Windows XP Home, SP3.

Tego posta piszę z innego kompa, bo mój już niestety nie startuje.

Zauważyłem, że tryb awaryjny przez F8 nie działał.

Chciałem go inaczej sprawdzić i dlatego wszedłem w Start/Uruchom/msconfig/ BOOT.INI i ustawiłem tryb SAFEBOOT.

I teraz tak przy normalnym starcie, jak i w Trybie Awaryjnym wyświetla tylko ekran powitalny Windowsa, a potem czarno. Nic, ewentualnie kursor.

Również inne tryby, jak np. “Ostatnio dobrze działające ustawienia” nie działają.

Aha, zapomniałem dodać, że wcześniej czyściłem kompa różnymi anti-malware (a-squared, DrWebCureit, ComboFix…) i może usunąłem plik potrzebny do trybu awaryjnego). Pamiętam, że było zarażonych 10-12 plików z katalogu Windows.

Może są jeszcze gdzieś w kwarantannie lub w backup, koszu…

A może doinstaluję je jak już wejdę do trybu normalnego lub poprzez konsolę odzyskiwania?

Można prosić o pomoc, które pliki sprawdzić czy są i jak je ewentualnie dograć na c:/Windows/system?

Nie chciałbym robić jeszcze raz opcje reinstalacji typu “R”, bo strasznie długo robią mi się potem aktualizacje SP2 i SP3…

Mam też do wyboru logowania opcję Konsola odzyskiwania systemu.

Mogę się zalogować do partycji C:Windows, widzę wszystkie pliki i mogę pisać komendy w wierszu poleceń.

Zanim coś dodatkowo w systemie namieszam, mógłbym Was prosić, o napisanie konkretnego odpowiedniego polecenia?

Konsola Odzyskiwania Systemu http://support.microsoft.com/kb/307654/pl

Wiem, że są opcje:

Próbuję, ale mam odpowiedź, że “nie może zlokalizować wpisu rejestru…”.

Jakie komendy konkretnie powinienem wpisać?

Jak wyłączyć moje wcześniejsze działanie:

jeśli komputer się nie uruchamia?

Pozdrawiam

marcos_777

Zobacz tutaj http://support.microsoft.com/kb/314477/pl Metoda 2 dlaczego

zobacz tutaj http://www.searchengines.pl/Usuwanie-ro … 06680.html Jeśli komputer nie startuje w żadnym z trybów

Thx spandaupol!

Problem rozwiązany, pomógł twój link - na innym forum opis autorstwa picasso:

1. Start z CD XP do Konsoli Odzyskiwania

2. Odbuduj BOOT.INI komendą (w istocie to zdubluje wejście tego samego Windows):

C:/Windows/BOOTCFG /REBUILD

Tam padną pytania, na które odpowiadasz następująco:

Zidentyfikowanych instalacji Windows: 1

Dodać do listy (Tak/Nie/Wszystko): wpisujesz z klawiatury T i ENTER (jeśli Konsola w wersji anglojęzycznej to wpisujesz Y)

Wprowadź identyfikator znalezionej instalacji: wpisać nazwę Windowsa np. Microsoft Windows XP Professional (lub Windows XP Home Edition)

Wprowadź opcje ładowania: wpisz /fastdetect, jeśli to XP SP2 to wpisz /fastdetect /NoExecute=OptIn

I już się ładuje Windows

W dalszym ciągu jednak nie działa tryb awaryjny po wciśnięciu F8.

Jakieś sugestie?

marcos_777

tzn naciskasz F8 i nic się nie pojawia czy wybierasz (po naciśnięciu F8) opcje tryb awaryjny i nie działa ??

Sprawdź czy infekcja została usunięta do końca przydałby się log z Combofix następnie powinieneś przeskanować obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!

Jeśli skaner nic nie wykryje to spróbuj naprawić tryb awaryjny tym programem SafeBootKeyRepair.exe http://download.bleepingcomputer.com/sU … Repair.exe

Zobacz również ten wątek http://www.searchengines.pl/index.php?s … ntry394788

To drugie. Po pierwszym F8 jest wybór trybów, a potem po wybraniu Trybu Awaryjnego - ciemny ekran i kursor w LGR.

– Dodane 03.02.2009 (Wt) 23:50 –

Dzisiejszy Log z ComboFix: http://wklej.org/id/48099/dl

Te pliki poniżej usuń ręcznie

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Jeśli skaner który podałem w poście powyżej nic nie wykryje to spróbuj naprawić tryb awaryjny tym programem SafeBootKeyRepair.exe http://download.bleepingcomputer.com/sU … Repair.exe

Zresetowałem przywracane systemu, zrobiłem CCleaner. Udało się wreszcie zrobić “sfc /scannow”, ale nic nie pomogło.

Tych 10 plików *tmp usunąłem, ale zastanawiam się - bo w tym katalogu jest jeszcze 460 OLD…tmp.(=81 Mb). Są do czegoś potrzebne?

Może je wyrzucić wszystkie?

Mam pytanie o Int. Expl. Klikam PKM na ikonie i otwiera się menu pozbawione “Otwórz stronę główną” i “Uruchomienie bez dodatków”.

Jest tylko: Usuń - Utwórz skrót - Właściwości -Zmień nazwę.

Jak chcę otworzyć IE to się po prostu tylko robi skrót na pulpicie.

Sieć WiFi działa, pingi ok, a nie może FF otworzyć żadnej strony, a IE robi skróty. Może to ma coś wspólnego z GData TotalCare2009, który wczoraj zainstalowałem i jest coś za mocno podkręcony. Później go odinstaluję.

Zresetowałem ustawienia IE - bez zmian. Zainstaluję najnowsze wersje IE i FF.

Komputer skanował się dziś w nocy przez 9 godz. i nie zawiesił się.

" GDATA TotalCare2009" znalazł 6 trojanów “win32.oliga” w C:\System Volume Information\Restore…

Trybu Awaryjnego dalej nie ma.

_______________________________________________

Mam też pytanie o te wpisy w logu z ComboFix : http://wklej.org/id/48099/dl

Już nie mam tych programów, mogę po prostu usunąć te wpisy w HKLM?

A te, też normalnie usunąć?

___________________________________________________________________________________________________

Log HjT : http://wklej.org/id/48189/dl

A m.in. ten wpis powraca za każdym razem, mimo że go fixuję w HjT:

A analizery podpowiadają:

Proszę ustosunkować się też do tego co poniżej. Co z tym zrobić?

Sprawdzałem na innym komputerze, występują te wpisy tylko raz - zawsze w prawidłowym C:\WINDOWS\System32…

A u mnie są w kilku miejscach; wystarczy je usunąć np. w Total Commanderze, czy trzeba je jakoś specjalnie potraktować (OTMoveIt3 lub coś podobnego…) ?

I co z tymi wirusami przypisanymi do tych plików?

Tymczasem widzę go u mnie również w drugim miejscu:

c:\WINDOWS\system32\dllcache\wuauclt.exe

U mnie są tutaj:

c:\WINDOWS\system32\smss.exe

c:\WINDOWS\ServicePackFiles\i386\smss.exe

c:\WINDOWS\system32\dllcache\smss.exe

c:\WINDOWS\i386\system32\smss.exe

U mnie są tutaj:

c:\WINDOWS\system32\winlogon.exe

c:\WINDOWS\ServicePackFiles\i386\winlogon.exe

c:\WINDOWS\system32\dllcache\winlogon.exe

U mnie są tutaj:

c:\WINDOWS\system32\services.exe

c:\WINDOWS\ServicePackFiles\i386\services.exe

c:\WINDOWS\system32\dllcache\services.exe

U mnie są tutaj:

c:\WINDOWS\system32\lsass.exe

c:\WINDOWS\ServicePackFiles\i386\lsass.exe

c:\WINDOWS\system32\dllcache\lsass.exe

I tak dalej…

Pozostałe procesy opisane wewnątrz loga:

Tu jest wklejka z tą diagnozą: http://wklej.org/id/48234/dl

Tak zajmują miejsce na dysku

Tak, ale ty masz kilka programów antywirusowych odinstalujesz GDatę i znowu coś zostanie Więc po kolei odinstalujemy antywirusy (to co po nich zostało

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

te wpisy w rejestrze usuwasz (zrób wcześniej kopię zapasową)

Wyłącz przywracanie systemu na wszystkich dyskach odczekaj chwilę i włącz ponownie

Lokalizacje plików które podałeś są prawidłowe chociaż mogłem coś przeoczyć bo tyle tego podałeś

Jeśli chodzi o ten wpis

zobacz tutaj jak go usunąć

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

Ok, zrobię wszystko jak wrócę do domu z pracy. Chyba, że córka będzie wcześniej i pomoże.

Ale czy one nie powinny występować tylko raz - w ściśle określonym miejscu: C:\WINDOWS\System32…?

Sprawdzałem na innym komputerze, występują te wpisy tylko raz - zawsze tylko w tym katalogu jw.

A u mnie każdy z nich jest w kilku miejscach.

I czy nie sugeruje to obecności wirusów przypisanymi do tych w nadmiarze plików ?

np.:

Tymczasem widzę go u mnie również w drugim miejscu:

c:\WINDOWS\system32\dllcache\wuauclt.exe

U mnie są tutaj:

c:\WINDOWS\system32\smss.exe

c:\WINDOWS\ServicePackFiles\i386\smss.exe

c:\WINDOWS\system32\dllcache\smss.exe

c:\WINDOWS\i386\system32\smss.exe

itd. itp

Tak ale system ma kopie tych plików w razie uszkodzenia można próbować je podmienić. Te miejsca które podałeś są prawidłowe jeśli masz wątpliwość przeskanuj te pliki tutaj http://virusscan.jotti.org/ zobacz co pokaże raport

OK spandaupol. Zrobiłem co prosiłeś. Odinstalowałem, usunąłem, scrypt wkleiłem.

Skończyło się właśnie skanowanie DrWeeb. Znalazł tylko “wirusy” SDFIX i usunął.

Jeszcze jedno, 2 dni temu zainstalowałem do testowania na chwilę “GDATA TotalCare2009” - znalazł 6 trojanów “win32.oliga” w C:\System Volume Information\Restore…

Poszły do “Ambulansu” czy coś w tym rodzaju. Nie wiem do końca, czy to jest równoznaczne z usunięciem ich w SVI?

Bo w raportach jest tylko, że je znalazł, ale nic o kwarantannie czy usunięciu. Aktualnie już GDATA odinstalowałem i nie wiem czy wciąż tam są.

spandaupol - Zainstalowałem nowego IE7 i od razu wskoczyło pełne menu kontekstowe prawoklika ikony i IE otwiera się już normalnie, nie robiąc skrótów na pulpicie.

FF - będę musiał odinstalować i zainstalować od nowa, bo zrobiłem mu wczoraj aktualizację do v3.06 i padł.

Co dalej proponujesz? Podać jakieś logi?

Wciąż się wiesza. Trybu Awaryjnego brak.

Jeśli zrobiłeś to co poniżej - a tak piszesz - to dlaczego nie wkleiłeś loga z usuwania?

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

Log z ComboFix: http://wklej.org/id/49545/dl

Ponieważ piszesz że usunąłeś GDatę więc usuniemy to co po nim pozostało, ale także SDFixa

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

Przeskanuj ponownie system Dr.WEB CureIt! Jeśłi skaner nic nie wykryje to

Naprawa trybu awaryjnego tym programem SafeBootKeyRepair.exe http://download.bleepingcomputer.com/sU … Repair.exe Jeśli to nie pomoże to zobacz tutaj jak to zrobić http://www.searchengines.pl/Naprawianie … 79791.html

Log z Combofix: http://wklej.org/id/49793/dl

Przez 11 godzin laptop się skanował Kaspersky Virus Removal Tool.

Oto raport: http://wklej.org/id/49797/dl

Raport z “VRT_AVZ_Collect Sys Info”: http://wklej.org/id/49802/dl

Skrypty, które wykonałem: http://wklej.org/id/49832/dl

Komputer chodzi już 20 godz. i się nie zaciął. Ale już mu się tak zdarzało.

“SafeBootKeyRepair” wygenerował raport: http://wklej.org/id/49806/dl

Wciąż brak Trybu Awaryjnego. Ale za to komputer zrobił się wzorcowo szybki.

Log wygląda na czysty.

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Kasperskiego odinstaluj Instrukcja

Czy próbowałeś w ten sposób naprawić tryb awaryjny http://www.searchengines.pl/Naprawianie … 79791.html jeśli to nie pomoże to instalacja nakładkowa windows (bez utraty danych) zobacz tutaj http://www.searchengines.pl/index.php?s … 0&p=109540

Od czasu usunięcia wpisu dotyczącego Eseta, nie mogę zainstalować żadnego antywira. Atak robali.

Trybu Awaryjnego dalej oczywiście nie ma. Testuję teraz różne antywiry-cleanery-mikroskanery, itp. Coś co mi się udaje zainstalować, bądź uruchomić. Przy instalacji Eseta - trwierdzi że nie mam uprawnień, przy innych jakieś błędy wyskakują i nie chcą się instalować. Myślę, że są blokowane przez robactwo.

Proszę zobaczyć na te logi SmitFraudFix i Prevx.

http://wklej.org/id/52225/dl

http://wklej.org/id/52226/dl

http://wklej.org/id/52227/dl

http://wklej.org/id/52230/dl