Security Tool, zablokowane działanie komputera

Moje logi: http://www.wklejto.pl/63729

http://www.wklejto.pl/63730

Komputer nie działa prawie wcale. W normalnym trybie wyskakuje zrzut pamięci fizycznej. Działa tylko w trybie awaryjnym problem z otwieraniem podstawowych programów. Zainstalowany security tool który bez przerwy daje jakieś komunikaty. Nie mam pojęcia jak go usunąć gdyż sposoby które odnalazłem w google nie przyniosły żadnego rezultatu.

Zabójcza infekcja.

  1. Użyj TDSKiller. http://support.kaspersky.com/viruses/so … =208280684

* Pobierz TDSSKiller i zapisz go na pulpicie.

* Wypakuj zawartośc na pulpit.

Ważne: TDSSKiller.exe musi być zapisany bezpośrednio na pulpicie!

* Wciśnij naraz klawisz z symbolem Windowsa oraz R - pokaże się okienko, do którego wkleisz następującą komendę:

* Gdyby powyższa komenda nie dała rady, zastąp w niej słowo “desktop” słowem “pulpit”.

* jeśli narzędzie zwróci komunikat “Hidden Service detected” wciśnij ENTER, nic innego!

* Po zakończeniu działania na dysku C:\ będzie będzie plik TDSSKiller.txt - pokaż tego loga w swojej odpowiedzi.

  1. Ściągnij plik “userinit.exe”, i umieść go bezpośrednio na C:\

  2. Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system\svchost.exe

c:\windows\system32\mssrv32.exe

C:\WINDOWS\system32\drivers\zspvptmp7.sys

C:\WINDOWS\system32\drivers\zmkgrlhi1.sys

C:\WINDOWS\system32\drivers\zjiuajdf7.sys

C:\WINDOWS\system32\drivers\zckrsfbenajon3.sys

C:\WINDOWS\system32\reader_s.exe

C:\WINDOWS\system32\MSup1.exe

C:\lsass.exe

C:\WINDOWS\system32\mssrv32.exe

C:\WINDOWS\cidrive32.exe

C:\WINDOWS\system32\nmklo.dll

C:\WINDOWS\system32\regedit.exe

C:\WINDOWS\system32\stu2.exe

C:\WINDOWS\ndll.exe

C:\WINDOWS\system32\msxsltsso.dll

C:\WINDOWS\system32\app_dll.dll.1216062.old

C:\WINDOWS\system32\app_dll.dll

C:\Documents and Settings\sebo\Menu Start\Programy\Autostart\wwwmen32.exe

C:\WINDOWS\tasks\At1.job

C:\WINDOWS\tasks\At10.job

C:\WINDOWS\tasks\At11.job

C:\WINDOWS\tasks\At12.job

C:\WINDOWS\tasks\At13.job

C:\WINDOWS\tasks\At14.job

C:\WINDOWS\tasks\At15.job

C:\WINDOWS\tasks\At16.job

C:\WINDOWS\tasks\At17.job

C:\WINDOWS\tasks\At18.job

C:\WINDOWS\tasks\At19.job

C:\WINDOWS\tasks\At2.job

C:\WINDOWS\tasks\At20.job

C:\WINDOWS\tasks\At21.job

C:\WINDOWS\tasks\At22.job

C:\WINDOWS\tasks\At23.job

C:\WINDOWS\tasks\At24.job

C:\WINDOWS\tasks\At3.job

C:\WINDOWS\tasks\At4.job

C:\WINDOWS\tasks\At5.job

C:\WINDOWS\tasks\At6.job

C:\WINDOWS\tasks\At7.job

C:\WINDOWS\tasks\At8.job

C:\WINDOWS\tasks\At9.job


Folders to delete:

C:\Documents and Settings\All Users\Dane aplikacji\39959742

C:\Documents and Settings\All Users\Dane aplikacji\78874034

C:\Documents and Settings\All Users\Dane aplikacji\12908828

C:\Documents and Settings\All Users\Dane aplikacji\03911115

C:\Documents and Settings\All Users\Dane aplikacji\17706122

C:\Documents and Settings\sebo\Ustawienia lokalne\Temp


Files to move:

C:\userinit.exe | C:\Windows\system32\userinit.exe


Registry values to delete: 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | 3762

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Regedit32

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run | Microsoft Driver Setup

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | GootkitSSO


Drivers to delete:

msupdate

darkness

zspvptmp7

zmkgrlhi1

zjiuajdf7

zckrsfbenajon3

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

  1. Daj log z OTL

Na dodatkowym ustawieniu:

W pole Custom Scans/Fixes wklej:

i dopiero wtedy kliknij “Run Scan”.

jessi

Nie wiem jak mam ściągnąć ten userinit.exe

log z TDSSKiller: http://www.wklejto.pl/63741

Dodane 13.04.2010 (Wt) 11:52

Nie wiem jak mam ściągnąć ten userinit.exe

log z TDSSKiller: http://www.wklejto.pl/63741

No tak, zapomniałam podać link do pliku “userinit.exe”

>http://www.speedyshare.com/files/21914994/userinit.exe

Z raportu TDSKiller wynika, że Rootkit został wykryty, ale wcale nie wynika, że został usunięty.

Czy na pewno nie zapomniałeś o:

, ?

Wyskoczyło mi to co napisałaś wraz z linijk: Type “delete” to delete it:

Wcisnąłem eter i już nic się nie dzieje dalej.

Nie mam tej infekcji, więc nie mam możliwości sprawdzenia, czy podana przeze mnie instrukcja nie jest przypadkiem błędna.

Na razie wykonuj pozostałe zalecenia.

Potem zobaczymy, co z tego wyjdzie.

jessi

Postanowiłem nie czekać na odpowiedź wpisałem “delete” i nacisnąłem enter. Potem restart kompa.

O to log: http://www.wklejto.pl/63794

A więc podana przeze mnie instrukcja nie była dokładna.

Jeśli był restart komputera, to TDSKiler wykonał swoją robotę.

Teraz wykonaj następne kroki

jessi

wykonałem pracę Avenger po czym komputer całkowicie przestał działać. Zrobiłem naprawianie instalacji windows.

oto log z avenger: http://www.wklejto.pl/63803

Avenger nie podmienił pliku “userinit.exe”.

Trzeba będzie albo podjąć jeszcze jedną próbę, albo podmienić przy pomocy innego narzędzia.

Na razie zaczekamy na log z OTL.

Tym bardziej, że zrobiłeś reinstal Systemu.

Chyba, że zrobiłeś reinstal po sformatowaniu - w takim przypadku oczywiście już żaden log nie byłby potrzebny.

jessi

Nie zrobiłem reinstal bez formatowania.

OTL nie chce wykonać loga. Zaczyna prace po czym wyskakuje komunikat: List index out of bounds (0)

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Jeśli będziesz w stanie pobierz Dr.WEB CureIt! Wykonaj pełne skanowanie Napisz co znajduje skaner Jeśli jest to infekcja w plikach exe lecz co się da co nie będzie można wyleczyć usuwasz

Gdy wyskakuje komunikat, że nie da się wyleczyć to jedyną dostępną opcją jet przenieś. Robię tak ale nie bardzo wiem co to oznacza.

To oznacza że plik został przeniesiony do kwarantanny po zakończeniu skanowania należy usunąć wszystko z kwarantanny Skanujesz tyle razy aż skaner nic nie znajdzie raport ze skanowania podaj na forum

Program zakończył pracę po czym komputer się zrestartował i już się nie włączył ani w trybie normalnym ani w trybie awaryjnym. Zrobiłem jeszcze raz reinstal winndowsa bez formatowania. Oprócz tego że się włączył to nic się nie zmieniło.

Masz infekcje w plikach wykonywalnych Nie pisałeś co znalazł DrWeb ale przypuszczam że jest to Virut reinstalacja systemu przy zainfekowanym komputerze to niezbyt mądre posunięcie jak radzić sobie z takimi infekcjami zobacz tutaj usuwanie-znanych-wirusow-sality-jeefo-parite-virut-itp-t370365.html Zobacz instrukcja usuwania Viruta Jeśli nic nie pomaga to pozostaje format całego dysku (wszystkich partycji) programy i sterowniki pobierasz na nowo z internetu bo te które masz będą zainfekowane

To znaczy ja zrobiłem nakładkę windowsa czyli naprawiłem go bez formatowania.

To nie usunie infekcji, gdyż ona dalej jest m.in. na innych niż systemowa partycjach.

udalo mi sie usunac Security Tool,nie jest to trudne.

Wiem że nakładka nie usuwa infekcji. Zrobiłem ją bo komputer nie uruchamiał się nawet w trybie awaryjnym. Więc bez nakładki nic kompletnie bym nie zdziałał. Security tool chyba został usunięty przez dr. webb razem z nim wiele infekcji ale niestety raportu nie mam gdyż jak pisałem po zkończeniu pracy przez ten program komputer przestał działać i zrobiłem nakładkę. Teraz jednak działa OTL więc przedstawiam log i proszę o dalszą pomoc.

http://www.wklejto.pl/63933

Dodam jeszcze że o ile nie ma już security tool o tyle występuje problem zrzucania pamięci fizycznej. Pojawia się niebieski ekran z napisem zrzucanie pamięci fizycznej po jakimś czasie komputer się restartuje i tak w kółko.