System działa tylko w trybie awaryjnym


(Skryty) #1

Witam !

Najpierw Avast zaczął wyrzucać komunikaty o trojanie Fraudo, widząc, że sobie nie radzi próbowałem odpalić HiJacka, ale się nie uruchomił (bez żadnego komunikatu). Odpaliłem za to ComboFixa - poniżej raport

http://www.wklej.org/id/134797/

niestety komp po restarcie nadal był zainfekowany. W pewnym momencie miałem mignięcie napięcia i komp się znowu zrestartowal - już nie odpalił. Działa tylko w trybie awaryjnym

Nie mogę uruchomić HiJacka, ani ComboFIxa - żadnych komunikatów, po prostu się nie odpalają

Mam jeszcze loga Z Silent Runners zanim użyłem SmitFraudFix - ten poniżej

http://www.wklej.org/id/134796/

Uruchomiłem SmitFraudFix oto raport z powtórnego skanowania, po próbie naprawienia błędów

http://www.wklej.org/id/134792/

Niestety próba naprawy skończyła się niepowodzeniem - niektóre pliki zostały usunięte, problem pozostał.

Brakuje mi pomysłów, co można zrobić. Proszę o pomoc

EDIT - zrestartowałem jeszcze raz kompa - już domyślnie do trybu awaryjnego i odpalił się HiJack - oto log

http://www.wklej.org/id/134801/

i widzę, że ten braviax.exe jest odpalony


(Henio Mazurek) #2

Skoro ComboFix nie działa to ciężko będzie z usuwaniem. Tutaj są zainfekowane sterowniki systemowe. Na początek wypakuj z płyty z Windows z katalogu i386 pliki beep.sys i ntfs.sys poprzez taką komendę (start => uruchom => cmd), wpisz, po każdej linijce enter

Za X podstawiasz literę pod jaką jest widoczny napęd CD\DVD.

Potem pobierz Avenger i wklej do niego taki tekst

Klikasz execute. Wklejasz log z Avengera i spróbuj uruchomić ComboFix'a.


(Skryty) #3

Odpaliłem Avengera wkleiłem to co trzeba, Avenger stwierdził, że first step complete lub cos podobnego i poprosił o restart. Niestety komputer dochodzi do pewnego momentu - pojawia się na chwilę bluescreen i następuje restart.

Wszedłem znowu do trybu awaryjnego (nie wiem czy to istotne, ale ten tryb działa też tylko wtedy kiedy pominę ładowanie SPTD.sys) i jeszcze raz uruchomiłem Avengera i próbowałem powtórzyć manewr, a ten wyświetlił komunikat, że wydaje się, że jakiś script już czeka na realizację i że mądrzej byłoby zrestartować kompa. Czyli odniosłem takie wrażenie, że Avenger miał dokonać kasacji i zamiany plików podczas ładowania systemu, ale nie zdążył się uruchomić, bo system się restartuje.

ComboFix nadal się nie uruchamia, nie uruchamia się też Hijack


(Henio Mazurek) #4

Wygląda na to, że Avenger utknął. Pobierz OTL i GMER. Wklej log z OTL, z gmer nie dawaj na razie, do czego innego się przyda.


(Skryty) #5

http://www.wklej.org/id/134973/


(Henio Mazurek) #6

Jeszcze jedna rzecz. Pobierz SystemLook i wklej do niego taki tekst

Klikasz Look i wklejasz log.


(Skryty) #7

http://www.wklej.org/id/134975/

Przy czym to co jest na dysku c w głównym folderze to przed chwilą zrobiłem jeszcze raz expand z płyty, bo myślałem o ręcznej podmianie plików. Mam płytkę Hiren's Boot i mogę z niej odpalić jakiegoś menadżera plików i ręcznie podmienić pliki systemowe.

Czy taka podmiana to dobry pomysł? Do katalogów driver i dllcache.


(Henio Mazurek) #8

Te pliki podmieni się za pomocą gmer'a.

Najpierw w gmer przejdź do zakładki CMD, przestaw na REGEDIT.EXE i w górne okno wklej taki tekst

Kliknij Uruchom.

Przejdź do zakładki procesy i zabij wszystko oprócz numerkowego procesu gmera, procesów :csrss.exe, System Idle, System.

Potem przejdź do zakładki Pliki, szukasz i kasujesz te pliki

i wszystko co jest w tych folderach

Następnie też w zakładce pliki szukasz tych beep.sys i ntfs.sys które są bezpośrednio na C. Po zaznaczeniu klikasz Kopiuj pojawi się okienko dla każdego pliku ustawiasz taką lokalizację

Zapisujesz jako beep.sys i ntfs.sys

Sprawdź czy pliki na pewno się skopiowały. Potem będziesz musiał zastosować twardy restart i wklejasz nowy log z OTL.


(Skryty) #9

Wczoraj wyłączyli mi prąd, więc dopiero dziś zrobiłem zalecenia. Wydaje się, że system wrócił do normy. Ale jeszcze logi z OTL. Aczkolwiek jak widzę śmieci zostały.

http://www.wklej.org/id/135326/


(Henio Mazurek) #10

Nie jestem jednego pliku pewien, wklej taki tekst w OTL

Kliknij Run Fix. Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.


(Skryty) #11

Więc tak - wkleiłem ten skrypt do OTL, on go wykonał, po restarcie systemu zacząłem robić skan Malwarebyte Anti-Malware. Przy czym normalnie przy retstarcie zaczął działać również avast. W pewnym momencie system zasygnalizował, że wykrzaczył się proces rts.exe - który wydaje się mi być podejrzany. prawie natychmiast avast zakrzyczał, że ntfs.sys jest zainfekowany i zaproponował kwarantannę. Kliknąłem ok. Avast dalej krzyczał w stosunku do innych plików, więc go chwilowo wyłączyłem, że dokończyć skan Anti-Malware. Poniżej log.

http://www.wklej.org/id/135370/

Zrestartowałem system, nad którym kontrolę miał nadal OTL - po restarcie zrobił skan - log poniżej

http://www.wklej.org/id/135369/

Cholera nadal to /cenzura/ tam jest - mam nadzieję, że nie zakląłem :slight_smile:


(Henio Mazurek) #12

No właśnie ten rts mi się nie podobał. Da się uruchomić ComboFix? Jeszcze raz skopiuj pliki beep.sys i ntfs.sys bezpośrednio na C wg tamtego sposobu, na wszelki wypadek bo nie widzę tutaj modyfikacji systemowych plików. Pobierz świeży ComboFix i zmień mu nazwę na losową przed uruchomieniem. Wklej do notatnika taki tekst

Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix'a. Rozpocznie się usuwanie, wklej powstały log.


(Skryty) #13

Combo odpalił się bezproblemowo - oto log

http://www.wklej.org/id/135378/


(Henio Mazurek) #14

W logu już nic nie widać. W OTL kliknij CleanUp to posprząta po OTL i ComboFix'ie.

Wyłącz na chwilę przywracanie systemu - XP/Vista

Przeczyść dysk i rejestr CCleaner'em.


(Skryty) #15

Dzięki bardzo - wszystko wydaje się być w normie.

Pozdrawiam