Komputer włacza się i zaraz sam resetuje


(P Lisewski) #1

W trybie awaryjnym jest OK ale w Normalnym komputer zaraz się resetuje... Czy jeśli wrzucę logi z Hijack-a i SilentRuner-a z trubu awaryjnego to wystarczy żeby coś stwierdzić ?? Czy nie ??


(boczi) #2

Skończ zanim zaczniesz

Złączono Posty : 25 Styczeń 2007, 12:49:59

Wrzuć najpierw logi i zobaczymy.


(Joan Sunshine) #3

To po 1. Ponad to:

Zdejmij reset na rzecz BSOD w Panelu sterowania > System > Zaawansowane > Uruchamianie i odzyskiwanie > odptaszyć Automatycznie uruchom ponownie. Jak system wyświetli BSODa, spiszesz z niego dane (kod błędu z nazwą pliku pod spodem) i wrzucisz je tutaj.

Przeczytaj to: KLIK i wklej zawartość pliku minidump :slight_smile:


(P Lisewski) #4

Odznaczenie "ptaszka" nie pomogło mimo to komputer zamknął i uruchomił ponownie system... Logi z Hijacka i Silentrunnrera w trybie awaryjnym wyglądają tak:

Hijack:

Silentrunner:


(adam9870) #5

Usuń plik ręcznie będąc w trybie awaryjnym:

C:\WINDOWS\system32\alsys.exe

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.

Usuń HJT jeśli będą.

Zdebuduj błąd, opis:

http://forum.dobreprogramy.pl/viewtopic ... 327#797327

Po wykonaniu wklej nowe logi.


(P Lisewski) #6

Po tej akcji system "powstał" w trybie normalnym już generuje logi:

Minidump:

Złączono Posty : 25.01.2007 (Czw) 13:46

Czy ten plik:

C:\WINDOWS\system32\alsys.exe

mógł powodować zamykanie się systemu czy mam szukać innej przyczyny ??


(Kozza) #7

Raczej tak :slight_smile: Powinno być już w porządku


(P Lisewski) #8

No i nieststy nie pomogło po kolejnym resecie to samo. Poza tym przy próbie skanowania Skanerem On-line mks-u znalazł pliki których nie może usunąć a po usunięciu ich w trybie awaryjnym po resecie są znowu... Nie mam pojęcia co to za zwid MKS napisał coś takiego:

A nawet Mr. Google nic nie wie na temat tego vira.

Logi też nic za bardzo JUŻ nie wykazują co to za cholerstwo może być ??

Złączono Posty : 25.01.2007 (Czw) 14:08

O okazało się że ten wpis:

znów jest w rejestrze... i znów jest w katalogu...

HiJack wygląda teraz tak...

Złączono Posty : 25.01.2007 (Czw) 14:15

Po usunięciu pliku i wpisów komputer się uruchomił, a po kolejnym resecie znów było to samo -= znaczy automatyczne zamknięcie sie systemu a w Hijack-u i katalogu znów wredny plik alsys.exe...

Wczoraj niechcący usunąłem jeden wpis z Hijacka, ale nie usunąłem pliku do którego sie odwoływał - zrobiłem to w złej kolejności (poprostu) czy ten plik może generować zpowrotem plik alsys.exe ?? I jak go ewentualnie odnaleźć/unieszkodliwić - proszę o pomoc :frowning:


(adam9870) #9

Pozamykaj porty robakom. W tym celu użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

W nowym logu widać:

Plik usuń ręcznie w trybie awaryjnym, a wpisy HJT.

W jakiej lokalizacji MKS znajduje tego szkodnika, o którym wspomniałeś?

W minidumpie nie podoba mi się ten plik:

Według firmy McAfee produkującej programy zabezpieczające na komputery PC jest to szkodnik o nazwie Downloader-BAI!M711 , który ma usługę. Dlatego proszę na wszelki wypadek pokazać dwa logi z Gmer'a przy takich ustawieniach:

  1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

  2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta


(Gutek) #10

wklej logi czekamy, OT KOSZ


(P Lisewski) #11

Porty pozamykałem i WWDC mówi że pod względem portów komp jest bezpieczny. Jeśli chodzi o tego trojana (Trojan.Agent.aim) to generuje pliki w katalogu zalogowanego usera (c:\Documents and Settings\nazwa usera\plik.exe) nazwy plików są mocno losowe typu BBpCK58.exe, d70037c.exe itd.

Log z Gmer'a

Opcja pierwsza:


(adam9870) #12

No i jest rootkit.

W Gmerze w zakładce CMD z zaznaczoną opcją CMD.EXE proszę wkleić:

i kliknąć z prawej strony na Uruchom. Potem cierpliwie poczekać na zniknięcie pulpitu i zrestartowanie komputera.

Możesz przelecieć system http://www.kaspersky.pl/virusscanner.html lub http://www.ewido.net/en/.

Po wykonaniu nowe logi z Gmer'a + dodatkowo możesz z ComboFix.


(P Lisewski) #13

niestety przy próbie zrobienia tego wyskakuje Wystąpił błąd 0xc000034 i w trybie normalnym i awaryjnym... Jakiś pomysł jak to obejść ??


(adam9870) #14

Hmm... kiedy pojawia Ci się ten komunikat? Cóż, spróbujemy ręcznie.

Teraz czynności będziesz wykonywał w Gmerze więc uruchom go, poczekaj chwilkę, kliknij na zakładkę >>> w celu otworzenia pozostałych.

  • w zakładce Usługi skasuj z prawokliku usługę wincom32

  • w zakładce CMD z zaznaczoną opcją CMD.EXE wklej:

  • w zakładce CMD z zaznaczoną opcją REGEDIT.EXE wklej:

  • w zakładce Procesy wybierz Zabij wszystko. Teraz poczekaj cierpliwie aż zniknie pulpit etc.

  • przejdź do zakładki CMD i kliknij Uruchom dla opcji CMD.EXE i REGEDIT.EXE

Potem reset i nowe logi, o które prosiłem.


(P Lisewski) #15

Ręcznie się dało i nawet MKS skasował pliki - robię skan Kasperskym a wrzucam nowe logi z Gmer'a:


(adam9870) #16

Rootkita już nie ma.

Możesz przeskanować ten driver:

na stronie http://virusscan.jotti.org/ lub http://www.virustotal.com/vt/


(P Lisewski) #17

I log z ComboFix-a

Złączono Posty : 26.01.2007 (Pią) 13:16

I log z ComboFix-a

Złączono Posty : 26.01.2007 (Pią) 13:19

Ten plik jest czysty... To zdaje się driver od drukarki Brothera

Ale obie strony steirdzają że plik jest czysty


(adam9870) #18

ComboFix usunął kilka szkodliwych plików ale jeszcze zostały te:

W Gmerze:

  • w zakładce CMD z zaznaczoną opcją CMD.EXE wklej:

  • w zakładce CMD z zaznaczoną opcją REGEDIT.EXE wklej:

  • w zakładce Procesy wybierz Zabij wszystko

  • w zakładce CMD kliknij na Uruchom dla opcji CMD.EXE i REGEDIT.EXE

Potem reset i pokaż nowy log z ComboFixa i Silenta.


(Gutek) #19

Używałeś kiedyś SmitFraudFix? Ponieważ ten plik to pozostałość plus kila innych


(P Lisewski) #20

Jestem bliski poddania się i zrobienia formata :frowning: Po każdym resecie wszystko wraca i jeszcze zamyka mi programy... Dodaje się do uruchamianych exe-ków. Nawet HiJack już ostatnio był zawirusowany i wysypywał system musiałem zassać z netu nowy...

Gmer mi się nie włącza, tzn. włącza i zamyka po około 15-20 sek.

Hijack tak samo

Cholera nie wiem jak to obejść...