Witam, mam spory problem z trojanem TR/Crypt.XPACK.Gen, który wyczyścił mi menedżer urządzeń i pozmieniał ścieżki dostępu w usługach przez co nie mam sterowników do niczego i niewiele jestem w stanie zrobić, nawet neta nie mam, ale od początku.
http://www.fotosik.pl/pokaz_obrazek/1e1 … 0f1ae.html -
rzut oka na procesy z wczoraj, kiedy wszystko grało. Od tego czasu zainstalowałem program Notebook Hardware Control, Super C, Movavi Video Converter 6 i All Video Spliter.
Wszystko zaczęło się od ściągnięcia keygena do tego ostatniego ze strony http://www.keys.ws, który przeskanowałem avirą, a po braku alarmu zezwoliłem w Comodo Firewall na dostęp do svchost.exe, po czym avira wykrył wirusa w katalogu temp (VRT1AB.tmp), którego nie potrafił usunąć.
Ja też nie więc zrestartowałem system. Usunąłem plik i instalkę lecz okazało się że nie mam sterowników, Comodo wymagał fixa a w avirze nie da włączyć się funkcji guard i nie mam dostępu do uruchomienia usług, gdyż wyświetla się to –
http://www.fotosik.pl/pokaz_obrazek/d54 … 47e52.html (i to tylko w awaryjnym):
http://www.fotosik.pl/pokaz_obrazek/a50 … 27553.html - rzut oka na procesy,
logi zdarzeń z comodo - http://www.wklejto.pl/28219
log i skan aviry po zawirusowaniu - http://www.wklejto.pl/28220
Potem stwierdziłem że nie mam nic do stracenia i przywróciłem trojana i pozwoliłem mu działać - otworzył kilkanście procesów svchost, po czym wszystkie się zamknęły, a plik z wirusem zniknął! (moja wina, moja wina, moja BWW)
Zainstalowałem Spyboot, trzy razy trzeba go było uruchomić, zanim wszystko wyczyścił, lecz żaden z plików nie był “tym moim.”
Zaczęły pojawiać się takie błędy przy logowaniu (którego to panelu nie miałem nigdy włączonego):
spoolsv.exe - błąd aplikacji pamięć nie może być ‘‘written’’
StarWindServiceAE.exe - błąd aplikacji pamięć nie może być “written”
a potem jeszcze
mpnotify.exe - błąd aplikacji pamięć nie może być “written”
a po SDFixie, który nie dał się dokończyć w normalnym trybie i znów trzeba było w awaryjnym uruchomić, w normalnym trybie pokazuje się tylko tapeta a uruchomienie explorer.exe skutkuje komunikatem - zapobieganie wykonywaniu danych, system Windows zamknął ten program (ilość procesów 16) i trzeba znów wchodzić w awaryjny, żeby cokolwiek zrobić.
log SDFixa - http://www.wklejto.pl/28222
Comodo - http://www.wklejto.pl/28223
Aviry (uruchamianych z wiersza poleceń) - http://www.wklejto.pl/28224
I mam za swoje, avira wykryła wirusy nawet w SDFixie, tylko format został?
Po combofix pojawia się:
spoolsv.exe - błąd aplikacji pamięć nie może być ‘‘written’’
i jeszcze isass.exe - błąd systemu nie odnaleziono nazwy obiektu
oraz HelpSvc.exe - błąd aplikacji pamięć nie może być ‘‘written’’
StarWindServiceAE.exe - błąd aplikacji pamięć nie może być “written”
mpnotify.exe - błąd aplikacji pamięć nie może być “written”
system zrestartował się i teraz nawet w awaryjnym muszę ctrl+alt+delete, żeby coś zrobić, a log był w c:\combofix\ zamiast c:\ i w dodatku jakby niezapisany choć pokasowało pliki tak skutecznie, że nawet notatnika nie mogę otworzyć:
w awaryjnym trybie log z hijacka - http://www.wklejto.pl/28226
Mam wrażenie, że co usiłuję coś zrobić, to jest coraz gorzej, przedtem przynajmniej jakoś się system uruchamiał, a teraz nawet nie wiem, czy da się z niego jakieś pliki odzyskać, po całej nocy ślęczenia jestem zrozpaczony…
Jest jakiś sposób choć, żeby przenieść niezawirusowane pliki (które się same replikują bo avira guard jest na disable i nie można tego zmnienić – stąd drugi log jest kilka razy większy) :((