Skocz do zawartości
Nick126

Prośba o sprawdzenie logów

Rekomendowane odpowiedzi

Witam, krótko mówiąc komputer coś świruje. Nie mam za bardzo czasu żeby nad nim posiedzieć. Oddałem go w zeszłym tygodniu do "fachowca", wrócił po tygodniu i dalej podobnie. Czasem wysypie niebieski ekran, czasem się zwiesi, samoczynnie zrestartuje, później np. nie umie załadować systemu i znowu restart itp. Może coś będziecie umieli poradzić. Niżej log z OTL, później wrzuce z GMER (bo coś długo skanuje).

 

Wklejka #478458 | Wklej.org OTL

 

http://wklej.org/id/478480/ GMER

Edytowane przez Nick126

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zrob skan przy pomocy mbam oraz cureit.

 

Wykonaj skrypt w OTL:

 

:OTL

PRC - [2011-02-17 14:55:13 | 000,071,702 | ---- | M] () -- C:\WINDOWS\system32\inetserv.exe

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = {searchTerms} - Yahoo! Search Results

O4 - HKCU..\Run: [inetserv] C:\WINDOWS\system32\inetserv.exe ()

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\inetserv.exe) - C:\WINDOWS\system32\inetserv.exe ()

O20 - Winlogon\Notify\Antiwpa: DllName - antiwpa.dll - C:\WINDOWS\System32\antiwpa.dll ()

[2011-02-17 14:55:13 | 000,071,702 | ---- | M] () -- C:\WINDOWS\System32\inetserv.exe

 

:Commands

[emptytemp]

 

 

Daj tez screeny z HdTune.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wklejka #479175 | Wklej.org OTL

 

Wklejka #479176 | Wklej.org mbam

 

post-102322-0-55815300-1298218348_thumb.jpg

 

Najpierw zrobiłem skrypt w OTL, potem mbam, hd tune i na konieć CureIt który nic nie wykrył.

Po skrypcie w OTL, restart i kazał mi sprawdzić legalność systemu.

Edytowane przez Nick126

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Znowu problem...

Antyvir wyskoczył z wirusami więc je usunąłem i teraz włączam komputer i wyskakuje okienko "Właściwości urządzenia przenośnego. Nie zainstalowano warstwy transportowej TCP/IP." Poszukałem na googlach, zainstalowałem SockFix'a ale nie pomogło. Co zrobic? Nie ma neta, nie ma nic w połączeniach sieciowych. Nie wiem co zrobic. Inny komputer na tym samym routerze chodzi normalnie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Trojan: Win32/Rimecud.A

VirTool: WinNT/ Cutwail.L

Spammer: Win32/Tedroo.A

VirTool: Win32/Injector.gen!AD

PWS:Win32/Bzub.gen

Trojan:Win32//Extats.A

 

C:\WINDOWS\system32\drivers\NDIS.sys

C:\WINDOWS\system32\dllcache\ndis.sys

C:\WINDOWS\system32\drivers\NDIS.sys

C:\WINDOWS\system32\userinit.exe

C:\Documents and Settings\Tomek\xvlof.exe

C:\Documents and Settings\Tomek\Dane aplikacji\xj3noc1lfmddwymmkj33szpyksgtnfwl2\svcnost.exe

C:\Documents and Settings\Tomek\Dane aplikacji\xj3noc1lfmddwymmkj33szpyksgtnfwl2\svcnost.exe

C:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\L4ZZ3LYS\yo[1].exe

C:\Documents and Settings\Tomek\Dane aplikacji\xj3noc1lfmddwymmkj33szpyksgtnfwl2\svcnost.exe

C:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\KEXNUO6C\yo[1].exe

 

 

Takie rzeczy zostały usunięte. Na górze nazwy, na dole ich lokalizacje.

 

Zrobiłem sfc /... Kilku rzeczy nie mogłem naprawic bo żądał płyty z Professionala, a ja mam HE.

 

post-102322-0-86602100-1298652820_thumb.jpg

Edytowane przez Nick126

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Aż mi głupio pytac o takie coś... Jak wyłączyc AntyVira? Mam Microsoft Security Essentials i nie umiem znaleźc opcji, żeby go wyłączyc. Próbowałem przez procesy ale to nic nie daje i Combo wywala błąd.

Edytowane przez Nick126

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Ok, pomogło.

Ale..!

Combo ruszył i "Brak zainstalowanej Konsoli Odzyskiwania systemu Windows. ComboFix potrzebuje połączenia z netem by ściągnac Konsole Odzyskiwania". Pisał, że bez tego nie będzie w stanie usunąc jakiś tam poważniejszych plików, ale skan zrobiony.

 

Wklejka #482888 | Wklej.org

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wykonaj taki CFscript.txt z combofix:

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

 

File::

c:\windows\System32\vclglfwc.exe

c:\documents and settings\Tomek\vclglfwc.exe

 

FCopy::

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\System32\drivers\ndis.sys

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\system32\dllcache\ndis.sys

 

 

Po wykonaniu daj log, ktory sie utworzy (internet powinien juz dzialac). Nowy log z OTL.

Daj tez log z: http://forums.majorgeeks.com/chaslang/files/Win32kDiag.exe

 

Nie zaszkodza tez logi z MbrCheck oraz TDSSKiller:

http://ad13.geekstogo.com/MBRCheck.exe

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Wrzuciłem ten skrypt. Komputer się zrestartował i nie chciał uruchomic. Wywala okno, że zostało zmienione oprogramowanie itp. i mam możliowśc wyboru Tryb awaryjny itp. Więc włączył Awaryjny i przywróciłem system, uruchomił się, z tym, że jest jak było.

Coś nie tak w skrypcie?

Czekam na dalsze wskazówki i dzięki za dotychczasowe 8O

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Skrypt wykonaj bez tego:

FCopy::

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\System32\drivers\ndis.sys

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\system32\dllcache\ndis.sys

 

Uruchom konsole odzyskiwania i recznie podmien c:\windows\System32\drivers\ndis.sys oraz c:\windows\system32\dllcache\ndis.sys na c:\windows\ServicePackFiles\i386\ndis.sys.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Pierwszy lepszy link: Konsola Odzyskiwania w 2000/XP/2003 - Searchengines.pl

 

W konsoli wpisz:

move c:\windows\system32\dllcache\ndis.sys c:\windows\system32\dllcache\ndis.bck

copy c:\windows\ServicePackFiles\i386\ndis.sys c:\windows\System32\drivers\ndis.sys

copy c:\windows\ServicePackFiles\i386\ndis.sys c:\windows\system32\dllcache\ndis.sys

 

Mozesz tez sprobowac zgrac recznie pod windows plik c:\windows\system32\dllcache\ndis.sys do c:\windows\System32\drivers\ndis.sys (lub uzyc Replacer - znajdziesz na google). Ten z dllcache wyglada ok.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

OK. Tym razem się udało.

Polecenie move jest nie prawidłowe, zastąpiłem je copy (uznałem, że wyjdzie na to samo).

System nie uruchomił się - tryb awaryjny - przywracanie systemu.

Zrobiłem ponownie, już bez tej pierwszej komendy i wysypuje na sekunde niebieski ekran przy starcie i reset i nie wstaje.

(Jadę na studia, więc wrócę do tematu dopiero w piątek.)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zmien nazwe na z c:\windows\system32\dllcache\ndis.bck na ndis.sys

 

Sciagnij konsole odzyskiwania: http://www.microsoft.com/downloads/details.aspx?familyid=535D248D-5E10-49B5-B80C-0A0205368124&displaylang=pl po sciagnieciu przeciagnij plik na plik combofix.exe (tak jak cfscript) i daj nowy log z combofix.

 

Jezeli combofix w dalszym ciagu nie naprawi ndis.sys to uruchom skrypt w OTL:

 

:Files

c:\windows\System32\drivers\ndis.sys

C:\WINDOWS\System32\dllcache\ndis.sys|c:\windows\ServicePackFiles\i386\ndis.sys /replace

 

 

Daj tez nowy log ze skanowania z OTL, przed skanowaniem do okna skryptu wklej:

 

netsvcs

msconfig

safebootminimal

safebootnetwork

%systemdrive%\*.*

/md5start

agp440.sys

atapi.sys

beep.sys

cdrom.sys

ndis.sys

winlogon.exe

eventlog.dll

/md5stop

Edytowane przez Kolobos

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Daj logi z MbrCheck oraz TDSSKiller:

http://ad13.geekstogo.com/MBRCheck.exe (nic w nim nie usuwaj nawet jezeli cos wykryje)

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

 

Sciagnij nowa wersje combofix i daj nowy log.

 

 

 

 

Ps. Staraj sie troche szybciej odpowiadac na posty, jezeli bedziesz odpowiadal co pare dni to nigdy nie usuniesz tej infekcji.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Masz ta sama infekcje co tutaj: Błąd/kod 39 we wszystkich kartach sieciowych - Fixitpc.pl - Strona 2

 

Raczej nie ma sensu tego naprawiac, skoro i tak nie ma pewnosci czy zadziala.

 

Ale jak bardzo chcesz:

 

Wykonaj CFScript.txt z combofix:

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

 

File::

c:\windows\System32\vclglfwc.exe

 

FCopy::

c:\windows\system32\dllcache\ndis.sys | c:\windows\system32\drivers\ndis.sys

 

Jezeli pliki sie nie usuna to uzyj OTLPE i przy jego pomocy usun te dwa pliki exe oraz podmien ndis.

 

Nastepnie uruchom w trybie awaryjnym, wklej to do notatnika, zapisz jako fix.reg i uruchom:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS]

"DisplayName"="Sterownik systemu NDIS"

"ErrorControl"=dword:00000001

"Group"="NDIS Wrapper"

"Start"=dword:00000000

"Type"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\MediaTypes]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\Parameters]

"ProcessorAffinityMask"=dword:ffffffff

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\Enum]

"0"="Root\\LEGACY_NDIS\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

 

Po dodaniu uruchom system normalnie.

 

Wpisz w uruchom: sfc /scannow

 

Jezeli siec dalej nie bedzie dzialac to wykonaj naprawe systemu z plyty instalacyjnej lub calkowita reinstalacje.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Dodaj odpowiedź do tematu...

×   Wklejono zawartość z formatowaniem.   Przywróć formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.

Ładowanie


×
×
  • Dodaj nową pozycję...