Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus? Wyłączenie AV, MBAM itp

sred 23 Sie 2011 13:19 3435 23
  • #1 23 Sie 2011 13:19
    sred
    Poziom 18  

    Witam

    Coś zjadliwego się zainstalowało na laptopie HP9500 z Vistą.
    Wyłaczyło i nie pozwala włączyć Gdata AV, Mbam, przywracanie nie działa prawidłowo (działa, coś robi a potem info ze nie udało się)
    Internet też nie działa. Oczywiście HP nie dał płyty z systemem, więc wszelkie opcje podmiany plików z oryginalnego DVD z Vistą są ciężkie do przeprowadzenia.

    Dr.WEB CureIt! z CD nie chodzi, wyświetla Cannot find boot device (oczywiście na stacjonarnym PC uruchamia się prawidłowo).

    Po uruchomieniu z live Xp udalo się zrobić logi OTL i Gmer.
    Mbam tak uruchomiony mógł zrobić tylko pełny skan wskazanych partycji HDD, log
    ( pliki na E zawsze takie były ;-) )

    Proszę o pomoc.

    PS. Udało się w awaryjnym usruchomić Dr.WEB CureIt! skanuje na razie pokazał:
    Trojan.Starter.1695 w kilku plikach

    0 23
  • Pomocny post
    #2 23 Sie 2011 17:57
    Kolobos
    Spec od komputerów

    Zostawilem sobie Ciebie na koniec, jak widzisz ilosc watkow w ostatnich dniach jest ogromna, a wszystko przez infekcje z FB.

    Odinstaluj:
    DAEMON Tools Toolbar

    Java do aktualizacji.

    Wykonaj skrypt:

    :OTL
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O3 - HKU\S-1-5-21-4182805757-1900050420-967708891-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
    O3 - HKU\S-1-5-21-4182805757-1900050420-967708891-1000\..\Toolbar\WebBrowser: (Grab Pro) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\IEPro\IEProRecorder.dll ()
    O3 - HKU\S-1-5-21-4182805757-1900050420-967708891-1001\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found.
    O3 - HKU\S-1-5-21-4182805757-1900050420-967708891-1001\..\Toolbar\WebBrowser: (no name) - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - No CLSID value found.
    [2011-08-22 12:43:12 | 000,000,000 | ---- | M] () -- C:\Windows\3203397148
    @Alternate Data Stream - 816 bytes -> C:\Windows\3203397148:3809022017.exe

    :Commands
    [emptytemp]

    Po wykonaniu daj nowy log.

    Daj tez logi z MbrCheck oraz TDSSKiller:
    http://ad13.geekstogo.com/MBRCheck.exe
    http://support.kaspersky.com/viruses/solutions?qid=208280684
    Nic w nich nie usuwaj!

    0
  • #3 24 Sie 2011 12:25
    sred
    Poziom 18  

    Bardzo dziękuję.

    Skrypt zaaplikowany w awaryjnym, bo w normalnym po chwili od zalogowania BSOD 0x00000A chyba coś za dużo DRWeb usunął...

    Nowe logi w załączeniu.
    MBR check napisał tylko:
    Found non standard or infected MBR
    TDDS: nic nie znalazł : not found

    0
  • #4 24 Sie 2011 12:28
    Kolobos
    Spec od komputerów

    Wpisz w uruchom: netsh winsock reset

    Po resecie napisz co juz dziala, a co dalej nie.

    0
  • #5 24 Sie 2011 12:38
    sred
    Poziom 18  

    Wpisane, komunikat że OK i restart.
    Po restarcie zrobiłem logowanie normalne na użytkownika, wszystko zmulone a po ok 1 minucie BSOD 0x00000A (IRQ not less...)
    Z tego co zobaczyłem przez 1 min, Gdata dalej nie startuje, internet nie działa.
    Robię ponowny restart do awaryjnego z obsługą sieci.

    0
  • #6 24 Sie 2011 12:45
    Kolobos
    Spec od komputerów

    Uzyj bluescreenview lub debugger'a i zobacz jaki sterownik powoduje blad.

    0
  • #7 24 Sie 2011 12:59
    sred
    Poziom 18  

    Zaraz będę robić.

    Jest mały sukces w awaryjnym normalnie uruchomiłem MBAM (znalazł trochę infekcji, sky toolbar itp) log w zał.
    Kolejny skan MBAM po restarcie już nic nie wykazał.

    W normalnym jest komunikat : Moto Helper Service przestał działać (może to on jest uszkodzony i robi BSOD) szuka rozwiązania i po chwili BSOD 0A.

    Sieć nie działa, tzn włącza się w awaryjnym: LAN i wifi ale tyko wysyła pakiety, odebranych 0.

    0
  • #8 24 Sie 2011 13:16
    sred
    Poziom 18  

    Mam nadzieję, że o to chodzi:
    odczytane z bluescreenview (we wszystkich .dmp jest to samo)
    caused by driver: raspptp.sys (~62kb)
    BSOD 0x00000a

    Znalazłem starszą wersję raspptp.sys na HDD (inny Hash (~60kb) spróbuję podmienić.
    Chyba się udało nie resetuje sie już 10 minut.. ;-)

    Teraz odinstalowuję Gdata2010 i spróbuję nową instalację 2011.

    Z netem dalej problem = brak. :cry:

    0
  • #9 24 Sie 2011 14:13
    Kolobos
    Spec od komputerów

    Daj log z combofix. To chyba bedzie najlepsze wyjscie w tym przypadku.

    0
  • #10 24 Sie 2011 14:14
    sred
    Poziom 18  

    A może ponownie spróbować przywracania?
    Gdata2010 odinstalowana, MotoHelperService wyłączone w usługach.

    Sciągnę na pena Combo.

    0
  • #11 24 Sie 2011 14:16
    Kolobos
    Spec od komputerów

    To raczej nic nie da skoro wczesniej nie przywrocilo.

    Problemem jest:
    O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000024 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000027 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000028 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000030 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000031 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000032 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000033 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000034 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000035 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000036 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000037 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000038 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000039 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000040 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000041 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000042 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000043 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000044 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000045 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000046 - File not found
    O10 - Protocol_Catalog9\Catalog_Entries\000000000047 - File not found

    Combofix powinien chociaz czesc naprawic.

    0
  • #12 24 Sie 2011 14:19
    sred
    Poziom 18  

    OK. Pobrałem Combo.
    Wykrył zero rootkit w tcpip i teraz mam ekran (od ok 5min):
    Rootkit is detected
    Be patient as this may take some moments.

    Już sam przeszedł dalej i poprosił o restart.

    0
  • #14 25 Sie 2011 06:41
    sred
    Poziom 18  

    Wyświetlił okienko z komunikatem, że utworzył log na C: i zamknie zaraz okno, ale nie zdążył, wystąpił BSOD 0x0000050 w catchme.sys (a przed Combo nie było już BSOD-ów :cry: )

    I niestety logu na C: nie utworzył.

    Po uruchomieniu systemu i zalogowaniu, system uruchamia się niby OK, ale:
    Sieć po DHCP nie działa (Trwa identyfikowanie... , pakiety wysłane xx, odebrane 0).

    Wpisałem ręcznie IP, Bramę i DNS i mam LAN (widzę komputery w otoczeniu sieciowym i otwieram ich pliki) ale bez internetu (Dostęp: tylko lokalne).
    Każda zmiana DHCP/stałe IP wymaga teraz restartu.

    Narzędzie diagnostyka sieci zgłasza, klient DHCP jest nieuruchomiony, próbuje włączyć ale nic z tego.
    W usługach jest tryb uruchomienia: automatyczny ale stan: Zatrzymano.
    Po naciśnięciu uruchom, okienko: System nie może uruchomić usługi ...
    Błąd 1068: uruchomienie usługi zależności lub grupy nie powiodło się.

    Drukarki znikły, dodać się nie da:
    nie można otworzyć Kreatora dodawania drukarki. Usługa bufora wydruku nie jest uruchomiona.

    0
  • Pomocny post
    #15 25 Sie 2011 08:32
    Kolobos
    Spec od komputerów

    Sprobuj jeszcze raz uruchomic combofix.

    0
  • Pomocny post
    #17 25 Sie 2011 09:48
    Kolobos
    Spec od komputerów

    Uruchom: sfc /scannow

    Dalej nie dziala bufor i dhcp?

    0
  • #18 25 Sie 2011 10:10
    sred
    Poziom 18  

    Po SFC i restarcie działa !! ;-) jest internet przez Kabel i WiFI.
    Drukarki drukują.


    Można już instalować Antywira? Czy jeszcze coś zrobić?

    0
  • Pomocny post
    #19 25 Sie 2011 10:35
    Kolobos
    Spec od komputerów

    Tak, mozesz juz instalowac antywirusa.

    Przy okazji daj w zalaczniku plik: c:\windows\logs\cbs\cbs.log

    0
  • #20 25 Sie 2011 11:01
    sred
    Poziom 18  

    Odmowa dostępu, nawet unlocker nie pomaga.
    Skopiuję spod live XP.

    Jeszcze pytanie, jak usunąć to uszkodzone MotoHelper (C:ProgramFiles\Motorola\MotoHelper), usługę wyłączyłem ale chciałbym pozbyć się całkiem.

    0
  • #21 25 Sie 2011 20:48
    Kolobos
    Spec od komputerów

    Nie da sie odinstalowac? Jezeli nie to zostaw jak jest, po wylaczeniu uslugi powinno byc ok.

    0
  • #22 26 Sie 2011 07:37
    sred
    Poziom 18  

    Nie ma wcale opcji odinstaluj. ;-(

    Co to była za infekcja?

    Dziękuję za całokształt pomocy.

    0
  • #23 26 Sie 2011 16:19
    Kolobos
    Spec od komputerów

    Nie wiem, ale sfc naprawilo te dwa pliki:
    Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:22{11}]"raspptp.sys" from store
    Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:14{7}]"afd.sys" from store

    No to zostaw jak jest, wylaczenie uslugi wystarczy.

    0
  • #24 27 Sie 2011 10:29
    sred
    Poziom 18  

    Dzięki wielkie,
    za pomoc i wyjaśnienia. :D

    0