SPTD.sys - problem i reset przy wlaczaniu systemu

[sztych]

Witam,

Prosze o pomoc w uporaniu sie z systemem.

Problem z uruchomieniem systemu windows.
Przy wlaczaniu windowsa normalnie, wyskakuje blad na niebieskim tle i komputer sie restartuje.
Dzialam w trybie awaryjnym z obsluga sieci, po dluzszych zmaganiach udalo mi sie zainstalowac jakikolwiek program antywirusowy.
Norton AntiVirus po skanie plikow zlikwidowal wirusy, ale problem nadal jest aktualny - nadal nie moge odpalic systemu normalnie.
W razie potrzeby moge zalaczyc informacje o skanowaniu przez program antywirusowy
 

 

System:

 

Microsoft Windows Xp

Professional
Wersja 2002
Dodatek Servise Pack 3

 

Mam problem z Gmer przy wlaczaniu wykakuje okienko z napisem:

LoadDriver("C:\DOCUME~1\ADMINI~\USTAWI~1\Temp\pwadiaod.sys") error 0xC0000001: Dla usuwalnego klucza nadrzędnego nie można utworzyć trwałego podklucza.

po wcisnieciu OK wyskakuje kolejne okienko z napisem:

C:\WINDOWS\system32\config\system: Proces nie może usyskać dostępu do plików, ponieważ jest on używany przez inny proces.

po wciśnieciu OK wyłączam program i czekam na instrukcje bo nie wiem czy wogole powienienem w takim przypadku co kolwiek ruszac


Pozdrawiam i licze na pomoc w odzyskiwaniu systemu

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

W systemie działa rootkit Necurs (blokuje sterowniki systemowe), stąd problem ze startem systemu i uruchomieniem GMER. To nie jedyna infekcja w systemie, ale ma priorytet usuwania. Wykonaj:

 

1. Uruchom Kaspersky TDSSKiller. Dla wyniku Rootkit.Win32.Necurs.gen (3fc68e249a2755ff) oraz UDS:DangerousObject.Multi.Generic (syshost32) wybierz akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Zresetuj system. Na dysku C powstanie log z usuwania.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut), spróbuj też ponowić próbę z GMER. Dołącz log z Kasperskiego.

 

 

 

 

.

[sztych]

Wykonałem następujące czynności:

Uruchomiłem Kaspersky TDSSKiller.
Dla wyniku Rootkit.Win32.Necurs.gen (3fc68e249a2755ff) oraz UDS:DangerousObject.Multi.Generic (syshost32) wybrałem akcję Delete.
Natomiast niebyło wyników typu LockedFile.Multi.Generic.
Zresetowałem system.

 

System uruchomił sie w trybie normalnym.

 

Zalaczam:

-log FRST (bez Addition i Shortcut)
-log z Kaspersky

 

Natomiast program Gmer uruchomil sie bez bledow ale niestety po 15min skanowania zawiesil sie i nieodpowiadal (brak odpowiedzi).
Powtorzylem scan programem Gmer ale po raz kolejny po dluzszym czasie scanowania program sie zawisil.

Od czasu scanowania programu system bardzo zwolnil, uruchamianie i ladowanie Windowsa XP trwa dobre 10 min.
Czytalem na temat Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP).
Należy na kanale, na którym jest dysk twardy, zweryfikować linię Bieżący tryb transferu - niestety nie mam zielonego pojecia gdzie i co mam wykonac.
 

Moge zrobic scan przez tryb awaryjny ale obawiam sie ze straca laptopa tak jak poprzedniego na ktorym rowniez wystepowal problem jak w tytule SPTD.sys - reset systemu. Wtedy postanowilem zrobic formata i zainstalowac od nowa windowsa ale przy 70% instalacji wyskakiwal blad zebym naprawil komputer i od tamtej pory laptop jest niedouzytku
 

FRST.txt

TDSSKiller.3.0.0.37_03.06.2014_12.59.58_log.txt

[picasso]

Natomiast program Gmer uruchomil sie bez bledow ale niestety po 15min skanowania zawiesil sie i nieodpowiadal (brak odpowiedzi) pozostawiajac po sobie szarne okienko.

Powtorzylem scan programem Gmer ale po raz kolejny po dluzszym czasie scanowania program sie zawisil.

Chcialbym zauwazyc ze przy dzialaniu pogramu Gmer system jest bardzo spowolniony

Po pierwsze, nie usunąłeś sterownika SPTD od emulatorów: KLIK. Odinstaluj go narzędziem SPTDinst i zresetuj system.

 

R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [691696 2010-12-12] ()

 

Po drugie, system mógł spowolnić ze względu na zbyt długi czas odpowiedzi kontrolera dysku. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

---

Teraz możemy przejść do usuwania pozostałych infekcji i śmieci. Są tu ślady infekcji routera w postaci tych IP (wg Whois są one z USA i Singapuru):

 

Tcpip\Parameters: [DhcpNameServer] 23.253.94.129 128.199.225.64

 

Należy zalogować się do routera, zmienić ustawienia DNS i login. Jeśli logowanie niemożliwe, wykonaj reset do ustawień fabrycznych via obudowę, ale i tak dane logowania muszą być zmienione. Po wykonaniu tego możesz się zabrać za doczyszczanie adware i innych drobnostek:

 

 

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe
() C:\Program Files\Rock Turner\updater.exe
S2 Update Rock Turner; C:\Program Files\Rock Turner\updateRockTurner.exe [317728 2014-06-01] ()
R2 UpdaterSvcRockTurner; C:\Program Files\Rock Turner\updater.exe [109568 2014-06-01] ()
R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [510608 2014-03-05] (Cherished Technololgy LIMITED)
S2 SkypeUpdate; "C:\Program Files\Skype\Updater\Updater.exe" [X]
R1 {b2db3058-74ee-4ace-bcd8-8cd0fbe3a4f6}t; C:\WINDOWS\System32\drivers\{b2db3058-74ee-4ace-bcd8-8cd0fbe3a4f6}t.sys [55224 2014-05-19] (StdLib)
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S1 SpyEmrg; System32\Drivers\spyemrg.sys [X]
S2 SSPORT; \??\C:\WINDOWS\system32\Drivers\SSPORT.sys [X]
HKLM\...\Run: [fst_pl_46] => [X]
HKLM\...\Run: [upfst_pl_46.exe] => C:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\fst_pl_46\upfst_pl_46.exe -runhelper
HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe
HKLM\...\Run: [DApp] => C:\Program Files\PCDApp\start.vbs
HKU\S-1-5-21-1844237615-1326574676-1417001333-1003\...\Run: [Torntv Downloader] => C:\Program Files\TornTV.com\Torntv Downloader.exe /c=startup
HKU\S-1-5-21-1844237615-1326574676-1417001333-1003\...\Run: [LiveSupport] => "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log
HKU\S-1-5-21-1844237615-1326574676-1417001333-1003\...\Run: [AmitiAntivirus] => C:\Program Files\NETGATE\Amiti Antivirus\AmitiAv.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391784748&from=tt4u&uid=FUJITSUXMHW2120BH_NZ2MT782A413T782A413X&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391784748&from=tt4u&uid=FUJITSUXMHW2120BH_NZ2MT782A413T782A413X&q={searchTerms}
URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=112670&tt=251212_ctrl_5212_3&babsrc=SP_sst&mntrId=0c8056020000000000000017c406f923
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640
BHO: Rock Turner - {527b365c-1bd3-4a66-906f-8729805ce78c} - C:\Program Files\Rock Turner\RockTurnerbho.dll (Rock Turner)
Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff
Task: C:\WINDOWS\Tasks\AmiUpdXp.job => C:\Documents and Settings\Kasia\Dane aplikacji\23300\a6657.exe 
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:51E9F892
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:676C1C69
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\eSafe
C:\Documents and Settings\All Users\Dane aplikacji\IePluginService
C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\Dane aplikacji\WPM
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\MFAData
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp
C:\Documents and Settings\Kasia\Dane aplikacji\23300
C:\Documents and Settings\Kasia\Dane aplikacji\Amiti Antivirus
C:\Documents and Settings\Kasia\Ustawienia lokalne\Temp
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\Mozilla Firefox\plugins
C:\WINDOWS\system32\Drivers\{b2db3058-74ee-4ace-bcd8-8cd0fbe3a4f6}t.sys
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmtr" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ares" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EA Core" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IPLA!" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\kamsoft" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msfpgxjSrv" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
CMD: netsh firewall reset
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj adware Rock Turner, Software Version Updater.

 

3. Wyczyść Firefox:

• menu Historia > Wyczyść historię przeglądania
• menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER (po deinstalacji SPTD). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

[sztych]

Wykonałem nastepujace czynnosci:

-Usunąłem sterownik SPTD i wszystkie jego klucze w regedit
-Usunalem podstawowy kanal IDE w trybie PIO i automatycznie doinstalowalem nowy sterownik
Musze przyznac ze nastapil zwrot akcji i nie pamietam kiedy ten laptop tak śmigał
-Zresetowalem router do ustawien fabrycznych. Juz nie pojawia sie blad FleshPlayera na poszczegolnych stronka internetowych.
-Nastepnie kolejno te 5 podpunktow wykonalem i w zalacznikach zamieszczam logi
Również nie był bym sobą jeśli bym nie napisał, że jeszcze nie spotkałem tak kompetentnej osoby jak pani picasso

AdwCleanerS1.txt

Fixlog.txt

FRST.txt

Gmer.txt