1q2w3e4r
(1q2w3e4r)
16 Grudzień 2012 14:51
#21
Winą okazała się chyba źle nagrana płytka. Nagrałem nową i uruchomiła się bez błędów.
Raport OTL:
http://wklej.org/id/898776/
Nie ma takiego katalogu C:\Windows\Minidump\
Ten system z płytki nadal mam uruchomiony. Może będzie potrzebny. Pobrałem wersję z obsługą sieci więc internet działa.
Co mam teraz zrobić?
W okno Własne opcje skanowania / skrypt w OTLPE wklej:
:OTL O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - File not found DRV - File not found [Kernel | On_Demand] – -- (amsint32) SRV - [2012/12/15 13:44:02 | 000,711,112 | ---- | M] () [Auto] – C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe – (vToolbarUpdater13.2.0) SRV - [2012/10/30 17:50:59 | 000,044,808 | ---- | M] (AVAST Software) [Disabled] – C:\Program Files\AVAST Software\Avast\AvastSvc.exe – (avast! Antivirus) DRV - [2012/12/15 13:44:02 | 000,026,984 | ---- | M] (AVG Technologies) [Kernel | System] – C:\WINDOWS\system32\drivers\avgtpx86.sys – (avgtp) DRV - [2012/10/30 17:51:58 | 000,738,504 | ---- | M] (AVAST Software) [File_System | System] – C:\WINDOWS\System32\drivers\aswSnx.sys – (aswSnx) DRV - [2012/10/30 17:51:58 | 000,361,032 | ---- | M] (AVAST Software) [Kernel | Disabled] – C:\WINDOWS\System32\drivers\aswSP.sys – (aswSP) DRV - [2012/10/30 17:51:58 | 000,054,232 | ---- | M] (AVAST Software) [Kernel | Disabled] – C:\WINDOWS\System32\drivers\aswTdi.sys – (aswTdi) DRV - [2012/10/30 17:51:58 | 000,035,928 | ---- | M] (AVAST Software) [Kernel | Disabled] – C:\WINDOWS\System32\drivers\aswRdr.sys – (AswRdr) DRV - [2012/10/30 17:51:57 | 000,097,608 | ---- | M] (AVAST Software) [File_System | Disabled] – C:\WINDOWS\System32\drivers\aswmon2.sys – (aswMon2) DRV - [2012/10/30 17:51:56 | 000,025,256 | ---- | M] (AVAST Software) [Kernel | System] – C:\WINDOWS\System32\drivers\aavmker4.sys – (Aavmker4) DRV - [2012/10/30 17:51:56 | 000,021,256 | ---- | M] (AVAST Software) [File_System | Disabled] – C:\WINDOWS\System32\drivers\aswFsBlk.sys – (aswFsBlk) O4 - HKLM…\Run: [avast] C:\Program Files\AVAST Software\Avast\avastUI.exe (AVAST Software) O4 - HKLM…\Run: [ROC_ROC_NT] File not found O4 - HKLM…\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe () O4 - HKLM…\Run: [WOOTASKBARICON] File not found O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\pcperf~1\23811~1.154{61d8b~1\pcpmngr.dll) - File not found O32 - AutoRun File - [2012/12/15 08:02:03 | 000,000,228 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2012/10/02 08:57:03 | 000,000,280 | RHS- | M] () - D:\autorun.inf – [NTFS] :Files C:\Program Files\AVAST Software C:\Program Files\AVG Secure Search C:\TDSSKiller_Quarantine C:\Documents and Settings\All Users\Menu Start\Programy\avast! Free Antivirus C:\hmsfm.exe C:\hctj.exe D:\hmsfm.exe D:\hctj.exe C:\Documents and Settings\All Users\Pulpit\avast! Free Antivirus.lnk C:\Documents and Settings\Cycu\Dane aplikacji*.exe :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania pokaż na forum.
Następnie ponownie uruchamiasz OTLPE klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
1q2w3e4r
(1q2w3e4r)
16 Grudzień 2012 15:17
#23
Po wykonaniu skryptu:
http://wklej.org/id/898794/
Po uruchomieniu komputera (bardzo długo uruchamia się ten system z płytki bo od razu bym ten log wrzucił):
http://wklej.org/id/898806/
W okno Własne opcje skanowania / skrypt w OTLPE wklej:
:OTL O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - File not found O3 - HKLM…\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - File not found O3 - HKLM…\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - File not found O4 - HKLM…\RunOnce: [*aswClear] C:\Documents and Settings\Cycu\Pulpit\aswclear.exe (AVAST Software) O7 - HKU\Cycu_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Program Files\install\server.exe [2012/10/27 02:45:06 | 000,000,000 | —D | M] – C:\Documents and Settings\Cycu\Dane aplikacji\AVG Secure Search [2012/08/27 14:10:06 | 000,000,000 | —D | M] – C:\Documents and Settings\Cycu\Dane aplikacji\Babylon [2012/12/15 03:52:43 | 000,000,000 | —D | M] – C:\Documents and Settings\Cycu\Dane aplikacji\BabylonToolbar [2012/12/15 05:07:43 | 000,000,000 | —D | M] – C:\Documents and Settings\Cycu\Dane aplikacji\Funmoods [2012/08/28 13:20:11 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\Ask [2012/12/15 05:45:10 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software [2012/12/15 13:44:14 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search [2012/08/27 14:10:06 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\Babylon :Files C:\Documents and Settings\Cycu\Doctor Web C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\WINDOWS\System32\drivers\aswmon.sys C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\WINDOWS\avastSS.scr C:\WINDOWS\System32\aswBoot.exe C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\Cycu\Dane aplikacji\Funmoods C:\WINDOWS\tasks\avast! Emergency Update.job C:\Documents and Settings\Cycu\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial_sf.crx C:\Documents and Settings\Cycu\Ustawienia lokalne\Dane aplikacji\funmoods.crx :Commands [emptytemp]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania pokaż na forum.
Spróbuj normalnie uruchomić system.
1q2w3e4r
(1q2w3e4r)
16 Grudzień 2012 15:34
#25
Logo po wykonaniu skryptu: http://wklej.org/id/898820/
System niestety nie uruchamia się normalnie. Nadaj ukazuje się ekran ładowania, a następie restart wtedy gdy ma się już ukazać pulpit. Teraz nie widzę aby to był niebieski ekran.
Wszystko na początku szło po dobrej myśli, a problem z uruchomieniem spowodował uruchomienie pliku: http://www.avast.com/uninstall-utility
Co mam dalej robić?
Usuń z dysku folder C:_OTL
Do sprawdzenia
Niektóre typy oprogramowania zdalnego sterowania bardzo często zastępują domyślny składnik GINA DLL (Msgina.dll) systemu Windows. Dlatego warto w pierwszym kroku sprawdzić, czy w systemie występuje składnik GINA DLL innej firmy. W tym celu należy zlokalizować następujący klucz rejestru: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Value = GinaDLL REG_SZ Jeśli występuje wartość Gina DLL i jest ona równa czemukolwiek innemu niż Msgina.dll, to prawdopodobnie produkt innej firmy zmienił tę wartość. Jeśli ta wartość nie jest obecna, to system używa pliku Msgina.dll jako domyślnego składnika GINA DLL.
lub wykonaj ponowną instalacje nakładkową XP z płytki
1q2w3e4r
(1q2w3e4r)
16 Grudzień 2012 16:13
#27
Usunałem: C:_OTL
Nie ma GINA DLL
Instalację nakładkową wykonywałem zaraz po pojawieniu się problemu uruchomienia systemu, która nic nie pomogła.
Co mam dalej zrobić?
Ale wtedy system był jeszcze zainfekowany, dlatego proszę o powtórkę. Chyba że Cię źle zrozumiałem?
1q2w3e4r
(1q2w3e4r)
16 Grudzień 2012 16:26
#29
Sprawdzanie rejestru robiłem w tym systemie z płytki czyli z uruchom => regedit więc to pewnie było sprawdzanie rejestru tego systemu z CD, a nie tego na dysku?
Trudno wykonuje już instalację nakładkową. Za chwilę będzie dostępny rezultat.
P.S jest może jakiś programik, który będzie mnie informował dźwiękiem w systemie o odpowiedzi w tym temacie? Chyba, ze to forum ma jakies powiadomienia dźwiękowe?
Teraz co jakiś czas odświeżam po prostu ten wątek.
– Dodane 16.12.2012 (N) 17:34 –
Niestety instalacja nakładkowa nie pomogła. Nadal system nie chce się uruchomić (uruchamia się w kółko).
– Dodane 16.12.2012 (N) 17:36 –
A może by tak naprawić “tryb awaryjny” z tego systemy z CD? Jeśli da się tak zrobić proszę o instrukcję.
Hm, myślałem o tym chociaż to chyba nie to, ale możesz spróbować.
Pobierz Sality_RegKeys.zip http://support.kaspersky.com/1874 Wypakuj plik SafeBootWinXP.reg Dodaj plik do rejestru. Restart komputera i spróbuj uruchomić go w trybie awaryjnym http://support.kaspersky.com/pl/faq/?qid=193238595
1q2w3e4r
(1q2w3e4r)
16 Grudzień 2012 16:50
#31
To wszystko mam wykonać z tego systemu z płyty? [http://www.fixitpc.pl/topic/4414-diagno … entry32546](http://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/page p 32551#entry32546)
Czy to będzie modyfikacja systemu tego uruchomionego z płyty? Czy tego, który jest na dysku? Bo jeśli tego z CD to nie wiem jak zrobić te zmiany na tym na dysku.
Tak wykonujesz to z poziomu płytki. Zobaczysz po efektach.
1q2w3e4r
(1q2w3e4r)
16 Grudzień 2012 17:08
#33
Wprowadziłem więc dane do rejestru z tego pliku. Niestety nadal do samo, tryb awaryjny nie chce się uruchomić
Powiem szczerze, że już wymiękam po całym dniu siedzenia nad tym komputerem.
A tak szło już dobrze z usuwaniem tych wirusów.
Przy takich infekcjach mnie to wcale nie dziwi. Tutaj mieliśmy lub nadal mamy Sality, który infekuje wszystkie pliki wykonywalne itp, rootkit Necrus Ja zrobiłbym to tak:
Przy użyciu OTLPE skopiowałby, z dysku potrzebne dane itp (trzeba je później przeskanować) Następnie format całego dysku ponieważ była a może nadal jest infekcja Sality (wszystkich partycji, pendrive również) i postawiłbym system na nowo. Instalki, sterowniki pobieramy na nowo z internetu.
1q2w3e4r
(1q2w3e4r)
16 Grudzień 2012 17:16
#35
Format to już ostateczność ponieważ ja nie użytkowałem tego komputera i nie wiem co dokładnie skopiować.
Czy jest może jakaś DOBRA płytka naprawcza Win XP ?
Mam wrażenie że Ty po prostu tej płytki Windows XP nie masz.
Z poziomu OTLPE skopiuj katalog C:\WINDOWS\system32\ config , spakuj go, wrzuć na jakiś hosting i podaj linka.
1q2w3e4r
(1q2w3e4r)
17 Grudzień 2012 08:52
#37
Mam płytkę Win XP profesional sp2. Mogę zrobić zdjęcie jeśli trzeba.
Zrobiłem już format całego dysku i zainstalowałem nowy system. Potrzebny jest teraz raport OTL aby upewnić się, że nie ma żadnych wirusów?
Nie nie trzeba żadnych zdjęć.
Wczoraj niestety nie mogłem już dłużej siedzieć na forum. Cóż, tak proszę o nowe raporty OTL, dokonam analizy jak tylko będę w stanie.
1q2w3e4r
(1q2w3e4r)
17 Grudzień 2012 09:34
#39
Szkoda mi tylko tej walki nad tamtym systemem bo format można było zrobić od razu.
Postawiłem tam Windows 7 (na 2gb ramu daje radę), zainstalowałem kilka programów oraz avasta i aktywowałem darmową licencję.
Podpiąłem też pendrive, na które zgrałem potrzebne pliki ze starego systemu ale zanim zgrałem to z poziomu płytki OTLPE zrobiłem format tych pendrive. Skanowałem je avastem i na jednym nic nie wykrył, a na drugim w plikach, które kopiowałem był plik:
IMG_119000834723612.JPG.www.facebook.com i wirus Win32:Malawe-gen. Avast przeniósł go na razie do kwarantanny. Mam go z niej usunąć?
Oto raport z OTL:
OTL: http://wklej.org/id/899519/
Ext: http://wklej.org/id/899520/
Czasem tak jest. Byliśmy blisko, w dziennikach byłaby informacja na ten temat, ale to już historia. Powodem tego co się stało mogą być błędy na dysku. Uruchom narzędzie chkdsk na odpowiednich woluminach
W raportach nie widać infekcji.
Skanowałem je avastem i na jednym nic nie wykrył, a na drugim w plikach, które kopiowałem był plik: IMG_119000834723612.JPG.www.facebook.com i wirus Win32:Malawe-gen. Avast przeniósł go na razie do kwarantanny. Mam go z niej usunąć?
Tak