Forum Debian Users Gang

marcin.t · 2014-11-16 10:17:49

Dostałem kompa od znajomej (do naprawy, bo się wiesza, i jest zawirusowany).
Najpierw potraktowałem go Kaspersky Rescue Disk.

Kod:

Status: Deleted   (events: 27)    
11/15/14 4:46 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.aljt    C:/AdwCleaner/Quarantine/C/Program Files (x86)/SupTab/SupTab.dll.vir    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.aljt    C:/AdwCleaner/Quarantine/C/ProgramData/IePluginService/PluginService.exe.vir    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.aljt    C:/AdwCleaner/Quarantine/C/ProgramData/IePluginServices/PluginService.exe.vir    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.WProtManager.e    C:/AdwCleaner/Quarantine/C/ProgramData/WPM/wprotectmanager.exe.vir    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.AdLoad.ke    C:/AdwCleaner/Quarantine/C/Users/Kuba/AppData/Local/Temp/lollipop/Lollipop.exe.vir//data0001    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.Eorezo.ctl    C:/AdwCleaner/Quarantine/C/Users/Kuba/AppData/Local/Temp/Freesofttoday/setup_ontecnia_fst.exe.vir//data0002    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.aljt    C:/AdwCleaner/Quarantine/C/Users/Kuba/AppData/Roaming/SupTab/SupTab.dll.vir    Medium    
11/15/14 4:48 AM    Deleted    adware not-a-virus:AdWare.Win32.Yotoon.bfm    C:/ProgramData/5327bf3a-385d-43de-b57d-c607b633644e/maintainer.bak    Medium    
11/15/14 4:49 AM    Deleted    adware not-a-virus:AdWare.Win32.Yotoon.bfm    C:/ProgramData/5327bf3a-385d-43de-b57d-c607b633644e/maintainer.exe    Medium    
11/15/14 4:49 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.eqwa    C:/ProgramData/IePluginServices/PluginService.exe    Medium    
11/15/14 4:54 AM    Deleted    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Google/Chrome/User Data/Default/Cache/f_00330e    High    
11/15/14 4:54 AM    Deleted    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Google/Chrome/User Data/Default/Cache/f_00352b    High    
11/15/14 4:54 AM    Deleted    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Google/Chrome/User Data/Default/Cache/f_003551    High    
11/15/14 4:54 AM    Deleted    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Google/Chrome/User Data/Default/Cache/f_00359e    High    
11/15/14 4:54 AM    Deleted    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Microsoft/Windows/Temporary Internet Files/Low/Content.IE5/TLIK7KN5/horoskop_czarymary_pl[1].htm    High    
11/15/14 4:55 AM    Deleted    Trojan program Trojan.Win32.Vilsel.chfr    C:/Users/Kuba/AppData/Local/Temp/bus3973/busc2.exe    High    
11/15/14 4:54 AM    Deleted    adware not-a-virus:AdWare.Win32.DelBar.v    C:/Users/Kuba/AppData/Local/Temp/E1CCB31D-BAB0-7891-9A84-1027A4EBE24E/Latest/MyDeltaTB.exe    Medium    
11/15/14 4:55 AM    Deleted    adware not-a-virus:AdWare.Win32.WProtManager.a    C:/Users/Kuba/AppData/Local/Temp/fullpackage_temp1392635923/tmp/wpm.exe    Medium    
11/15/14 4:55 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.aljt    C:/Users/Kuba/AppData/Local/Temp/fullpackage_temp1392635923/tmp/SupTab.exe    Medium    
11/15/14 4:54 AM    Deleted    adware not-a-virus:AdWare.Win32.AddLyrics.alb    C:/Users/Kuba/AppData/Local/Temp/DB91tmp/5555-1001_newplayer.exe//$PLUGINSDIR\g.dll    Medium    
11/15/14 4:48 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.eqwa    C:/Program Files (x86)/SupTab/SupIePluginServiceUpdate.exe    Medium    
11/15/14 4:48 AM    Deleted    adware not-a-virus:AdWare.Win32.Agent.efld    C:/Program Files (x86)/SupTab/WindowsSupportDll32.dll    Medium    
11/15/14 4:48 AM    Deleted    adware not-a-virus:AdWare.Win64.Agent.f    C:/Program Files (x86)/SupTab/WindowsSupportDll64.dll    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:HEUR:AdWare.Win32.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/LampyLighty.BrowserAdapter.exe    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.Eorezo.ctl    C:/AdwCleaner/Quarantine/C/Users/Kuba/AppData/Local/Temp/Freesofttoday/setup_ontecnia_fst.exe.vir    Medium    
11/15/14 4:47 AM    Deleted    adware not-a-virus:AdWare.Win32.AdLoad.ke    C:/AdwCleaner/Quarantine/C/Users/Kuba/AppData/Local/Temp/lollipop/Lollipop.exe.vir    Medium    
11/15/14 4:54 AM    Deleted    adware not-a-virus:AdWare.Win32.AddLyrics.alb    C:/Users/Kuba/AppData/Local/Temp/DB91tmp/5555-1001_newplayer.exe    Medium    
Status: Quarantined   (events: 11)    
11/15/14 4:54 AM    Quarantined    Trojan program HEUR:Trojan.Script.Generic    C:/Users/Kuba/AppData/Local/Google/Chrome/User Data/Default/Cache/f_0032a3    High    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.BOAS.dll//res_0002    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.Bromon.dll//res_0001    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.BroStats.dll//res_0001    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.CompatibilityChecker.dll//res_0001    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.Msvcmon.dll//res_0002    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.BOAS.dll    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.BroStats.dll    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.Bromon.dll    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.CompatibilityChecker.dll    Medium    
11/15/14 4:48 AM    Quarantined    adware not-a-virus:HEUR:AdWare.MSIL.Kranet.heur    C:/Program Files (x86)/Lampy Lighty/bin/plugins/LampyLighty.Msvcmon.dll    Medium

Po tym zabiegu laptop się uruchomił i nawet działał. Ale postanowiłem przeskanować go jeszcze Adwcleaner i ccleaner.
Znalazło jeszcze jakieś badziewie ale nie mam logów. Oczywiście skasowałem te śmieci.
Od tej pory system wypluwa 0xc000000f
Coś takiego ( to nie jest screen z mego kompa ale tak wygląda)

Odpaliłem knoppix-a a w nim gparted.
I układ partycji wygląda w tak.
Partycja systemowa windowsa to sda2. Normalnie bym się ją nie przejmował ale jest tak kilka dokumentów do odzyskania.
Knoppix pokazuje pusty katalog /dev/sda2 a jak widać na screenie wyżej coś w tej partycji jest.
Co partycja straciła że dane na niej zawarte nie są widziane anie przez win7 ani przez linux ?
Pomożecie ?

Pavlo950 · 2014-11-16 10:22:29

Nie wiem co straciła, ale PhotoRec powinien pomóc. Tylko musiałbyś zaznaczyć rozszerzenia plików, których ma szukać.

Rafcio6179 · 2014-11-16 13:25:05

Hej , bez paniki :)
na przyszłość odpuść sobie wszystkie cclenery , wywalają pliki systemowe, Kaspersky Rescue Disk OK potem zapodajesz scaner Online np. ESET i do czyszczenia systemu ja używam Reg Organizer (sprawdzone komercyjne oprogramowanie ).

Jak nie zrobiłeś kopii zapasowej usuwanych plików to:

potrzebujesz płyty instalacyjnej z Windows 7 odpowiedniej architektury , która jest zainstalowana na danym sprzęcie , możesz pożyczyć lub utworzyć dysk naprawy , opcja dostępna w Windows 7, potem uruchomisz z niej komputer i klik "Napraw Komputer" , Windows PE przeskanuje partycje systemową i przywróci katalogi systemowe ,
jak rejestr nie został poważnie uszkodzony , system się uruchomi , możesz najpierw spróbować przywrócić system do wcześniejszego stanu , oczywiście jak ochrona systemu była włączona lub też może pójdzie tryb awaryjny , jak powyższe zabiegi nie przyniosą rezultatu , pozostaje odzyskać pliki i przywrócić system z partycji odzyskiwania systemu (recovery) :)

marcin.t · 2014-11-16 19:28:02

System wstał. ufff
Przeskanowałem ESET Online Scannerem i
znalazło mi:
Win32/AdWare.1ClickDownload.AW
Win32/AdWare.1ClickDownload.AM
Win32/Kryptik.BWJC
i wiele innych.
Na razie ich nie usuwam gdyż znalazłem taki opis
http://www.yac.mx/pl/guides/trojan-horse-guides/201 … val-tool.html

Win32/AdWare.1ClickDownload.AJ jest bardzo niebezpieczny trojan, który może zainfekować systemu MBR (Master Boot Record), co doprowadzi do awarii systemu, jeśli nie zostały usunięte w czasie.Poza tym, Trojan ten będzie całkowicie zepsuć rejestrów Windows i generuje losowe pliki i procesy, aby wykorzenić fałszywe głęboko w systemie.T

Opis nie dotyczy moich *AW czy *AM tylko *AJ ale doszedłem do wniosku że jak EAST skasuje mi te wirusy to znowu będę miał 0xc000000f
Znacie narzędzie YAC PC Cleaner ? Poradzi sobie z tymi wirusami, usuwać ESET-em czy jedyne rozwiązanie to kopia danych i format C ?

uzytkownikubunt · 2014-11-16 19:53:37

1243

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:02:39)

Forum Debian Users Gang

Ogłoszenie

#1 2014-11-16 10:17:49

marcin.t - Użytkownik

Windows 7 bez partcji systemowej.

Kod:

#2 2014-11-16 10:22:29

Pavlo950 - człowiek pasjonat :D

Re: Windows 7 bez partcji systemowej.

#3 2014-11-16 13:25:05

Rafcio6179 - Użytkownik

Re: Windows 7 bez partcji systemowej.

#4 2014-11-16 19:28:02

marcin.t - Użytkownik

Re: Windows 7 bez partcji systemowej.

#5 2014-11-16 19:53:37

uzytkownikubunt - Zbanowany

Re: Windows 7 bez partcji systemowej.

Stopka forum