnie, tzn. ów tajemniczy dźwięk zanikł? Jeśli tak, to tu należy coś z TuneUp zrobić, nie zostawiać go na takim katatonicznym wyłączeniu.

 

Drugi komputer: Kilka infekcji, w tym dokładnie te same ślady z plikami LNK, jak na poprzednim systemie. Priorytet mają tu jednak odczyty z GMER i usuwanie będzie dzielone na kilka etapów. Są dwie usługi rootkit zamontowane (zocvnsbba3.sys + hhxzpptx.sys), oraz występuje rootkit TDL w wersji 3 (zainfekowany plik systemowy tcpip.sys, zaś atapi.sys tylko wirtualnie).

 

1. Rozpocznij od użycia Kaspersky TDSSKiller. Przy wykryciu pliku systemowego tcpip.sys pozostaw opcję Cure, ten plik nie może zostać skasowany. Jeśli zaś Kaspersky wykryje pozostałe sterowniki rootkit, dla nich opcja Delete.

 

2. Po ukończeniu działania z Kasperskym i restarcie komputera odinstaluj zdezelowane i przestarzałe Kerio.

 

3. Następnie wytwórz cały zestaw nowych logów (GMER / OTL) i dołącz także log z akcji Kasperskiego.

 

 

 

.

[Piotr]

Kaspersy załatwił sprawę komputer wrócił do życia, wykrył kilka plików które skasowałem były to fałszywe pliki z rozszerzeniem sys oraz kilka innych, kerio wywaliłem, wklejam logi:

 

OTL:

http://wklej.org/id/379211/

http://wklej.org/id/379212/

 

Gmer:

http://wklej.org/id/379213/

[picasso]

Potrzebny jest log, który utworzył Kaspersky z usuwania, a dlatego, że log z GMER niestety nadal pokazuje aktywnego rootkita TDL3:

 

 

---- Kernel code sections - GMER 1.0.15 ----
 
.rsrc           C:\WINDOWS\System32\DRIVERS\tcpip.sys           entry point in ".rsrc" section [0xF5324A94]
 
---- Devices - GMER 1.0.15 ----
 
Device           -> \Driver\atapi \Device\Harddisk0\DR0           81585EC5
 
 
---- Files - GMER 1.0.15 ----
 
File            C:\WINDOWS\System32\DRIVERS\tcpip.sys           suspicious modification
File            C:\WINDOWS\system32\drivers\atapi.sys           suspicious modification
 
+ patchowana pamięć procesów systemowych w User code sections
 

 

 

Muszę zobaczyć na co się nadział Kaspersky, że nie umiał sobie z tym poradzić. Usuwanie będzie prowadzone w inny sposób, plik tcpip.sys będzie podmieniany metodą zewnętrzną. Ale w pierwszej kolejności proszę pokaż log z Kasperskiego.

 

 

 

.

[Piotr]

Proszę oto log z Kasperskiego:

 

http://wklej.org/id/380906/

[picasso]

Teraz rozumiem = pomyliłeś narzędzia. Z budowy loga wynika, że posłużyłeś się Kaspersky Virus Removal Tool 2010, a ja wyraźnie mówiłam Kaspersky TDSSKiller. To dwie odmienne aplikacje od firmy Kaspersky, ta druga specjalizowana w tu widzianym rootkicie. To narzędzie jest w linku, który podałam, w sekcji "Rootkit TDSS / TDL". Proszę pobierz, uruchom, przy wykryciu sterownika tcpip.sys jako zainfekowanego powinna być opcja Cure i zatwierdzasz restartem. Po tym wytwarzasz nowy zestaw logów (GMER + OTL) i oczywiście dołączasz log z Kasperskiego.

[Piotr]

Przepraszam, już poprawiłem, wykryło tcpip i zrobiłem wg instrukcji, po rst nic nie wykryło,

 

Kasperski:

http://wklej.org/id/380985/

 

Gmer

http://wklej.org/id/380987/

 

OTL:

http://wklej.org/id/380988/

http://wklej.org/id/380989/

[picasso]

W porządku. TDL został usunięty za pomocą Kasperskiego. Zabieramy się za to co pozostało w OTL do interwencji. To już małe rzeczy. Minimalnie wracam tu do pierwotnego OTL, bo były tam elementy, których nigdzie nie widzę zaadresowanych po drodze.

 

1. W pierwszym logu stała ta grupa, która charakteryzowała i poprzedni komputer. Czy już skasowałeś ręcznie te pary plików LNK + podróbki folderów? Dodatkowo, są tu także pliki grupy trojańskiej (KLIK) i nigdzie nie widzę, by usuwano te pliki. Sprawdź ręcznie, w razie namierzenia SHIFT+DEL.

 

========== Files - Modified Within 30 Days ==========
 
[2010-07-19 21:19:56 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\WINDOWS.lnk
[2010-07-19 21:19:42 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Ustawienia lokalne.lnk
[2010-07-19 21:19:42 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\UserData.lnk
[2010-07-19 21:19:41 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Ulubione.lnk
[2010-07-19 21:19:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Szablony.lnk
[2010-07-19 21:19:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\SendTo.lnk
[2010-07-19 21:19:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Recent.lnk
[2010-07-19 21:19:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Pulpit.lnk
[2010-07-19 21:19:40 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\PrivacIE.lnk
[2010-07-19 21:19:39 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\PrintHood.lnk
[2010-07-19 21:19:39 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\NetHood.lnk
[2010-07-19 21:19:39 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Moje dokumenty.lnk
[2010-07-19 21:19:38 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Menu Start.lnk
[2010-07-19 21:19:37 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\IETldCache.lnk
[2010-07-19 21:19:36 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Gadu-Gadu.lnk
[2010-07-19 21:19:36 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Dane aplikacji.lnk
[2010-07-19 21:19:36 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Cookies.lnk
[2010-07-19 21:19:34 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\...lnk
[2010-07-19 21:19:33 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Video.lnk
[2010-07-19 21:19:33 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\..lnk
[2010-07-19 21:19:32 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Pictures.lnk
[2010-07-19 21:19:32 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Music.lnk
[2010-07-19 21:19:30 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Documents.lnk
[2010-07-19 21:19:28 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\Passwords.lnk
[2010-07-19 21:19:27 | 000,000,148 | ---- | M] () -- C:\Documents and Settings\Piotr B\New Folder.lnk
[2010-07-19 21:19:19 | 000,000,135 | RHS- | M] () -- C:\Documents and Settings\Piotr B\autorun.inf
[2010-07-19 21:18:01 | 000,077,824 | ---- | M] () -- C:\Documents and Settings\Piotr B\drvsign.exe
[2010-07-19 21:18:01 | 000,013,824 | ---- | M] (Windows ® 2000 DDK provider) -- C:\Documents and Settings\Piotr B\snetcfg.exe
[2010-07-19 21:18:00 | 000,003,387 | ---- | M] () -- C:\Documents and Settings\Piotr B\ndisrd.inf
[2010-07-19 21:18:00 | 000,001,400 | ---- | M] () -- C:\Documents and Settings\Piotr B\ndisrd_m.inf
[2010-07-19 21:17:59 | 000,020,480 | ---- | M] (NT Kernel Resources) -- C:\Documents and Settings\Piotr B\ndisrd.sys
 
========== Files Created - No Company Name ==========
 
[2010-07-19 21:19:56 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\WINDOWS
[2010-07-19 21:19:42 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Ustawienia lokalne
[2010-07-19 21:19:42 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\UserData
[2010-07-19 21:19:41 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Ulubione
[2010-07-19 21:19:40 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Szablony
[2010-07-19 21:19:40 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\SendTo
[2010-07-19 21:19:40 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Recent
[2010-07-19 21:19:40 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Pulpit
[2010-07-19 21:19:40 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\PrivacIE
[2010-07-19 21:19:39 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\PrintHood
[2010-07-19 21:19:39 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\NetHood
[2010-07-19 21:19:39 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Moje dokumenty
[2010-07-19 21:19:37 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Menu Start
[2010-07-19 21:19:37 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\IETldCache
[2010-07-19 21:19:36 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Gadu-Gadu
[2010-07-19 21:19:36 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Dane aplikacji
[2010-07-19 21:19:36 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Cookies
[2010-07-19 21:19:34 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\..
[2010-07-19 21:19:33 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\.
[2010-07-19 21:19:32 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Video.lnk
[2010-07-19 21:19:32 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Pictures.lnk
[2010-07-19 21:19:32 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Music.lnk
[2010-07-19 21:19:30 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Documents.lnk
[2010-07-19 21:19:28 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\Passwords.lnk
[2010-07-19 21:19:27 | 000,000,148 | ---- | C] () -- C:\Documents and Settings\Piotr B\New Folder.lnk
[2010-07-19 21:19:19 | 000,000,135 | RHS- | C] () -- C:\Documents and Settings\Piotr B\autorun.inf
[2010-07-19 21:18:01 | 000,077,824 | ---- | C] () -- C:\Documents and Settings\Piotr B\drvsign.exe
[2010-07-19 21:18:00 | 000,003,387 | ---- | C] () -- C:\Documents and Settings\Piotr B\ndisrd.inf
[2010-07-19 21:18:00 | 000,001,400 | ---- | C] () -- C:\Documents and Settings\Piotr B\ndisrd_m.inf

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ndisrd.sys -- (ndisrd)
IE - HKU\S-1-5-21-1708537768-796845957-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.bearshare.com/sidebar.html?src=ssb"
O3 - HKU\S-1-5-21-1708537768-796845957-725345543-1004\..\Toolbar\ShellBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKU\S-1-5-21-1708537768-796845957-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O4 - HKLM..\Run: [12146] C:\DOCUME~1\PIOTRB~1\USTAWI~1\Temp\mnrewcb.exe File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKU\S-1-5-21-1708537768-796845957-725345543-1004..\Run: [ceiquh] C:\Documents and Settings\Piotr B\ceiquh.exe File not found
O4 - HKU\S-1-5-21-1708537768-796845957-725345543-1004..\Run: [Prozuxiqivoquli] C:\WINDOWS\swmon16.DLL File not found
O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\setup_9.0.0.722_19.08.2010_11-51.lnk = C:\Documents and Settings\Piotr B\Pulpit\Virus Removal Tool\setup_9.0.0.722_19.08.2010_11-51\startup.exe File not found
O33 - MountPoints2\{27cf6948-936a-11df-a7c0-00111e1101c5}\Shell - "" = AutoRun
O33 - MountPoints2\D\Shell - "" = AutoRun
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\setup.exe -- File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom przez Wykonaj skrypt. Po restarcie otrzymasz z tego log.

 

3. Drobne roboty deinstalacyjne:

 

• Sprzątnij wszystkie wystąpienia Java przez JavaRa i zainstaluj tylko najnowszą, zaktualizuj też Adobe Reader: INSTRUKCJE.
  
• Odinstaluj to pierwsze narzędzie Kasperskiego. Co po nim zostanie, to się okaże w następnym OTL.
  

4. Do ostatniej oceny: log powstały z usuwania OTL w punkcie 2 oraz nowe logi z OTL już po wykonaniu punktu 3.

 

 

 

 

 

.

[Piotr]

Skrypt:

http://wklej.org/id/381118/

OTL:

http://wklej.org/id/381123/

http://wklej.org/id/381124/