plitom
(Plitom)
15 Grudzień 2010 19:26
#1
Przepraszam za doczepianie do innego postu, założyłem swój i załączam dane
Log po skrypcie
http://wklej.org/id/438695/
i log po skanowaniu
http://wklej.org/id/438700/
teraz w trybie normalnym przy ładowaniu systemu wywala się w tym samym miejscu tzn wyskakuje na chwilke niebieski ekran z błędami i się resetuje, w awaryjnym uruchamia się.
jessica
(jessica)
15 Grudzień 2010 19:51
#2
Sprawdź go na --> JOTTI/ albo na VIRUSTOTAL
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL O20 - HKU\S-1-5-21-1935655697-448539723-682003330-1004 Winlogon: Shell - (C:\Documents and Settings\Xp\Dane aplikacji\ohydy.exe) - C:\Documents and Settings\Xp\Dane aplikacji\ohydy.exe File not found [2010-12-15 20:09:05 | 000,759,296 | ---- | M] () – C:\WINDOWS\System32\drivers\fwrqu.sys :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Użyj > TDSSKiller >http://www.bezpieczenstwosystemow.pl/index.php?topic=7461.0
Zrób nowy log z OTL.
jessi
plitom
(Plitom)
15 Grudzień 2010 20:52
#3
A więc po kolei sprawdzenie pliku oto wyniki z tych dwóch skanerów
http://wklej.org/id/438783/
Następnie log po skrypcie
http://wklej.org/id/438777/
Log po skanowaniu
http://wklej.org/id/438787/
Log z TDSSKiller po użyciu
http://wklej.org/id/438790/
Log z OTL po użyciu TDSSKiller
http://wklej.org/id/438795/
Po tych zabiegach komputer odpalił w normalnym trybie i jak narazie działa, zobaczymy czy się nie zawiesi zaraz.
No niestety po 5 min wyskoczył niebieski ekran z błędami i reset kompa i teraz znowu tylko na trybie awaryjnym działa.
jessica
(jessica)
15 Grudzień 2010 21:11
#4
Użyj jeszcze raz TDSSKiller, ale tym razem nie pozwól na “SKIP”, bo to musi być usunięte!
A więc wybierz przy nim opcje “Quarantine”, Delete", lub coś podobnego (nie pamiętam),
W każdym bądź razie nie SKIP.
Ten Rootkit był też w MBR dysku twardego.
Sprawdzimy, czy TDSSKiller sobie z nim poradził:
Daj log z > MBRCheck.exe >http://www.bezpieczenstwosystemow.pl/index.php?topic=7494.0
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_USERS\S-1-5-21-1935655697-448539723-682003330-1004SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>
plik uruchom (dwuklik i OK).
jessi
plitom
(Plitom)
15 Grudzień 2010 21:38
#5
Chyba spaprałem bo zaznaczyłem w TDSSKiller Delete w obu tych przypadkach czyli
Locked service(fwrqu)
Locked file(sptd)
i teraz nie ładuje się system w ogóle, nawet w trybie awaryjnym
mogę coś z tym zrobić?
jessica
(jessica)
15 Grudzień 2010 21:46
#6
Rzeczywiście, ja Ci wcale nie kazałam usuwać sptd.sys .
Ale prawdopodobnie to nie jest powód tak złej reakcji.
Powodem jest próba usunięcia Rootkita z MBR.
Ten Rootkit jest paskudny.
Na innym forum też był usuwany podobny Rootkit (http://www.fixitpc.pl/topic/2243-desktoplayerexe/ - post nr 10.
Odsyłam Cię na tamto forum, może @Picasso będzie potrafiła coś w tej tragicznej sytuacji pomóc: >http://www.fixitpc.pl/
Widzę, ża akurat w tej chwili jest tam na forum
plitom
(Plitom)
16 Grudzień 2010 01:40
#7
Zrobiłem nakładke instalki systemu xp tak mi było najprościej dla mnie i bez utraty danych ale napewno nadal jest coś nie tak oto log z OTL
http://wklej.org/id/438916/
jessica
(jessica)
16 Grudzień 2010 07:04
#8
Jakoś nie wierzę, by nakładka Systemu naprawiła to, co narozrabiał Rootkit w MBR.
Jesteś już na tamtym forum, więc tam pokaż ten log, oraz log z TDSSKiler (wszystko pozostaw na razie na SKIP).
jessi