Forum Debian Users Gang

marcin.t · 2014-11-16 10:17:49

Dostałem kompa od znajomej (do naprawy, bo się wiesza, i jest zawirusowany).
Najpierw potraktowałem go Kaspersky Rescue Disk.

Kod:

Status: Deleted   (events: 27)    
11/15/14 4:46 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.aljt    C:/AdwCleaner/Quarantine/C/Program Files (x86)/SupTab/SupTab.dll.vir    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.aljt    C:/AdwCleaner/Quarantine/C/ProgramData/IePluginService/PluginService.exe.vir    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.aljt    C:/AdwCleaner/Quarantine/C/ProgramData/IePluginServices/PluginService.exe.vir    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.WProtManager.e    C:/AdwCleaner/Quarantine/C/ProgramData/WPM/wprotectmanager.exe.vir    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.AdLoad.ke    C:/AdwCleaner/Quarantine/C/Users/Kuba/AppData/Local/Temp/lollipop/Lollipop.exe.vir//data0001    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.Eorezo.ctl    C:/AdwCleaner/Quarantine/C/Users/Kuba/AppData/Local/Temp/Freesofttoday/setup_ontecnia_fst.exe.vir//data0002    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.aljt    C:/AdwCleaner/Quarantine/C/Users/Kuba/AppData/Roaming/SupTab/SupTab.dll.vir    Medium    
11/15/14 4:48 AM    Deleted    adware not-a-virus:AdWare.Win32.Yotoon.bfm    C:/ProgramData/5327bf3a-385d-43de-b57d-c607b633644e/maintainer.bak    Medium    
11/15/14 4:49 AM    Deleted    adware not-a-virus:AdWare.Win32.Yotoon.bfm    C:/ProgramData/5327bf3a-385d-43de-b57d-c607b633644e/maintainer.exe    Medium    
11/15/14 4:49 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.eqwa    C:/ProgramData/IePluginServices/PluginService.exe    Medium    
11/15/14 4:54 AM    Deleted    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Google/Chrome/User Data/Default/Cache/f_00330e    High    
11/15/14 4:54 AM    Deleted    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Google/Chrome/User Data/Default/Cache/f_00352b    High    
11/15/14 4:54 AM    Deleted    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Google/Chrome/User Data/Default/Cache/f_003551    High    
11/15/14 4:54 AM    Deleted    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Google/Chrome/User Data/Default/Cache/f_00359e    High    
11/15/14 4:54 AM    Deleted    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Microsoft/Windows/Temporary Internet Files/Low/Content.IE5/TLIK7KN5/horoskop_czarymary_pl[1].htm    High    
11/15/14 4:55 AM    Deleted    Trojan program Trojan.Win32.Vilsel.chfr    C:/Users/Kuba/AppData/Local/Temp/bus3973/busc2.exe    High    
11/15/14 4:54 AM    Deleted    adware not-a-virus:AdWare.Win32.DelBar.v    C:/Users/Kuba/AppData/Local/Temp/E1CCB31D-BAB0-7891-9A84-1027A4EBE24E/Latest/MyDeltaTB.exe    Medium    
11/15/14 4:55 AM    Deleted    adware not-a-virus:AdWare.Win32.WProtManager.a    C:/Users/Kuba/AppData/Local/Temp/fullpackage_temp1392635923/tmp/wpm.exe    Medium    
11/15/14 4:55 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.aljt    C:/Users/Kuba/AppData/Local/Temp/fullpackage_temp1392635923/tmp/SupTab.exe    Medium    
11/15/14 4:54 AM    Deleted    adware not-a-virus:AdWare.Win32.AddLyrics.alb    C:/Users/Kuba/AppData/Local/Temp/DB91tmp/5555-1001_newplayer.exe//$PLUGINSDIR\g.dll    Medium    
11/15/14 4:48 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.eqwa    C:/Program Files (x86)/SupTab/SupIePluginServiceUpdate.exe    Medium    
11/15/14 4:48 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.efld    C:/Program Files (x86)/SupTab/WindowsSupportDll32.dll    Medium    
11/15/14 4:48 AM    Deleted    adware not-a-virus:AdWare.Win64.Agent.f    C:/Program Files (x86)/SupTab/WindowsSupportDll64.dll    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:HEUR:AdWare.Win32.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/LampyLighty.BrowserAdapter.exe    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.Eorezo.ctl    C:/AdwCleaner/Quarantine/C/Users/Kuba/AppData/Local/Temp/Freesofttoday/setup_ontecnia_fst.exe.vir    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.AdLoad.ke    C:/AdwCleaner/Quarantine/C/Users/Kuba/AppData/Local/Temp/lollipop/Lollipop.exe.vir    Medium    
11/15/14 4:54 AM    Deleted    adware not-a-virus:AdWare.Win32.AddLyrics.alb    C:/Users/Kuba/AppData/Local/Temp/DB91tmp/5555-1001_newplayer.exe    Medium    
Status: Quarantined   (events: 11)    
11/15/14 4:54 AM    Quarantined    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0032a3    High    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.BOAS.dll//res_0002    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.Bromon.dll//res_0001    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.BroStats.dll//res_0001    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.CompatibilityChecker.dll//res_0001    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.Msvcmon.dll//res_0002    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.BOAS.dll    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.BroStats.dll    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.Bromon.dll    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.CompatibilityChecker.dll    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.Msvcmon.dll    Medium

Po tym zabiegu laptop się uruchomił i nawet działał. Ale postanowiłem przeskanować go jeszcze Adwcleaner i ccleaner.
Znalazło jeszcze jakieś badziewie ale nie mam logów. Oczywiście skasowałem te śmieci.
Od tej pory system wypluwa 0xc000000f
Coś takiego ( to nie jest screen z mego kompa ale tak wygląda)
[url=http://postimg.org/image/pvibxcukl/][img]http://s18.postimg.org/pvibxcukl/error_code_0xc000000f.jpg[/img][/url]

Odpaliłem knoppix-a a w nim gparted.
I układ partycji wygląda w tak.
Partycja systemowa windowsa to sda2. Normalnie bym się ją nie przejmował ale jest tak kilka dokumentów do odzyskania.
Knoppix pokazuje pusty katalog /dev/sda2 a jak widać na screenie wyżej coś w tej partycji jest.
Co partycja straciła że dane na niej zawarte nie są widziane anie przez win7 ani przez linux ?
Pomożecie ?

[url=http://postimg.org/image/g5nd5a937/][img]http://s21.postimg.org/g5nd5a937/2014_11_16_09_43_10.jpg[/img][/url]

Pavlo950 · 2014-11-16 10:22:29

Nie wiem co straciła, ale PhotoRec powinien pomóc. Tylko musiałbyś zaznaczyć rozszerzenia plików, których ma szukać.

Rafcio6179 · 2014-11-16 13:25:05

Hej , bez paniki :)
na przyszłość odpuść sobie wszystkie cclenery , wywalają pliki systemowe, Kaspersky Rescue Disk OK potem zapodajesz scaner Online np. ESET i do czyszczenia systemu ja używam Reg Organizer (sprawdzone komercyjne oprogramowanie ).

Jak nie zrobiłeś kopii zapasowej usuwanych plików to:

potrzebujesz płyty instalacyjnej z Windows 7 odpowiedniej architektury , która jest zainstalowana na danym sprzęcie , możesz pożyczyć lub utworzyć dysk naprawy , opcja dostępna w Windows 7, potem uruchomisz z niej komputer i klik "Napraw Komputer" , Windows PE przeskanuje partycje systemową i przywróci katalogi systemowe ,
jak rejestr nie został poważnie uszkodzony , system się uruchomi , możesz najpierw spróbować przywrócić system do wcześniejszego stanu , oczywiście jak ochrona systemu była włączona lub też może pójdzie tryb awaryjny , jak powyższe zabiegi nie przyniosą rezultatu , pozostaje odzyskać pliki i przywrócić system z partycji odzyskiwania systemu (recovery) :)

marcin.t · 2014-11-16 19:28:02

System wstał. ufff
Przeskanowałem ESET Online Scannerem i
znalazło mi:
Win32/AdWare.1ClickDownload.AW
Win32/AdWare.1ClickDownload.AM
Win32/Kryptik.BWJC
i wiele innych.
Na razie ich nie usuwam gdyż znalazłem taki opis
[url]http://www.yac.mx/pl/guides/trojan-horse-guides/20131108-how-to-remove-Win32/AdWare.1ClickDownload.AJ-through-yac-virus-removal-tool.html[/url]

Win32/AdWare.1ClickDownload.AJ jest bardzo niebezpieczny trojan, który może zainfekować systemu MBR (Master Boot Record), co doprowadzi do awarii systemu, jeśli nie zostały usunięte w czasie.Poza tym, Trojan ten będzie całkowicie zepsuć rejestrów Windows i generuje losowe pliki i procesy, aby wykorzenić fałszywe głęboko w systemie.T[/quote]
Opis nie dotyczy moich *AW czy *AM tylko *AJ ale doszedłem do wniosku że jak EAST skasuje mi te wirusy to znowu będę miał [b]0xc000000f[/b]
Znacie narzędzie YAC PC Cleaner ? Poradzi sobie z tymi wirusami, usuwać ESET-em czy jedyne rozwiązanie to kopia danych i [b]format C[/b] ?

[url=http://agrojustynka.pl]www.agrojustynka.pl[/url]
[url=http://fotoblog.playfresh.net]www.fotoblog.playfresh.net[/url][b] - mój foto blog[/b]

Time (s)	Query
0.00012	SET CHARSET latin2
0.00007	SET NAMES latin2
0.00111	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.144.123.24' WHERE u.id=1
0.00071	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.144.123.24', 1732368558)
0.00065	SELECT * FROM punbb_online WHERE logged<1732368258
0.00094	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=26685 AND t.moved_to IS NULL
0.00007	SELECT search_for, replace_with FROM punbb_censoring
0.00166	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=26685 ORDER BY p.id LIMIT 0,25
0.00095	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=26685
Total query time: 0.00628 s

Forum Debian Users Gang

Ogłoszenie

#1 2014-11-16 10:17:49

marcin.t - Użytkownik

Windows 7 bez partcji systemowej.

Kod:

#2 2014-11-16 10:22:29

Pavlo950 - człowiek pasjonat :D

Re: Windows 7 bez partcji systemowej.

#3 2014-11-16 13:25:05

Rafcio6179 - Użytkownik

Re: Windows 7 bez partcji systemowej.

#4 2014-11-16 19:28:02

marcin.t - Użytkownik

Re: Windows 7 bez partcji systemowej.

#5 2014-11-16 19:53:37

uzytkownikubunt - Zbanowany

Re: Windows 7 bez partcji systemowej.

Stopka forum

Informacje debugowania