System działa tylko w trybie awaryjnym

Witam !

Najpierw Avast zaczął wyrzucać komunikaty o trojanie Fraudo, widząc, że sobie nie radzi próbowałem odpalić HiJacka, ale się nie uruchomił (bez żadnego komunikatu). Odpaliłem za to ComboFixa - poniżej raport

http://www.wklej.org/id/134797/

niestety komp po restarcie nadal był zainfekowany. W pewnym momencie miałem mignięcie napięcia i komp się znowu zrestartowal - już nie odpalił. Działa tylko w trybie awaryjnym

Nie mogę uruchomić HiJacka, ani ComboFIxa - żadnych komunikatów, po prostu się nie odpalają

Mam jeszcze loga Z Silent Runners zanim użyłem SmitFraudFix - ten poniżej

http://www.wklej.org/id/134796/

Uruchomiłem SmitFraudFix oto raport z powtórnego skanowania, po próbie naprawienia błędów

http://www.wklej.org/id/134792/

Niestety próba naprawy skończyła się niepowodzeniem - niektóre pliki zostały usunięte, problem pozostał.

Brakuje mi pomysłów, co można zrobić. Proszę o pomoc

EDIT - zrestartowałem jeszcze raz kompa - już domyślnie do trybu awaryjnego i odpalił się HiJack - oto log

http://www.wklej.org/id/134801/

i widzę, że ten braviax.exe jest odpalony

Skoro ComboFix nie działa to ciężko będzie z usuwaniem. Tutaj są zainfekowane sterowniki systemowe. Na początek wypakuj z płyty z Windows z katalogu i386 pliki beep.sys i ntfs.sys poprzez taką komendę (start => uruchom => cmd), wpisz, po każdej linijce enter

Za X podstawiasz literę pod jaką jest widoczny napęd CD\DVD.

Potem pobierz Avenger i wklej do niego taki tekst

Klikasz execute. Wklejasz log z Avengera i spróbuj uruchomić ComboFix’a.

Odpaliłem Avengera wkleiłem to co trzeba, Avenger stwierdził, że first step complete lub cos podobnego i poprosił o restart. Niestety komputer dochodzi do pewnego momentu - pojawia się na chwilę bluescreen i następuje restart.

Wszedłem znowu do trybu awaryjnego (nie wiem czy to istotne, ale ten tryb działa też tylko wtedy kiedy pominę ładowanie SPTD.sys) i jeszcze raz uruchomiłem Avengera i próbowałem powtórzyć manewr, a ten wyświetlił komunikat, że wydaje się, że jakiś script już czeka na realizację i że mądrzej byłoby zrestartować kompa. Czyli odniosłem takie wrażenie, że Avenger miał dokonać kasacji i zamiany plików podczas ładowania systemu, ale nie zdążył się uruchomić, bo system się restartuje.

ComboFix nadal się nie uruchamia, nie uruchamia się też Hijack

Wygląda na to, że Avenger utknął. Pobierz OTL i GMER. Wklej log z OTL, z gmer nie dawaj na razie, do czego innego się przyda.

http://www.wklej.org/id/134973/

Jeszcze jedna rzecz. Pobierz SystemLook i wklej do niego taki tekst

Klikasz Look i wklejasz log.

http://www.wklej.org/id/134975/

Przy czym to co jest na dysku c w głównym folderze to przed chwilą zrobiłem jeszcze raz expand z płyty, bo myślałem o ręcznej podmianie plików. Mam płytkę Hiren’s Boot i mogę z niej odpalić jakiegoś menadżera plików i ręcznie podmienić pliki systemowe.

Czy taka podmiana to dobry pomysł? Do katalogów driver i dllcache.

Te pliki podmieni się za pomocą gmer’a.

Najpierw w gmer przejdź do zakładki CMD, przestaw na REGEDIT.EXE i w górne okno wklej taki tekst

Kliknij Uruchom.

Przejdź do zakładki procesy i zabij wszystko oprócz numerkowego procesu gmera, procesów :csrss.exe, System Idle, System.

Potem przejdź do zakładki Pliki, szukasz i kasujesz te pliki

i wszystko co jest w tych folderach

Następnie też w zakładce pliki szukasz tych beep.sys i ntfs.sys które są bezpośrednio na C. Po zaznaczeniu klikasz Kopiuj pojawi się okienko dla każdego pliku ustawiasz taką lokalizację

Zapisujesz jako beep.sys i ntfs.sys

Sprawdź czy pliki na pewno się skopiowały. Potem będziesz musiał zastosować twardy restart i wklejasz nowy log z OTL.

Wczoraj wyłączyli mi prąd, więc dopiero dziś zrobiłem zalecenia. Wydaje się, że system wrócił do normy. Ale jeszcze logi z OTL. Aczkolwiek jak widzę śmieci zostały.

http://www.wklej.org/id/135326/

Nie jestem jednego pliku pewien, wklej taki tekst w OTL

Kliknij Run Fix. Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Więc tak - wkleiłem ten skrypt do OTL, on go wykonał, po restarcie systemu zacząłem robić skan Malwarebyte Anti-Malware. Przy czym normalnie przy retstarcie zaczął działać również avast. W pewnym momencie system zasygnalizował, że wykrzaczył się proces rts.exe - który wydaje się mi być podejrzany. prawie natychmiast avast zakrzyczał, że ntfs.sys jest zainfekowany i zaproponował kwarantannę. Kliknąłem ok. Avast dalej krzyczał w stosunku do innych plików, więc go chwilowo wyłączyłem, że dokończyć skan Anti-Malware. Poniżej log.

http://www.wklej.org/id/135370/

Zrestartowałem system, nad którym kontrolę miał nadal OTL - po restarcie zrobił skan - log poniżej

http://www.wklej.org/id/135369/

■■■■■■■ nadal to /cenzura/ tam jest - mam nadzieję, że nie zakląłem :slight_smile:

No właśnie ten rts mi się nie podobał. Da się uruchomić ComboFix? Jeszcze raz skopiuj pliki beep.sys i ntfs.sys bezpośrednio na C wg tamtego sposobu, na wszelki wypadek bo nie widzę tutaj modyfikacji systemowych plików. Pobierz świeży ComboFix i zmień mu nazwę na losową przed uruchomieniem. Wklej do notatnika taki tekst

Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix’a. Rozpocznie się usuwanie, wklej powstały log.

Combo odpalił się bezproblemowo - oto log

http://www.wklej.org/id/135378/

W logu już nic nie widać. W OTL kliknij CleanUp to posprząta po OTL i ComboFix’ie.

Wyłącz na chwilę przywracanie systemu - XP/Vista

Przeczyść dysk i rejestr CCleaner’em.

Dzięki bardzo - wszystko wydaje się być w normie.

Pozdrawiam