X

Naprawa systemu XP

03 Feb 2009 12:56 JOJordan87
  • #1 03 Feb 2009 12:56
    Jordan87
    Level 14  
    Helpful post? (0)
    Witam

    Mam problem z komputerem kuzyna, zostal czyms zainfekowany. Tryb awaryjny niemożliwy do uruchomienia, w normalnym blokuje explorera oraz managera zadań. Combofix pewnie by pomogł jednak nie moge go uruchomic. Czy podlaczając dysk do innego komputera moge sie tego czyms pozbyc? Nie liczac oczywiscie zwykłych antywirusów.
  • #2 03 Feb 2009 17:06
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Zapisz combofix pod zminiona nazwa np. qwerty123.com i dopiero uruchom.
  • #3 03 Feb 2009 22:54
    Jordan87
    Level 14  
    Topic author Helpful post? (0)
    Problem w tym ze ja nie mam jak go uruchomic na tamtym kompie, po uruchomieniu systemu wyskakuje komunikat ze explorer zostal zablokowany w celu zabezpieczenia komputera i nic wiecej jak niebieska plansza i mysz, a manader zadan nie dziala
  • #4 03 Feb 2009 23:27
    orbita9
    Level 10  
    Helpful post? (0)
    Skorzystaj może z bootowalnego antywira do wyboru . Osobiście używałem F-Secure Rescue z powodzeniem. W biosie musisz ustawić CD-Rom jako pierwszy.

    Pozdro
  • #5 04 Feb 2009 03:21
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Moze lepiej Dr.Web CureIt lub/oraz Kaspersky:
    http://www.searchengines.pl/index.php?showtopic=112329
  • #6 04 Feb 2009 09:58
    Jordan87
    Level 14  
    Topic author Helpful post? (0)
    Podłączając dysk do innego komputera i skanując kasperskim znalazł 9 plików ale po usunięciu nie przyniosło to żadnych efektów.
  • #7 04 Feb 2009 12:43
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Sprobuj zmienic nazwe explorer.exe na explorer1.exe, zgraj na jego miejsce combofix.exe zmien mu nazwe na explorer.exe i zobacz czy sie uruchomi.
  • #8 04 Feb 2009 13:02
    Matuzalem
    Level 43  
    Helpful post? (0)
    Narzucający się krok to dobranie się, z poziomu konsoli odzyskiwania, do rejestru i przywrócenie go sprzed daty awarii czy to z kopii tworzonej przy instalacji, czy z któregoś z punktów przywracania (o ile istnieją) - procedury do wyboru . Trzeba się przy tym liczyć z koniecznością dogrania części sterowników, a może i reinstalacji niektórych programów (o ile kopia będzie stara).
    Oczywiście można zacząć od samej podmiany explorera, przez expand z w/w konsoli, na czystą kopię z instalki, ale nie wiem czy - w świetle opisu -takie rozwiązanie będzie wystarczające.

    W wypadku powodzenia którejś z tych opcji warto po zalogowaniu odpalić sfc /scannow by braki i uszkodzenia wirusem spowodowane uzupełnić i usunąć.

    Gdyby się okazało, że nadal nic to zawsze zostaje naprawa przez nakładkę - tak jak przy instalacji - i modlenie się, by prawa Murphy'ego nie zadziałały.
  • #9 06 Feb 2009 12:41
    Jordan87
    Level 14  
    Topic author Helpful post? (0)
    A wiec po kolei, f-secure, Dr.Web CureIt oraz Kaspersky nie przyniosly zadnego efektu, podmiana explorera tylko tyle ze sie wlaczal explorer ale wszystko sie od razu wieszalo, dopiero po podrzuceniu combofixa pod explorera system wstal na tyle ze mogłem uruchomic skan Combofixa, załączam logi z hijackthis i combofixa.

    Po podmianie explorera na combofixa myslalem ze sie combofix uruchomi od razu po starcie, a on umozliwil uruchomienie systemu :) Powinienem spowrotem przywrocic oryginalny plik explorera?
  • #10 06 Feb 2009 13:39
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    W hijackthis usun:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.atcomet.com/b/
    O4 - HKLM\..\Run: [systemguard] F:\Program Files\System Guard 2009\systemguard.exe

    Uruchom (wpisz w uruchom):
    del /f /q f:\windows\Tasks\At*.job

    Utworz na pulpicie plik CFScript.txt i wklej do niego:

    Folder::
    f:\program files\System Guard 2009

    File::
    f:\windows\system32\B7MuJWX2.exe
    f:\windows\system32\12520437v.exe
    f:\windows\system32\2699958182.dat

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "systemguard"=-

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    UpdateWin=-

    Zapisz i przeciagnij go na ikone combofix.exe, po wykonaniu daj log.

    Zrob skan przy pomocy Malwarebytes Anti-Malware.

    Pliki:
    f:\windows\explorer.exe
    f:\windows\system32\dllcache\explorer.exe
    podmien na:
    f:\windows\SoftwareDistribution\Download\85612d9569f9a4d033130e1ccf6503f1\explorer.exe

    Po wykonaniu daj tez log z SDFix wykonany w trybie awaryjnym.
  • #11 06 Feb 2009 23:08
    Jordan87
    Level 14  
    Topic author Helpful post? (0)
    Oto log z combofixa, w tym momencie trwa skanowanie anti-malware, po nim wstawie log z sdfixa, i ile zaczął już działąć tryb awaryjny :P
  • #12 07 Feb 2009 00:24
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Nie wykonales:

    Uruchom (wpisz w uruchom):
    del /f /q f:\windows\Tasks\At*.job

    oraz:

    Pliki:
    f:\windows\explorer.exe
    f:\windows\system32\dllcache\explorer.exe
    podmien na:
    f:\windows\SoftwareDistribution\Download\85612d9569f9a4d033130e1ccf6503f1\explorer.exe


    Wklej do notatnika:
    REGEDIT4

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
    "UpdateWin"=-

    Zapisz jako fix.reg i uruchom.
  • #13 07 Feb 2009 13:25
    Jordan87
    Level 14  
    Topic author Helpful post? (0)
    W uruchom nie rozpoznaje komendy "del", ale wykonalem ja w konsoli "cmd" juz za perwszym razem wiec nie wiem po czym stwierdzasz ze tego nie zrobilem, a explorera mialem podmienic dopiero po skanowaniu malaware i tak zrobilem, oto log z SDfix'a jeszcze przed wykonaniem zalecen z ostatniego twojego posta (czyli wpisu do rejestru).
  • #14 07 Feb 2009 15:27
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Czy explorer juz dziala? Daj nowy log z combofix.
  • #15 07 Feb 2009 16:39
    Jordan87
    Level 14  
    Topic author Helpful post? (0)
    Wydaje mi sie ze explorer dziala tak jak powinien. Załączam log z Combofix'a.
  • Helpful post
    #16 07 Feb 2009 18:06
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Wszystko wyglada ok.
  • #17 07 Feb 2009 18:29
    Jordan87
    Level 14  
    Topic author Helpful post? (0)
    Dzieki wielkie, jeszcze jedno pytanie, lepiej pozostac na Avast'cie czy przejsc na Kasperskiego? Ja osobiscie jestem bardzo zadowolony z Kasperskiego.
  • #18 08 Feb 2009 00:20
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Mozesz zostawic Kav.
Mouser  Search 4 million + Products
Browse Products