Nie mogę nic uruchomić

Pyra · 27 Wrzesień 2009 20:45

Witam

Dopiero co zrobiłem formata, udało mi się zainstalować tylko kerio. Nic więcej nie chce się zainstalować, co chwila wyskakują jakieś błędy (screeny niżej), ostrzeżenia o ataku, foldery się nie otwierają. OCB ?

Logfile of HijackThis v1.99.1 Scan saved at 22:38:49, on 2009-09-27 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Program Files\Sunbelt Software\Personal Firewall\assist.exe D:\Programy\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip…{227078A4-821A-4754-B7E5-FAD7953B951D}: NameServer = 195.238.168.2,213.25.159.2 O17 - HKLM\System\CS1\Services\Tcpip…{227078A4-821A-4754-B7E5-FAD7953B951D}: NameServer = 195.238.168.2,213.25.159.2 O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

na ostatnim screenie sa pokazane rzeczy ktore same mi sie tworza na partycji, co to w ogole jest ?

ciemnowidz · 28 Wrzesień 2009 05:04

Starszych nie było?

AdAware pokazuje Sality, zobaczymy ile w tym prawdy. Co zmusiło Cię do formatu, może infekcja na wykonywalnych?

Od razu stosuj tutaj ComboFix

Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.

Logi wklej na wklej.to a tutaj tylko link do wklejki.

jessica · 28 Wrzesień 2009 05:13

Nie używałeś programu “GHOST” do odtwarzania Systemu?

Sądząc po dwóch pierwszych fotkach to może być wirus zarażający wszystkie “.exe”, jest to prawdopodobne tylko w przypadku, gdy przed sformatowaniem dysku zgrywałeś coś na CD, i potem wgrałeś ponownie.

W takim przypadku użyj >Dr. Web CureIt!

Napisz, co wykrył.

jessi

ciemnowidz · 28 Wrzesień 2009 07:21

W tym wypadku ghost.bat to najprawdopodobniej pochodna infekcji. Widziałem już go na komputerze z Virutem. Skoro był format a jeśli jest to infekcja na wykonywalnych to najlepszy byłby bootowaly Dr.WEB - kasujesz co znajdzie i instalujesz system od nowa. Jednak wklej log z ComboFix, dorzuć też z GMER, bo na razie trudno coś powiedzieć.

Wklej też zawartość pliku Ghost.bat (PPM na nim => Edytuj)

Agaton · 28 Wrzesień 2009 07:30

Pyra ,

Proszę poprawić pisownię w tytule tematu i w opisie problemu. W celu korekty swojego posta proszę skorzystać z przycisku Edytuj przy poście otwierającym temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

Pyra · 28 Wrzesień 2009 11:57

Witam,

jakieś 2-3tyg temu wrzuciłem tu loga. Diagnoza była taka, że komp był mocno zawirusowany. Dostałem instrukcje co i jak zrobić, ale była ona nie do wykonania bo co jakiś programy kończył skanować to wywalało bluescreeny i był reset, większość rzeczy się nie otwierała.

Odłączyłem wtyczkę od neta, zrobiłem formata, pierwsze co zainstalowałem to kerio i dopiero potem resztę. Do formatu poszły wszystkie partycje. Jedyne co było używane przed i po, to pendrive którego uprzednio też sformatowałem.

Po przeskanowaniu ad-aware jest trochę lepiej, co nieco mogę już zainstalować ale nie wszystko.

Wieczorem wrzucę logi.

– Dodane 28.09.2009 (Pn) 22:10 –

mało jest na forum z braku czasu, kiedyś wrzucało się z tego więc dałem z czego miałem.

Log z ComboFix’a:

http://wklej.to/NiOM

Nie

Dodatkowo od czasu do czasu wywala bluescreena:

ten “Dr. Web CureIt!” nie chce mi się uruchomić.

Log z Gmera:

http://wklej.to/CYFc

Komputer chodzi coraz gorzej, coraz wolniej, staje się bardziej zamulony.

Non stop wyskakują takie ostrzeżenia (i od innych programów, Mm czy ad-aware)

jessica · 28 Wrzesień 2009 21:28

Logi są czyste - co było szkodliwego, to ComboFix już usunął.

Teraz usuń ręcznie C:\Qoobox.

EDIT:

A co jest z tym “Dr.Web”? Jaki komunikat wyskakuje?

jessi

Pyra · 28 Wrzesień 2009 21:47

nie, klikam na niego, obok kursora myszki pokazuje sie klepsydra, po chwili znika i nic się nie dzieje.

Nod pokazuje mi ze mam prawie 100 tys. zainfekowanych plików i wywala komunikat że w każdym programie siedzi jakiś trojan na s…

ciemnowidz · 29 Wrzesień 2009 04:52

Trojan na S w każdym pliku sugeruje infekcję wykonywalnych. W tym wypadku zastosuj bootowalny Dr.WEB LiveCD. Musisz go pobrać i nagrać na nie-zainfekowanym komputerze, leczysz wszystko co znajdzie, resztę usuwasz. Potem może być konieczna ponowna instalacja systemu. Przed użyciem antywirusa wyłącz przywracanie systemu.

Pyra · 29 Wrzesień 2009 10:14

a format od razu nie załatwi sprawy?

ciemnowidz · 29 Wrzesień 2009 11:04

Format załatwi, tyle, że tym razem wykonaj go z poziomu konsoli odzyskiwania. Formatujesz w taki sposób wszystkie partycje, instalujesz świeży system. Zaraz potem pobierz i uruchom FlashDisinfector

Następnie podłącz pendrive, PPM na nim => Formatuj.

Potem wklej logi z OTL, GMER i System Repair Engineer

Pyra · 29 Wrzesień 2009 11:37

Formatuje, pobieram program z neta, on coś tam skanuje, ściągam programy podane przez Ciebie i daje logi ?

Tylko teraz tak:

jak zrobić taki format przez konsole odzyskiwania ? bo zawsze botowałem kompa z CD i jazda.
zaraz po formacie nic nie instalować (firewall, antywirus) tylko te programy i po robić logi. Jak będzie wszystko ok to wtedy dopiero instalować sterowniki i inne programy?

ciemnowidz · 29 Wrzesień 2009 13:25

FlashDisinfector wyłączy Ci autoodtwarzanie dzięki czemu po podłączeniu pendrive’a nie zostaniesz od razu zainfekowany (po zastosowaniu programu => restart).

Wchodzisz w konsolę odzyskiwania

http://www.adam749.eu/index.php?id=konsola

Potem wpisujesz komendy

Za x wpisujesz literę partycji. Resztę robisz tak jak napisałeś.

Pyra · 5 Październik 2009 16:16

http://wklej.to/uXDI HijackThis

http://wklej.to/N2xR Silent…

komp po formacie dalej zamulony… objawy podobne…

A_ExtereY · 5 Październik 2009 16:28

Daj logi o które prosił @ciemnowidz…

Pyra · 5 Październik 2009 17:46

http://wklej.to/MhN3

http://wklej.to/NGsN

http://wklej.to/1v0q

ciemnowidz · 5 Październik 2009 18:12

Znasz to? Sam to instalowałeś?

Pyra · 5 Październik 2009 18:32

tak, to taki program który usuwa niepotrzebne opcje jak się kliknie na cokolwiek prawym przyciskiem myszy

ciemnowidz · 6 Październik 2009 04:44

No to nic tutaj nie ma. Zresztą po całkowitym formacie nie powinno.