Coś nie działa

[kkresio]

Mam następujący problem!
Pobrałem z neta plik z rozszerzeniem .scr - teoretycznie miał być to odcinek serialu. Kliknąłem 2 razy, zmyliła mnie ikonka programu VLC (którego de facto na swoim netbooku nie mam zainstalowanego) i nic się nie stało.

Skutki są następujące:
- wpisując w wyszukiwarkę np. ".scr" następuje automatyczne zamknięcie przeglądarki (FF)
- nie mogę zainstalować żadnego programu antywirusowego, ani wejść na jakąkolwiek stronę z której jakiś skaner mógłbym pobrać. Jedyne co udało mi się włączyć to SalityKiller - który nic nie wykrył.

Moje pytanie jest następujące, jak sprawdzić co dolega mojemu netbookowi? Skoro nie mogę zainstalować w żaden sposób skanera.

Takie informacje ogólne to: System XP, nie mam napędu optycznego - więc jakieś skanery na płytach i bootowanie z płyty przy uruchomieniu - odpada, chyba że podacie mi sposób na zrobienie bootowalnego PenDrive'a z antywirusem.

Czekam na odpowiedź.

edit: to forum na zainfekowanym kompie też nie działa - od razu FireFox się wyłącza

[XMan]

Sprawdzałeś:
1. Przywracanie systemu.
2. Przywracanie systemu w trybie awaryjnym.

[kkresio]

Z tym może być problem, bo nie pamiętam żebym robił RecoveryPointa.
Uruchamiałem z ostatnią działającą konfiguracją i problem już był. Więc nie wiem czy to zadziała.

Ale dzięki za sugestię, zrobię to jak tylko skończę kopiować pliki (powoli przymierzam się do formata)

edit: w trybie normalnym przywracanie systemu nie włącza się wcale
w trybie awaryjnym włącza się - ale nie mogę zmienić na inną datę (albo nie mam punktu odzyskiwania, albo nie wiem)

[kominekl]

w trybie awaryjnym włącza się - ale nie mogę zmienić na inną datę (albo nie mam punktu odzyskiwania, albo nie wiem)

Yhym. Podaj wszelkie dane (logi).

[kkresio]

Problem udało mi się rozwiązać, miałem jakieś trzy rootkity - nie pamiętam nazw a nie wiem jak wyciągnąć logi z Avasta.

Jak już wspomniałem wirus uniemożliwiał mi zainstalowanie jakiegokolwiek programu antywirusowego - i tak było, jednakże avasta udało się zainstalować. Nie mogłem go jednak włączyć, żeby zrobić pełny skan. Kliknąłem więc prawym na dysku C:// i włączyłem SKANUJ - zadziałało, po kilku minutach znalazł 3 zagrożenia, po usunięciu wirusów Firefox zaczął działać normalnie, mogłem wchodzić na strony ze skanerami online, sprawdzić co znaczy skrót .scr i mogłem wejść też na to forum.
Uznałem więc, że problem został rozwiązany. Avast teraz cały czas włączony!!


Jak ktoś powie mi w jaki sposób mogę uzyskać informacje na temat tego co się działo w kompie, to z chęcią to zrobię i udostępnię, dla wiadomości ogółu.

Pozdrawiam i dzięki za zaangażowanie

[XMan]

Problem udało mi się rozwiązać, miałem jakieś trzy rootkity

Miałeś infekcję i możesz mieć za chwilę ponownie problem ponieważ to może być niewystarczające,
możesz mieć jeszcze więcej ukrytych rootkitów oraz innych wirusów.
Mogą jeszcze być w przywracaniu systemu

Wrzuć logi z:
OTL (OTL.txt + Extras.txt) --> http://www.hotfix.pl/obsluga-programu-otl-a143.htm
TDSSKiller --> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm
Logi wklej na: Dostępne tylko dla zarejestrowanych użytkowników

Dodatkowo podaj log z Autoruns:
http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[kkresio]

OTL uruchamia się, ale po wciśnięciu 'Skanuj' nic się nie dzieje. Czy to Avast może go blokować?

Log z TDSSKiller'a
Dostępne tylko dla zarejestrowanych użytkowników

Log z Autoruns
Dostępne tylko dla zarejestrowanych użytkowników

edit:
Ciapa ze mnie, pasek na którym pokazywały się pliki skanowane były schowane za moim paskiem zadań. Minusy posiadania 10.1" zaraz wrzucę logi z OTL'a

Logi OTL'a:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

O33 - MountPoints2\{a19dc81b-297f-11e2-99af-74f06d1ff89c}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

Z podłączonymi pamięciami przenośnymi użyj USBFix z opcji Deletion, a następnie zaprezentuj utworzony log.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\system32\lekednzy.dll -- (yrqoqtvtx)
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\system32\lekednzy.dll -- (yqpuwrunq)
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\system32\lekednzy.dll -- (cvilaa)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
[2013-01-18 13:23:28 | 000,118,178 | ---- | M] () (No name found) -- C:\Documents and Settings\Kresio\Dane aplikacji\Mozilla\Firefox\Profiles\moq8m0yg.default\extensions\antigameorigin@antigame.de.xpi
[2012-11-16 22:41:17 | 000,587,582 | ---- | M] () (No name found) -- C:\Documents and Settings\Kresio\Dane aplikacji\Mozilla\Firefox\Profiles\moq8m0yg.default\extensions\{1e9a63ef-84ec-49a4-8d6f-2dd9524e90d0}.xpi
[2013-02-15 19:20:55 | 000,817,280 | ---- | M] () (No name found) -- C:\Documents and Settings\Kresio\Dane aplikacji\Mozilla\Firefox\Profiles\moq8m0yg.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012-11-08 00:25:14 | 000,698,867 | ---- | M] () (No name found) -- C:\Documents and Settings\Kresio\Dane aplikacji\Mozilla\Firefox\Profiles\moq8m0yg.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}.xpi
[2013-03-18 22:05:25 | 000,698,764 | ---- | M] () (No name found) -- C:\Documents and Settings\Kresio\Dane aplikacji\Mozilla\Firefox\Profiles\moq8m0yg.default\extensions\{fe272bd1-5f76-4ea4-8501-a05d35d823fc}.xpi
CHR - Extension: BrowoSE2isavve = C:\Documents and Settings\Kresio\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\iadchapaiaenbnacphfbnbilehnapiep\1\
O4 - HKCU..\Run: [Java] %APPDATA%\Microsoft\jushed.exe File not found
O15 - HKCU\..Trusted Domains: mks.com.pl ([www] http in Zaufane witryny)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} Dostępne tylko dla zarejestrowanych użytkowników (MksSkanerOnline Class)
[2013-03-19 16:24:38 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2013-03-18 15:29:42 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2013-03-13 11:38:29 | 000,000,000 | ---D | C] -- C:\Program Files\Optimizer Pro
[2013-03-13 11:38:14 | 000,000,000 | ---D | C] -- C:\Program Files\BrowseToSave
[2013-03-13 11:38:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\BrowoSE2isavve
[2013-03-13 11:37:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
[2013-03-09 14:23:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Kresio\Ustawienia lokalne\Dane aplikacji\Geckofx
@Alternate Data Stream - 132 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:E25BED53

:Files
C:\Documents and Settings\All Users\Dokumenty\avast_free_antivirus_setup.exe
C:\WINDOWS\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + nowe logi z OTL.

[kkresio]

log USBFix:
Dostępne tylko dla zarejestrowanych użytkowników

OTL usuwanie:
Dostępne tylko dla zarejestrowanych użytkowników

ADWCleaner:
Dostępne tylko dla zarejestrowanych użytkowników

nowe logi OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Extras tym razem się nie wyświetlił

[kominekl]

USBFix.

Odinstaluj.

ADWCleaner.

Odinstaluj.

Logi.

Z podłączonymi pamięciami przenośnymi uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error.
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
[2013-03-19 20:23:15 | 905,865,058 | ---- | M] () -- C:\UsbFix_Upload_Me_KRESIU.zip

:Files
RECYCLER /alldrives
C:\TDSSKiller.2.7.22.0_19.03.2013_16.23.28_log.txt
C:\TDSSKiller.2.7.22.0_19.03.2013_16.28.28_log.txt
C:\TDSSKiller.2.7.22.0_19.03.2013_16.30.10_log.txt
C:\TDSSKiller_Quarantine
C:\UsbFix.txt
$RECYCLE.BIN /alldrives

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[kkresio]

usuwanie: Dostępne tylko dla zarejestrowanych użytkowników

nowe logi OTL: Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
[2013-03-19 22:12:21 | 000,817,280 | ---- | M] () (No name found) -- C:\Documents and Settings\Kresio\Dane aplikacji\Mozilla\Firefox\Profiles\moq8m0yg.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013-03-20 22:54:41 | 000,226,606 | ---- | M] () (No name found) -- C:\Documents and Settings\Kresio\Dane aplikacji\Mozilla\Firefox\Profiles\moq8m0yg.default\extensions\gmailwatcher@sonthakit.xpi

:Files
RECYCLER /alldrives
C:\UsbFix

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

[kkresio]

OTL Dostępne tylko dla zarejestrowanych użytkowników
Autoruns Dostępne tylko dla zarejestrowanych użytkowników


zauważyłem, że usunął mi AdBlocka - jest potencjalnie niebezpieczny? bo na pewno pomocny i skuteczny

[kominekl]

zauważyłem, że usunął mi AdBlocka - jest potencjalnie niebezpieczny? bo na pewno pomocny i skuteczny

Nie - to przypadek - reinstaluj.

Autoruns.

W Autoruns odznacz:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

AsusACPIServer
AsusEPCMonitor
AsusTray
IgfxTray
Persistence
RTHDCPL
SynAsusAcpi

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

0

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Toolbar

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\System\CurrentControlSet\Services

AIPS
gusvc
JavaQuickStarterService
Microsoft Office Groove Audit Service
odserv
ose
PDF Architect Helper Service
ServiceLayer
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

igfxcui

Logi.

Następnie dokonaj restartu. Jeśli wszystko będzie OK to usuń w trybie awaryjnym, odznaczone wcześniej wpisy w Autoruns, po czym podaj nowe logi z OTL.

[kkresio]

w jaki sposób je usunąć? w autorunsie?

nowe logi Autoruns: Dostępne tylko dla zarejestrowanych użytkowników