Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
TR/Crypt.XPACK.Gen i po systemie...
08 Mar 2009, 12:25
Witam, mam spory problem z trojanem TR/Crypt.XPACK.Gen, który wyczyścił mi menedżer urządzeń i pozmieniał ścieżki dostępu w usługach przez co nie mam sterowników do niczego i niewiele jestem w stanie zrobić, nawet neta nie mam, ale od początku.
http://www.fotosik.pl/pokaz_obrazek/1e1 ... 0f1ae.html -
rzut oka na procesy z wczoraj, kiedy wszystko grało. Od tego czasu zainstalowałem program Notebook Hardware Control, Super C, Movavi Video Converter 6 i All Video Spliter.
Wszystko zaczęło się od ściągnięcia keygena do tego ostatniego ze strony http://www.keys.ws, który przeskanowałem avirą, a po braku alarmu zezwoliłem w Comodo Firewall na dostęp do svchost.exe, po czym avira wykrył wirusa w katalogu temp (VRT1AB.tmp), którego nie potrafił usunąć.
Ja też nie więc zrestartowałem system. Usunąłem plik i instalkę lecz okazało się że nie mam sterowników, Comodo wymagał fixa a w avirze nie da włączyć się funkcji guard i nie mam dostępu do uruchomienia usług, gdyż wyświetla się to –
http://www.fotosik.pl/pokaz_obrazek/d54 ... 47e52.html (i to tylko w awaryjnym):
http://www.fotosik.pl/pokaz_obrazek/a50 ... 27553.html - rzut oka na procesy,
logi zdarzeń z comodo - http://www.wklejto.pl/28219
log i skan aviry po zawirusowaniu - http://www.wklejto.pl/28220
http://www.wklejto.pl/28221
Potem stwierdziłem że nie mam nic do stracenia i przywróciłem trojana i pozwoliłem mu działać - otworzył kilkanście procesów svchost, po czym wszystkie się zamknęły, a plik z wirusem zniknął! (moja wina, moja wina, moja BWW)
Zainstalowałem Spyboot, trzy razy trzeba go było uruchomić, zanim wszystko wyczyścił, lecz żaden z plików nie był "tym moim."
Zaczęły pojawiać się takie błędy przy logowaniu (którego to panelu nie miałem nigdy włączonego):
spoolsv.exe - błąd aplikacji pamięć nie może być ''written''
StarWindServiceAE.exe - błąd aplikacji pamięć nie może być "written"
a potem jeszcze
mpnotify.exe - błąd aplikacji pamięć nie może być "written"
a po SDFixie, który nie dał się dokończyć w normalnym trybie i znów trzeba było w awaryjnym uruchomić, w normalnym trybie pokazuje się tylko tapeta a uruchomienie explorer.exe skutkuje komunikatem - zapobieganie wykonywaniu danych, system Windows zamknął ten program (ilość procesów 16) i trzeba znów wchodzić w awaryjny, żeby cokolwiek zrobić.
log SDFixa - http://www.wklejto.pl/28222
Comodo - http://www.wklejto.pl/28223
Aviry (uruchamianych z wiersza poleceń) - http://www.wklejto.pl/28224
I mam za swoje, avira wykryła wirusy nawet w SDFixie, tylko format został?
Po combofix pojawia się:
spoolsv.exe - błąd aplikacji pamięć nie może być ''written''
i jeszcze isass.exe - błąd systemu nie odnaleziono nazwy obiektu
oraz HelpSvc.exe - błąd aplikacji pamięć nie może być ''written''
StarWindServiceAE.exe - błąd aplikacji pamięć nie może być "written"
mpnotify.exe - błąd aplikacji pamięć nie może być "written"
system zrestartował się i teraz nawet w awaryjnym muszę ctrl+alt+delete, żeby coś zrobić, a log był w c:\combofix\ zamiast c:\ i w dodatku jakby niezapisany choć pokasowało pliki tak skutecznie, że nawet notatnika nie mogę otworzyć:
http://www.wklejto.pl/28225
w awaryjnym trybie log z hijacka - http://www.wklejto.pl/28226
Mam wrażenie, że co usiłuję coś zrobić, to jest coraz gorzej, przedtem przynajmniej jakoś się system uruchamiał, a teraz nawet nie wiem, czy da się z niego jakieś pliki odzyskać, po całej nocy ślęczenia jestem zrozpaczony...
Jest jakiś sposób choć, żeby przenieść niezawirusowane pliki (które się same replikują bo avira guard jest na disable i nie można tego zmnienić – stąd drugi log jest kilka razy większy)
http://www.fotosik.pl/pokaz_obrazek/1e1 ... 0f1ae.html -
rzut oka na procesy z wczoraj, kiedy wszystko grało. Od tego czasu zainstalowałem program Notebook Hardware Control, Super C, Movavi Video Converter 6 i All Video Spliter.
Wszystko zaczęło się od ściągnięcia keygena do tego ostatniego ze strony http://www.keys.ws, który przeskanowałem avirą, a po braku alarmu zezwoliłem w Comodo Firewall na dostęp do svchost.exe, po czym avira wykrył wirusa w katalogu temp (VRT1AB.tmp), którego nie potrafił usunąć.
Ja też nie więc zrestartowałem system. Usunąłem plik i instalkę lecz okazało się że nie mam sterowników, Comodo wymagał fixa a w avirze nie da włączyć się funkcji guard i nie mam dostępu do uruchomienia usług, gdyż wyświetla się to –
http://www.fotosik.pl/pokaz_obrazek/d54 ... 47e52.html (i to tylko w awaryjnym):
http://www.fotosik.pl/pokaz_obrazek/a50 ... 27553.html - rzut oka na procesy,
logi zdarzeń z comodo - http://www.wklejto.pl/28219
log i skan aviry po zawirusowaniu - http://www.wklejto.pl/28220
http://www.wklejto.pl/28221
Potem stwierdziłem że nie mam nic do stracenia i przywróciłem trojana i pozwoliłem mu działać - otworzył kilkanście procesów svchost, po czym wszystkie się zamknęły, a plik z wirusem zniknął! (moja wina, moja wina, moja BWW)
Zainstalowałem Spyboot, trzy razy trzeba go było uruchomić, zanim wszystko wyczyścił, lecz żaden z plików nie był "tym moim."
Zaczęły pojawiać się takie błędy przy logowaniu (którego to panelu nie miałem nigdy włączonego):
spoolsv.exe - błąd aplikacji pamięć nie może być ''written''
StarWindServiceAE.exe - błąd aplikacji pamięć nie może być "written"
a potem jeszcze
mpnotify.exe - błąd aplikacji pamięć nie może być "written"
a po SDFixie, który nie dał się dokończyć w normalnym trybie i znów trzeba było w awaryjnym uruchomić, w normalnym trybie pokazuje się tylko tapeta a uruchomienie explorer.exe skutkuje komunikatem - zapobieganie wykonywaniu danych, system Windows zamknął ten program (ilość procesów 16) i trzeba znów wchodzić w awaryjny, żeby cokolwiek zrobić.
log SDFixa - http://www.wklejto.pl/28222
Comodo - http://www.wklejto.pl/28223
Aviry (uruchamianych z wiersza poleceń) - http://www.wklejto.pl/28224
I mam za swoje, avira wykryła wirusy nawet w SDFixie, tylko format został?
Po combofix pojawia się:
spoolsv.exe - błąd aplikacji pamięć nie może być ''written''
i jeszcze isass.exe - błąd systemu nie odnaleziono nazwy obiektu
oraz HelpSvc.exe - błąd aplikacji pamięć nie może być ''written''
StarWindServiceAE.exe - błąd aplikacji pamięć nie może być "written"
mpnotify.exe - błąd aplikacji pamięć nie może być "written"
system zrestartował się i teraz nawet w awaryjnym muszę ctrl+alt+delete, żeby coś zrobić, a log był w c:\combofix\ zamiast c:\ i w dodatku jakby niezapisany choć pokasowało pliki tak skutecznie, że nawet notatnika nie mogę otworzyć:
http://www.wklejto.pl/28225
w awaryjnym trybie log z hijacka - http://www.wklejto.pl/28226
Mam wrażenie, że co usiłuję coś zrobić, to jest coraz gorzej, przedtem przynajmniej jakoś się system uruchamiał, a teraz nawet nie wiem, czy da się z niego jakieś pliki odzyskać, po całej nocy ślęczenia jestem zrozpaczony...
Jest jakiś sposób choć, żeby przenieść niezawirusowane pliki (które się same replikują bo avira guard jest na disable i nie można tego zmnienić – stąd drugi log jest kilka razy większy)
Re: TR/Crypt.XPACK.Gen i po systemie...
08 Mar 2009, 20:06
Najpier skan avirą przed dalszą pracą:
http://www.wklejto.pl/28264
potem przeleciałem hijackiem
http://wklejto.pl/28263
a potem usunąłęm to, co mi poradzono:
skrypt Combo
i logi po tym Combo
http://www.wklejto.pl/28265
i hijack
http://www.wklejto.pl/28266
później fixwareout log
http://www.wklejto.pl/28267
i OTMoveIT3
a na końcu dr Web
http://odsiebie.com/pokaz/1764773---7174.html
i hijack
http://www.wklejto.pl/28268
niestety Web nie usunął wszystkich wirusów (głównie Win32.Virut.56), kilka plików przeniósł, ale nie wiem co robić
z tymi plikami, które w kwarantannie umieściła Avira - są systemowe, a jak je tak wyniosę z tej kwarantanny to
znowu zanim Web zacznie działać może coś się zacząć
http://www.fotosik.pl/pokaz_obrazek/8e6 ... 4cb56.html
http://www.fotosik.pl/pokaz_obrazek/397 ... afec7.html
W dodatku znalazło się trochę wirusów na recovery - czy będzie można kiedyś z niej bezpiecznie przywrócić system? I
paru plikom zmieniłem rozszerzenie na .ex_ (tym z pendrive - bo na nim przenoszę logi na inny komp) - czy jest
możliwość, że przez to dr Web nie znalazł tam wirusów?
Po tym wszystkim znów explorer zaczął uruchamiać się w awaryjnym. Poza tym jakimś cudem włączyło się przywracanie
systemu, choć do tej pory było nieaktywne - zauważyłem to podczas skanowania Webem i wyłączyłem - wystarczy?
Dalej nie mam menedżera urządzeń - nie działa wi-fi, ani modem Playa (nie wiem jakim cudem wykrywa pena) teraz
nawet w awaryjnym nie mogę spróbować zmieniać usług lokalnych przez msconfig, choć w nocy jeszcze mogłem (ale i tak
wyskakiwał błąd z plug and play).
Z błędów przy uruchamianiu został
isass.exe - błąd systemu nie odnaleziono nazwy obiektu
w normalnym trybie co powoduje restart i konieczność urochomienia w awaryjnym.
I co teraz powinienem zrobić?
http://www.wklejto.pl/28264
potem przeleciałem hijackiem
http://wklejto.pl/28263
a potem usunąłęm to, co mi poradzono:
O4 - HKCU\..\RunOnce: [SpybotDeletingB5501] command.com /c del "C:\Program Files\AskSBar\bar\1.bin\A2HIGHIN.EXE"
O23 - Service: AgereModemAudio - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: AntiVirScheduler - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: AntiVirService - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: AudioSrv - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: btwdins - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: clr_optimization_v2.0.50727_32 - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: COMSysApp - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: CryptSvc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: DcomLaunch - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: Dhcp - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: dmadmin - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: Dot3svc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: EapHost - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: Eventlog - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: EventSystem - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: FastUserSwitchingCompatibility - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: gupdate1c99d951a4ff84a - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: gusvc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: hkmsvc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: HTTPFilter - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: IDriverT - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: idsvc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: JavaQuickStarterService - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: MDM - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: mnmsrvc - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: napagent - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: Netman - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: Nla - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: ose - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: PCA - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: PlugPlay - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: RasAuto - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
O23 - Service: RasMan - Unknown owner - C:\WINDOWS\TEMP\VRT1AB.tmp (file missing)
skrypt Combo
Folder::
C:\WINDOWS\Temp
i logi po tym Combo
http://www.wklejto.pl/28265
i hijack
http://www.wklejto.pl/28266
później fixwareout log
http://www.wklejto.pl/28267
i OTMoveIT3
a na końcu dr Web
http://odsiebie.com/pokaz/1764773---7174.html
i hijack
http://www.wklejto.pl/28268
niestety Web nie usunął wszystkich wirusów (głównie Win32.Virut.56), kilka plików przeniósł, ale nie wiem co robić
z tymi plikami, które w kwarantannie umieściła Avira - są systemowe, a jak je tak wyniosę z tej kwarantanny to
znowu zanim Web zacznie działać może coś się zacząć
http://www.fotosik.pl/pokaz_obrazek/8e6 ... 4cb56.html
http://www.fotosik.pl/pokaz_obrazek/397 ... afec7.html
W dodatku znalazło się trochę wirusów na recovery - czy będzie można kiedyś z niej bezpiecznie przywrócić system? I
paru plikom zmieniłem rozszerzenie na .ex_ (tym z pendrive - bo na nim przenoszę logi na inny komp) - czy jest
możliwość, że przez to dr Web nie znalazł tam wirusów?
Po tym wszystkim znów explorer zaczął uruchamiać się w awaryjnym. Poza tym jakimś cudem włączyło się przywracanie
systemu, choć do tej pory było nieaktywne - zauważyłem to podczas skanowania Webem i wyłączyłem - wystarczy?
Dalej nie mam menedżera urządzeń - nie działa wi-fi, ani modem Playa (nie wiem jakim cudem wykrywa pena) teraz
nawet w awaryjnym nie mogę spróbować zmieniać usług lokalnych przez msconfig, choć w nocy jeszcze mogłem (ale i tak
wyskakiwał błąd z plug and play).
Z błędów przy uruchamianiu został
isass.exe - błąd systemu nie odnaleziono nazwy obiektu
w normalnym trybie co powoduje restart i konieczność urochomienia w awaryjnym.
I co teraz powinienem zrobić?
Re: TR/Crypt.XPACK.Gen i po systemie...
11 Mar 2009, 00:14
WSZYSTKO OPISUJE CHRONOLOGICZNIE
zacząłem dr Webem - znalazł dwa wirusy, z tym że jeden w programie do
usuwania trojanów, a drugi to wirus, który wykrył i zmnieł nazwę avira
- dałem go do avirowej kwarantanny
http://www.wklejto.pl/28463
zrobiłem fix.reg
potem uruchomiłem OTMoveIT, ale nie było chyba żadnego loga po, a
qooboxa usunąłem już wcześniej - wystarczyło shift + del w awaryjnym?
combo
http://www.wklejto.pl/28470
pojawia się dalej isass.exe - błąd systemu nie odnaleziono nazwy
obiektu
co wymaga cały czas pracy w awaryjnym
z ms config mogę już odhaczyć procesy i usługi, ale nie mogę uruchomić
zatrzymanych - nie da się wejść we właścowości
natomiast z panelu sterowania - narzędzia administracyjne - usługi, jak
klikam dwa razy, to pojawia się komunikat
Menedżer konfiguracji: usługa Plug and Play lub inna jest niedostępna.
Klikam OK i wchodzę we właścowości - większość jest zatrzymana, a jak
próbuje uruchomić, to pojawia się komunikat
Nie można uruchomić usługi ..., na komputerze Komputer Lokalny, a potem
różne np.
błąd 1075 usługa zależności nie istnieje, lub została przeznaczona do
usunięcia,
błąd 1084 tej usługi nie można uruchomić w trybie awaryjnym
http://www.fotosik.pl/pokaz_obrazek/8f6 ... df665.html
http://www.fotosik.pl/pokaz_obrazek/e2a ... d8e6d.html
dodatkowo na czerwono oznaczyłem te, które w zakładce logowania mają
ustawione jakieś hasło - nie pamiętam,żeby tak było wcześniej, a sam
niczego nie ustawiałem
http://www.fotosik.pl/pokaz_obrazek/e4f ... a2783.html
chdsk log
http://www.wklejto.pl/28466
potem resztę optymalizacji
http://forum.programosy.pl/optymalizacja-windowsa-xp-vt89133.html
ale OODefragmentator, nie chciał się zainstalowac - w trybie awaryjnym
komunikat:
administrator ograniczył dostęp (oczywiście nic takiego nie robiłem)
tryb normalny uruchomił się, gdy nie kliknąłem ok na komunikacje
lsass.exe - błąd pliku, i tam pisało, że nie mam Windows instaler
ściągnąłem, lecz się nie zaistalował - wyskoczył jakiś komunikat z
brakiem możliwości uwierzytelnienia?, na necie wyszukałem, że
powinienem włączyć usługę kryptograficzną - nie mam takiej!
defragmentacja windowsa nie chce się uruchomić
potem program Odkurzacz - zainstalował się i uruchomił
ATF-cleaner uruchomione
potem chciałem zrobić porządek z lsass.exe - od kumpla dostałem plik i
zgodnie z poradami uruchomiłem replacera - skopiował do system32, ale
przy kopiowaniu do dllcache wyskoczył komunikat, że nie można skopiować
do folderu bo jest zabezpieczony ( odbezpieczanie we właściwościach nic
nie daje)
skan dr Webem live CD zawiesił się na folderze download/amigaemu... a
wcześniej wychwycił dwa pliki - w folderze własnej kwarantanny
dalem pod windowsem
log dr web koniec i usunąłem pliki system volume - choć nie wiem skąd
się wzięły - wyłączyłem przywracanie
http://www.wklejto.pl/28467
jeszcze raz combofix skryptem
combo2
http://www.wklejto.pl/28468
hijack log
http://www.wklejto.pl/28469
silent runners - błąd can't iterate Win32_OperatingSystem!
wyłączem przywracanie systemu, nie wiem jak się włączyło, wyrzuciłem
coboox.exe
pojawia się dalej isass.exe - błąd systemu nie odnaleziono nazwy
obiektu
ale wystraczy nie klikać ok i system się uruchomi (w miarę) normalnie
pojawia sie cpqset.exe - apliakcja wykonała nieprawidłową operację
zacząłem dr Webem - znalazł dwa wirusy, z tym że jeden w programie do
usuwania trojanów, a drugi to wirus, który wykrył i zmnieł nazwę avira
- dałem go do avirowej kwarantanny
http://www.wklejto.pl/28463
zrobiłem fix.reg
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
mountpoints2\{d728e54d-ccf9-11dd-a81a-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
mountpoints2\{f257a55e-ce3d-11db-9450-0018debec359}]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AgereModemAudio]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirScheduler]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirService]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AudioSrv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\btwdins]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\clr_optimization_v2.
0.50727_32]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\COMSysApp]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CryptSvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DcomLaunch]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dhcp]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmadmin]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dot3svc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EapHost]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EventSystem]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FastUserSwitchingCom
patibility]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gupdate1c99d951a4ff8
4a]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gusvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HidServ]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hkmsvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HTTPFilter]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IDriverT]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\idsvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\JavaQuickStarterServ
ice]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MDM]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mnmsrvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\napagent]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDE]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDEdsdm]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Netman]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Nla]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ose]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCA]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PlugPlay]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasAuto]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasMan]
potem uruchomiłem OTMoveIT, ale nie było chyba żadnego loga po, a
qooboxa usunąłem już wcześniej - wystarczyło shift + del w awaryjnym?
combo
http://www.wklejto.pl/28470
pojawia się dalej isass.exe - błąd systemu nie odnaleziono nazwy
obiektu
co wymaga cały czas pracy w awaryjnym
z ms config mogę już odhaczyć procesy i usługi, ale nie mogę uruchomić
zatrzymanych - nie da się wejść we właścowości
natomiast z panelu sterowania - narzędzia administracyjne - usługi, jak
klikam dwa razy, to pojawia się komunikat
Menedżer konfiguracji: usługa Plug and Play lub inna jest niedostępna.
Klikam OK i wchodzę we właścowości - większość jest zatrzymana, a jak
próbuje uruchomić, to pojawia się komunikat
Nie można uruchomić usługi ..., na komputerze Komputer Lokalny, a potem
różne np.
błąd 1075 usługa zależności nie istnieje, lub została przeznaczona do
usunięcia,
błąd 1084 tej usługi nie można uruchomić w trybie awaryjnym
http://www.fotosik.pl/pokaz_obrazek/8f6 ... df665.html
http://www.fotosik.pl/pokaz_obrazek/e2a ... d8e6d.html
dodatkowo na czerwono oznaczyłem te, które w zakładce logowania mają
ustawione jakieś hasło - nie pamiętam,żeby tak było wcześniej, a sam
niczego nie ustawiałem
http://www.fotosik.pl/pokaz_obrazek/e4f ... a2783.html
chdsk log
http://www.wklejto.pl/28466
potem resztę optymalizacji
http://forum.programosy.pl/optymalizacja-windowsa-xp-vt89133.html
ale OODefragmentator, nie chciał się zainstalowac - w trybie awaryjnym
komunikat:
administrator ograniczył dostęp (oczywiście nic takiego nie robiłem)
tryb normalny uruchomił się, gdy nie kliknąłem ok na komunikacje
lsass.exe - błąd pliku, i tam pisało, że nie mam Windows instaler
ściągnąłem, lecz się nie zaistalował - wyskoczył jakiś komunikat z
brakiem możliwości uwierzytelnienia?, na necie wyszukałem, że
powinienem włączyć usługę kryptograficzną - nie mam takiej!
defragmentacja windowsa nie chce się uruchomić
potem program Odkurzacz - zainstalował się i uruchomił
ATF-cleaner uruchomione
potem chciałem zrobić porządek z lsass.exe - od kumpla dostałem plik i
zgodnie z poradami uruchomiłem replacera - skopiował do system32, ale
przy kopiowaniu do dllcache wyskoczył komunikat, że nie można skopiować
do folderu bo jest zabezpieczony ( odbezpieczanie we właściwościach nic
nie daje)
skan dr Webem live CD zawiesił się na folderze download/amigaemu... a
wcześniej wychwycił dwa pliki - w folderze własnej kwarantanny
dalem pod windowsem
log dr web koniec i usunąłem pliki system volume - choć nie wiem skąd
się wzięły - wyłączyłem przywracanie
http://www.wklejto.pl/28467
jeszcze raz combofix skryptem
Folder::
C:\Windows\Temp
Driver::
gupdate1c99d951a4ff84a
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
mountpoints2\{d728e54d-ccf9-11dd-a81a-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
mountpoints2\{f257a55e-ce3d-11db-9450-0018debec359}]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AgereModemAudio]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirScheduler]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AntiVirService]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\AudioSrv]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\btwdins]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\clr_optimization_v2.
0.50727_32]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\COMSysApp]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CryptSvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DcomLaunch]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dhcp]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\dmadmin]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Dot3svc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EapHost]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EventSystem]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FastUserSwitchingCom
patibility]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gupdate1c99d951a4ff8
4a]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gusvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HidServ]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hkmsvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\HTTPFilter]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\IDriverT]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\idsvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\JavaQuickStarterServ
ice]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MDM]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mnmsrvc]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\napagent]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDE]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NetDDEdsdm]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Netman]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Nla]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ose]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PCA]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PlugPlay]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasAuto]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\RasMan]
combo2
http://www.wklejto.pl/28468
hijack log
http://www.wklejto.pl/28469
silent runners - błąd can't iterate Win32_OperatingSystem!
wyłączem przywracanie systemu, nie wiem jak się włączyło, wyrzuciłem
coboox.exe
pojawia się dalej isass.exe - błąd systemu nie odnaleziono nazwy
obiektu
ale wystraczy nie klikać ok i system się uruchomi (w miarę) normalnie
pojawia sie cpqset.exe - apliakcja wykonała nieprawidłową operację
Re: TR/Crypt.XPACK.Gen i po systemie...
13 Mar 2009, 16:07
Usunąłem archiwum, które blokowało dr Weba i tym razem poszedł z płyty - brak wirusów, poza tymi w programach do walki z nimi
zrobiłem
i daje to, co wyskakuje mi na Pulpicie + pojawia się jeszcze konsola DOS-owa (chyba COMMAND), wyskakuje jakis błąd wczytywania i zaraz znika (trochę za szybko, żeby było wiadomo o co chodzi)
http://www.fotosik.pl/pokaz_obrazek/a48 ... 719cd.html
log z hijacka
http://www.wklejto.pl/28640
Combo fixa
http://www.wklejto.pl/28641
zrobiłem instalację nakładkową, ale kumpel podrzucił mi jakąś modyfikacje XP (Vista) i teraz mam dwa systemy i dostaje kręćka bo nie wiem, w którym co
skanować.
Próbowałem ponownie replacerem, tym razem z nowego XP, przy wklejaniu ścieżki dllcache/lsass.exe konsola wyłącza się bez niczego i dalej wyskakuje błąd w
starym XP, jeśli się go za wcześnie kliknie (albo dymek Avira Uptade) to się komp restartuje.
FixIEDef - na nowym się uruchomił
http://www.wklejto.pl/28642
ściągnąłem aktualizacje do Avasta i zeskanowałem
http://www.wklejto.pl/28643
i Kaspersky Virus Removal Tool (oba pod nowym, bo w starym cały czas brak netu i sterowników)
http://www.wklejto.pl/28644
Spyboot - czysto
jeszcze raz dr Web - tym razem OS-owo - tylko w programach typu Combofix - na wszelki wypadek usunąłem
Jak mam przywrócić stery w starym? I które? Mam folder WINDOWS 0, i tam wszystko jest, ale nie wiem jak je podmienić
I była rada, żeby usunąć wszystkie wpisy w rejestr, które mają "askbara" - gdy instalowałem na nowym Comodo, to tam był ptaszek do zahaczenia właśnie z
paskiem wyszukiwania ask.com - to jakiś trojan, czy coś bo nie bardzo rozumiem, czemu miałem usunąć?
zrobiłem
Windows Registry Editor Version 5.00
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Eventlog]
i daje to, co wyskakuje mi na Pulpicie + pojawia się jeszcze konsola DOS-owa (chyba COMMAND), wyskakuje jakis błąd wczytywania i zaraz znika (trochę za szybko, żeby było wiadomo o co chodzi)
http://www.fotosik.pl/pokaz_obrazek/a48 ... 719cd.html
log z hijacka
http://www.wklejto.pl/28640
Combo fixa
http://www.wklejto.pl/28641
zrobiłem instalację nakładkową, ale kumpel podrzucił mi jakąś modyfikacje XP (Vista) i teraz mam dwa systemy i dostaje kręćka bo nie wiem, w którym co
skanować.
Próbowałem ponownie replacerem, tym razem z nowego XP, przy wklejaniu ścieżki dllcache/lsass.exe konsola wyłącza się bez niczego i dalej wyskakuje błąd w
starym XP, jeśli się go za wcześnie kliknie (albo dymek Avira Uptade) to się komp restartuje.
FixIEDef - na nowym się uruchomił
http://www.wklejto.pl/28642
ściągnąłem aktualizacje do Avasta i zeskanowałem
http://www.wklejto.pl/28643
i Kaspersky Virus Removal Tool (oba pod nowym, bo w starym cały czas brak netu i sterowników)
http://www.wklejto.pl/28644
Spyboot - czysto
jeszcze raz dr Web - tym razem OS-owo - tylko w programach typu Combofix - na wszelki wypadek usunąłem
Jak mam przywrócić stery w starym? I które? Mam folder WINDOWS 0, i tam wszystko jest, ale nie wiem jak je podmienić
I była rada, żeby usunąć wszystkie wpisy w rejestr, które mają "askbara" - gdy instalowałem na nowym Comodo, to tam był ptaszek do zahaczenia właśnie z
paskiem wyszukiwania ask.com - to jakiś trojan, czy coś bo nie bardzo rozumiem, czemu miałem usunąć?