Jump to content
Nick126

Prośba o sprawdzenie logów

Recommended Posts

Witam, krótko mówiąc komputer coś świruje. Nie mam za bardzo czasu żeby nad nim posiedzieć. Oddałem go w zeszłym tygodniu do "fachowca", wrócił po tygodniu i dalej podobnie. Czasem wysypie niebieski ekran, czasem się zwiesi, samoczynnie zrestartuje, później np. nie umie załadować systemu i znowu restart itp. Może coś będziecie umieli poradzić. Niżej log z OTL, później wrzuce z GMER (bo coś długo skanuje).

 

Wklejka #478458 | Wklej.org OTL

 

http://wklej.org/id/478480/ GMER

Edited by Nick126

Share this post


Link to post
Share on other sites

Zrob skan przy pomocy mbam oraz cureit.

 

Wykonaj skrypt w OTL:

 

:OTL

PRC - [2011-02-17 14:55:13 | 000,071,702 | ---- | M] () -- C:\WINDOWS\system32\inetserv.exe

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = {searchTerms} - Yahoo! Search Results

O4 - HKCU..\Run: [inetserv] C:\WINDOWS\system32\inetserv.exe ()

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\inetserv.exe) - C:\WINDOWS\system32\inetserv.exe ()

O20 - Winlogon\Notify\Antiwpa: DllName - antiwpa.dll - C:\WINDOWS\System32\antiwpa.dll ()

[2011-02-17 14:55:13 | 000,071,702 | ---- | M] () -- C:\WINDOWS\System32\inetserv.exe

 

:Commands

[emptytemp]

 

 

Daj tez screeny z HdTune.

Share this post


Link to post
Share on other sites

Wklejka #479175 | Wklej.org OTL

 

Wklejka #479176 | Wklej.org mbam

 

post-102322-0-55815300-1298218348_thumb.jpg

 

Najpierw zrobiłem skrypt w OTL, potem mbam, hd tune i na konieć CureIt który nic nie wykrył.

Po skrypcie w OTL, restart i kazał mi sprawdzić legalność systemu.

Edited by Nick126

Share this post


Link to post
Share on other sites

Znowu problem...

Antyvir wyskoczył z wirusami więc je usunąłem i teraz włączam komputer i wyskakuje okienko "Właściwości urządzenia przenośnego. Nie zainstalowano warstwy transportowej TCP/IP." Poszukałem na googlach, zainstalowałem SockFix'a ale nie pomogło. Co zrobic? Nie ma neta, nie ma nic w połączeniach sieciowych. Nie wiem co zrobic. Inny komputer na tym samym routerze chodzi normalnie.

Share this post


Link to post
Share on other sites

Trojan: Win32/Rimecud.A

VirTool: WinNT/ Cutwail.L

Spammer: Win32/Tedroo.A

VirTool: Win32/Injector.gen!AD

PWS:Win32/Bzub.gen

Trojan:Win32//Extats.A

 

C:\WINDOWS\system32\drivers\NDIS.sys

C:\WINDOWS\system32\dllcache\ndis.sys

C:\WINDOWS\system32\drivers\NDIS.sys

C:\WINDOWS\system32\userinit.exe

C:\Documents and Settings\Tomek\xvlof.exe

C:\Documents and Settings\Tomek\Dane aplikacji\xj3noc1lfmddwymmkj33szpyksgtnfwl2\svcnost.exe

C:\Documents and Settings\Tomek\Dane aplikacji\xj3noc1lfmddwymmkj33szpyksgtnfwl2\svcnost.exe

C:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\L4ZZ3LYS\yo[1].exe

C:\Documents and Settings\Tomek\Dane aplikacji\xj3noc1lfmddwymmkj33szpyksgtnfwl2\svcnost.exe

C:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\KEXNUO6C\yo[1].exe

 

 

Takie rzeczy zostały usunięte. Na górze nazwy, na dole ich lokalizacje.

 

Zrobiłem sfc /... Kilku rzeczy nie mogłem naprawic bo żądał płyty z Professionala, a ja mam HE.

 

post-102322-0-86602100-1298652820_thumb.jpg

Edited by Nick126

Share this post


Link to post
Share on other sites

Aż mi głupio pytac o takie coś... Jak wyłączyc AntyVira? Mam Microsoft Security Essentials i nie umiem znaleźc opcji, żeby go wyłączyc. Próbowałem przez procesy ale to nic nie daje i Combo wywala błąd.

Edited by Nick126

Share this post


Link to post
Share on other sites

Ok, pomogło.

Ale..!

Combo ruszył i "Brak zainstalowanej Konsoli Odzyskiwania systemu Windows. ComboFix potrzebuje połączenia z netem by ściągnac Konsole Odzyskiwania". Pisał, że bez tego nie będzie w stanie usunąc jakiś tam poważniejszych plików, ale skan zrobiony.

 

Wklejka #482888 | Wklej.org

Share this post


Link to post
Share on other sites

Wykonaj taki CFscript.txt z combofix:

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

 

File::

c:\windows\System32\vclglfwc.exe

c:\documents and settings\Tomek\vclglfwc.exe

 

FCopy::

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\System32\drivers\ndis.sys

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\system32\dllcache\ndis.sys

 

 

Po wykonaniu daj log, ktory sie utworzy (internet powinien juz dzialac). Nowy log z OTL.

Daj tez log z: http://forums.majorgeeks.com/chaslang/files/Win32kDiag.exe

 

Nie zaszkodza tez logi z MbrCheck oraz TDSSKiller:

http://ad13.geekstogo.com/MBRCheck.exe

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

Share this post


Link to post
Share on other sites

Wrzuciłem ten skrypt. Komputer się zrestartował i nie chciał uruchomic. Wywala okno, że zostało zmienione oprogramowanie itp. i mam możliowśc wyboru Tryb awaryjny itp. Więc włączył Awaryjny i przywróciłem system, uruchomił się, z tym, że jest jak było.

Coś nie tak w skrypcie?

Czekam na dalsze wskazówki i dzięki za dotychczasowe 8O

Share this post


Link to post
Share on other sites

Skrypt wykonaj bez tego:

FCopy::

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\System32\drivers\ndis.sys

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\system32\dllcache\ndis.sys

 

Uruchom konsole odzyskiwania i recznie podmien c:\windows\System32\drivers\ndis.sys oraz c:\windows\system32\dllcache\ndis.sys na c:\windows\ServicePackFiles\i386\ndis.sys.

Share this post


Link to post
Share on other sites

Pierwszy lepszy link: Konsola Odzyskiwania w 2000/XP/2003 - Searchengines.pl

 

W konsoli wpisz:

move c:\windows\system32\dllcache\ndis.sys c:\windows\system32\dllcache\ndis.bck

copy c:\windows\ServicePackFiles\i386\ndis.sys c:\windows\System32\drivers\ndis.sys

copy c:\windows\ServicePackFiles\i386\ndis.sys c:\windows\system32\dllcache\ndis.sys

 

Mozesz tez sprobowac zgrac recznie pod windows plik c:\windows\system32\dllcache\ndis.sys do c:\windows\System32\drivers\ndis.sys (lub uzyc Replacer - znajdziesz na google). Ten z dllcache wyglada ok.

Share this post


Link to post
Share on other sites

OK. Tym razem się udało.

Polecenie move jest nie prawidłowe, zastąpiłem je copy (uznałem, że wyjdzie na to samo).

System nie uruchomił się - tryb awaryjny - przywracanie systemu.

Zrobiłem ponownie, już bez tej pierwszej komendy i wysypuje na sekunde niebieski ekran przy starcie i reset i nie wstaje.

(Jadę na studia, więc wrócę do tematu dopiero w piątek.)

Share this post


Link to post
Share on other sites

Zmien nazwe na z c:\windows\system32\dllcache\ndis.bck na ndis.sys

 

Sciagnij konsole odzyskiwania: http://www.microsoft.com/downloads/details.aspx?familyid=535D248D-5E10-49B5-B80C-0A0205368124&displaylang=pl po sciagnieciu przeciagnij plik na plik combofix.exe (tak jak cfscript) i daj nowy log z combofix.

 

Jezeli combofix w dalszym ciagu nie naprawi ndis.sys to uruchom skrypt w OTL:

 

:Files

c:\windows\System32\drivers\ndis.sys

C:\WINDOWS\System32\dllcache\ndis.sys|c:\windows\ServicePackFiles\i386\ndis.sys /replace

 

 

Daj tez nowy log ze skanowania z OTL, przed skanowaniem do okna skryptu wklej:

 

netsvcs

msconfig

safebootminimal

safebootnetwork

%systemdrive%\*.*

/md5start

agp440.sys

atapi.sys

beep.sys

cdrom.sys

ndis.sys

winlogon.exe

eventlog.dll

/md5stop

Edited by Kolobos

Share this post


Link to post
Share on other sites

Daj logi z MbrCheck oraz TDSSKiller:

http://ad13.geekstogo.com/MBRCheck.exe (nic w nim nie usuwaj nawet jezeli cos wykryje)

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

 

Sciagnij nowa wersje combofix i daj nowy log.

 

 

 

 

Ps. Staraj sie troche szybciej odpowiadac na posty, jezeli bedziesz odpowiadal co pare dni to nigdy nie usuniesz tej infekcji.

Share this post


Link to post
Share on other sites

Masz ta sama infekcje co tutaj: Błąd/kod 39 we wszystkich kartach sieciowych - Fixitpc.pl - Strona 2

 

Raczej nie ma sensu tego naprawiac, skoro i tak nie ma pewnosci czy zadziala.

 

Ale jak bardzo chcesz:

 

Wykonaj CFScript.txt z combofix:

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

 

File::

c:\windows\System32\vclglfwc.exe

 

FCopy::

c:\windows\system32\dllcache\ndis.sys | c:\windows\system32\drivers\ndis.sys

 

Jezeli pliki sie nie usuna to uzyj OTLPE i przy jego pomocy usun te dwa pliki exe oraz podmien ndis.

 

Nastepnie uruchom w trybie awaryjnym, wklej to do notatnika, zapisz jako fix.reg i uruchom:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS]

"DisplayName"="Sterownik systemu NDIS"

"ErrorControl"=dword:00000001

"Group"="NDIS Wrapper"

"Start"=dword:00000000

"Type"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\MediaTypes]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\Parameters]

"ProcessorAffinityMask"=dword:ffffffff

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\Enum]

"0"="Root\\LEGACY_NDIS\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

 

Po dodaniu uruchom system normalnie.

 

Wpisz w uruchom: sfc /scannow

 

Jezeli siec dalej nie bedzie dzialac to wykonaj naprawe systemu z plyty instalacyjnej lub calkowita reinstalacje.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...




×
×
  • Create New...