Wszystko przez wirusy NOD32 7.0

[llukasz1210]

Witam mam problem z  NOD32 7.0 mianowicie wyskakuje ten komunikat: "wystapil blad podczas uruchamiania uslug. Analiza protokolow (POP3, HTTP) nie bedzie wykonywana". Probowalem odintalowac NOD ale czesc plikow nie miala niby uprawnien administratorskich. Zalaczam logi

Extras.Txt

OTL.Txt

[picasso]

Proszę uzupełnij obowiązkowe wymagane tu raporty: FRST i GMER.

 

 

 

.

[llukasz1210]

 

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-08-27 23:01:28
Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 ST500DM002-1BD142 rev.KC48 465,76GB
Running: q1xl208n.exe; Driver: C:\Users\Master\AppData\Local\

Temp\kwrdrpob.sys


---- Kernel code sections - GMER 2.1 ----

INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 528 fffff800033f7000 45 bytes [43, 4D, 32, 35, 01, 00, 00, ...]
INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLookasideList + 575 fffff800033f702f 16 bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text C:\Windows\system32\DRIVERS\USBPORT.SYS!DllUnload fffff880080b3d8c 12 bytes {MOV RAX, 0xfffffa80052c22a0; JMP RAX}

---- User code sections - GMER 2.1 ----

.text C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe[1724] C:\Windows\syswow64\kernel32.dll!SetUnhandledExceptionFilter 0000000075d88791 4 bytes [C2, 04, 00, 00]
.text C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe[1724] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000076151465 2 bytes [15, 76]
.text C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe[1724] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 00000000761514bb 2 bytes [15, 76]
.text .. * 2
.text C:\Windows\SysWOW64\PnkBstrA.exe[1800] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 322 0000000073311a22 2 bytes [31, 73]
.text C:\Windows\SysWOW64\PnkBstrA.exe[1800] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 496 0000000073311ad0 2 bytes [31, 73]
.text C:\Windows\SysWOW64\PnkBstrA.exe[1800] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 552 0000000073311b08 2 bytes [31, 73]
.text C:\Windows\SysWOW64\PnkBstrA.exe[1800] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 730 0000000073311bba 2 bytes [31, 73]
.text C:\Windows\SysWOW64\PnkBstrA.exe[1800] C:\Windows\SysWOW64\WSOCK32.dll!setsockopt + 762 0000000073311bda 2 bytes [31, 73]

---- Kernel IAT/EAT - GMER 2.1 ----

IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [fffff88001079f1c] \SystemRoot\System32\Drivers\sptd.sys [.text]
IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [fffff88001079cc0] \SystemRoot\System32\Drivers\sptd.sys [.text]
IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [fffff8800107a69c] \SystemRoot\System32\Drivers\sptd.sys [.text]
IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUlong] [fffff8800107aa98] \SystemRoot\System32\Drivers\sptd.sys [.text]
IAT C:\Windows\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [fffff8800107a8f4] \SystemRoot\System32\Drivers\sptd.sys [.text]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoAcquireRemoveLockEx] [fe8b41057320ff83] [unknown section]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoWMIRegistrationControl] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!ExFreePoolWithTag] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoWMIWriteEvent] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoRegisterDeviceInterface] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoSetDeviceInterfaceState] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoStartPacket] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoStartTimer] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!RtlInitUnicodeString] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoDeleteDevice] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!KeSetEvent] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoFreeWorkItem] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!MmGetSystemRoutineAddress] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!KeInitializeEvent] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!RtlQueryRegistryValues] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!RtlInitAnsiString] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!RtlGetVersion] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoDetachDevice] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!PoRequestPowerIrp] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoCancelIrp] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoStopTimer] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoStartNextPacket] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoAllocateWorkItem] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!_vsnwprintf] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!PoStartNextPowerIrp] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!_vsnprintf] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!ZwClose] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IofCompleteRequest] [fffff0b90c428b30] [unknown section]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoReleaseRemoveLockAndWaitEx] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoInitializeTimer] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoFreeIrp] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoSetCompletionRoutineEx] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!PoCallDriver] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoAllocateIrp] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!RtlCompareMemory] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!ObfReferenceObject] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoSetStartIoAttributes] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoInitializeRemoveLockEx] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] [fe3bd80344c20301] [unknown section]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoCreateDevice] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IofCallDriver] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!KeAcquireInStackQueuedSpinLockAtDpcLevel] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!KeReleaseInStackQueuedSpinLock] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoBuildPartialMdl] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoReleaseRemoveLockEx] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!KeAcquireInStackQueuedSpinLock] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoFreeMdl] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!KeDelayExecutionThread] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoGetSfioStreamIdentifier] [ff41f3f741c6ff49] [unknown section]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!KeRemoveEntryDeviceQueue] [ff46084103e0c0c2] [unknown section]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoQueueWorkItem] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoReleaseCancelSpinLock] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoAcquireCancelSpinLock] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoAllocateMdl] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!KeReleaseInStackQueuedSpinLockFromDpcLevel] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!ZwEnumerateValueKey] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoGetDeviceInterfaces] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!ZwOpenKey] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!KeBugCheckEx] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!KeWaitForSingleObject] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!NlsMbCodePageTag] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoIs32bitProcess] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!MmProbeAndLockPages] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!MmUnlockPages] [f5860f2b3900856c] [unknown section]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoAllocateSfioStreamIdentifier] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoFreeSfioStreamIdentifier] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!IoGetIoPriorityHint] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!EtwUnregister] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!EtwRegister] [fff000188c8d4803] [unknown section]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!EtwEventEnabled] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!EtwWrite] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!EtwProviderEnabled] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[ntoskrnl.exe!__C_specific_handler] [?]
IAT C:\Windows\System32\Drivers\avl8fw48.SYS[uSBD.SYS!USBD_CreateConfigurationRequestEx] [?]

---- Devices - GMER 2.1 ----

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 fffffa80039ab2c0
Device \Driver\atapi \Device\Ide\IdePort0 fffffa80039ab2c0
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-2 fffffa80039ab2c0
Device \Driver\atapi \Device\Ide\IdePort1 fffffa80039ab2c0
Device \Driver\atapi \Device\Ide\IdePort2 fffffa80039ab2c0
Device \Driver\atapi \Device\Ide\IdePort3 fffffa80039ab2c0
Device \Driver\avl8fw48 \Device\Scsi\avl8fw481Port4Path0Target0Lun0 fffffa80054f92c0
Device \Driver\avl8fw48 \Device\Scsi\avl8fw481 fffffa80054f92c0
Device \Driver\avl8fw48 \Device\Scsi\avl8fw481Port4Path0Target1Lun0 fffffa80054f92c0
Device \FileSystem\Ntfs \Ntfs fffffa8003a5d2c0
Device \FileSystem\fastfat \Fat fffffa8003dc12c0
Device \Driver\USBSTOR \Device\0000007e fffffa80062182c0
Device \Driver\usbehci \Device\USBPDO-5 fffffa80054842c0
Device \Driver\usbohci \Device\USBFDO-3 fffffa800546f2c0
Device \Driver\usbohci \Device\USBPDO-1 fffffa800546f2c0
Device \Driver\NetBT \Device\NetBT_Tcpip_{19EC6505-288D-44C4-AE0E-710E35F6D7BE} fffffa800512a2c0
Device \Driver\cdrom \Device\CdRom0 fffffa8004e872c0
Device \Driver\cdrom \Device\CdRom1 fffffa8004e872c0
Device \Driver\cdrom \Device\CdRom2 fffffa8004e872c0
Device \Driver\cdrom \Device\CdRom3 fffffa8004e872c0
Device \Driver\USBSTOR \Device\0000007b fffffa80062182c0
Device \Driver\USBSTOR \Device\00000079 fffffa80062182c0
Device \Driver\usbohci \Device\USBPDO-6 fffffa800546f2c0
Device \Driver\usbohci \Device\USBFDO-4 fffffa800546f2c0
Device \Driver\dtsoftbus01 \Device\00000061 fffffa8004af22c0
Device \Driver\usbohci \Device\USBFDO-0 fffffa800546f2c0
Device \Driver\usbehci \Device\USBPDO-2 fffffa80054842c0
Device \Driver\dtsoftbus01 \Device\DTSoftBusCtl fffffa8004af22c0
Device \Driver\USBSTOR \Device\0000007c fffffa80062182c0
Device \Driver\usbehci \Device\USBFDO-5 fffffa80054842c0
Device \Driver\usbohci \Device\USBPDO-3 fffffa800546f2c0
Device \Driver\usbohci \Device\USBFDO-1 fffffa800546f2c0
Device \Driver\USBSTOR \Device\0000007d fffffa80062182c0
Device \Driver\NetBT \Device\NetBt_Wins_Export fffffa800512a2c0
Device \Driver\usbohci \Device\USBFDO-6 fffffa800546f2c0
Device \Driver\usbohci \Device\USBPDO-4 fffffa800546f2c0
Device \Driver\atapi \Device\ScsiPort0 fffffa80039ab2c0
Device \Driver\usbehci \Device\USBFDO-2 fffffa80054842c0
Device \Driver\usbohci \Device\USBPDO-0 fffffa800546f2c0
Device \Driver\atapi \Device\ScsiPort1 fffffa80039ab2c0
Device \Driver\atapi \Device\ScsiPort2 fffffa80039ab2c0
Device \Driver\atapi \Device\ScsiPort3 fffffa80039ab2c0
Device \Driver\avl8fw48 \Device\ScsiPort4 fffffa80054f92c0
Device \Driver\NetBT \Device\NetBT_Tcpip_{B9131A29-4533-4A4A-B813-59042524F0FC} fffffa800512a2c0

---- Modules - GMER 2.1 ----

Module \SystemRoot\System32\Drivers\avl8fw48.SYS (USB Mass Storage Class Driver/Microsoft Corporation SIGNED)(2013-11-05 13:19:22) fffff88008131000-fffff88008182000 (331776 bytes)

---- Registry - GMER 2.1 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x38 0x13 0x58 0xD8 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0xA0 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x3E 0x86 0xBC 0xD4 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xBE 0xD7 0xF0 0xB6 ...
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1
Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x90 0xDF 0xB6 0xFA ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files (x86)\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x38 0x13 0x58 0xD8 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0xA0 0x02 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x3E 0x86 0xBC 0xD4 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0xBE 0xD7 0xF0 0xB6 ...
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x90 0xDF 0xB6 0xFA ...

---- EOF - GMER 2.1 ----

 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

W raporcie są owszem śmieci adware, ale są nieaktywne i mam wątpliwości czy one są związane z błędem NOD. Jaka jest podstawa, by podejrzewać wirusy jako przyczynę tego błędu? Tzn. skąd to wiesz, gdzie te "wirusy" widziałeś? Ten błąd jest relatywny również do innych źródeł. Po drugie: obecnie NOD nie figuruje na liście zainstalowanych, ale widać jego aktywne usługi / sterowniki, co poświadcza niepoprawną deinstalację. I to z pewnością te aktywne procesy są przyczyną zablokowania usuwania elementów, GrantPerms tu nie pomoże. Nawiasem mówiąc: NOD jest definitywnie scrackowany, nie biorę odpowiedzialności za to.

 

Wstępnie usuń resztki NOD i te śmieci:

 

1. Wejdź w Tryb awaryjny Windows i zastosuj ESET Uninstaller. Narzędzie nie będzie działać w Trybie normalnym.

 

2. Następnie otwórz Notatnik i wklej w nim:

 

S2 CouponDownloaderService64; C:\Program Files (x86)\C78087A8-C960-4464-A618-3D351DF6C0D7\eexvlcbkbu64.exe [X]
S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X]
S2 rqpbhevlkc64; C:\Program Files\004\rqpbhevlkc64.exe run options=01100010040000000000000000000000 sourceguid=C78087A8-C960-4464-A618-3D351DF6C0D7 [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1408617927&from=cor&uid=ST500DM002-1BD142_W2AJNZ2CXXXXW2AJNZ2C&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1408617927&from=cor&uid=ST500DM002-1BD142_W2AJNZ2CXXXXW2AJNZ2C&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1408617927&from=cor&uid=ST500DM002-1BD142_W2AJNZ2CXXXXW2AJNZ2C&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1408617927&from=cor&uid=ST500DM002-1BD142_W2AJNZ2CXXXXW2AJNZ2C&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1408617927&from=cor&uid=ST500DM002-1BD142_W2AJNZ2CXXXXW2AJNZ2C&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1408617927&from=cor&uid=ST500DM002-1BD142_W2AJNZ2CXXXXW2AJNZ2C&q={searchTerms}
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\qvo6.xml
FF Extension: CouponDownloader - C:\Users\Master\AppData\Roaming\Mozilla\Firefox\Profiles\94ii8hi3.default\Extensions\j004-efxyrmbzyotmaw@jetpack.xpi [2014-07-28]
FF Extension: ESET Smart Security Extension - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2013-12-03]
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Update ESET's license.lnk
C:\Program Files\004
C:\Program Files\CouponDownloader
C:\Program Files\C78087A8-C960-4464-A618-3D351DF6C0D7
C:\Program Files (x86)\C78087A8-C960-4464-A618-3D351DF6C0D7
C:\Program Files (x86)\Optimizer Pro
C:\Program Files (x86)\SiteLookup
C:\ProgramData\374311380
C:\ProgramData\IePluginServices
C:\ProgramData\WindowsMangerProtect
C:\Users\Master\AppData\Roaming\SimilarAddon
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete "HKU\S-1-5-21-194267556-1109700488-698747584-1000\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Był używay AdwCleaner i to prawdopodobnie on źle naprawił poniższy skrót Internet Explorer (utrata specjalnego parametru):

 

Shortcut: C:\Users\Master\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Master\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[llukasz1210]

Pare tygodni temu potrzebowalem pewnej aplikacji. Na stronie gdzie znalazlem ta aplikacja eset wykryl zagrozenie zignorowalem to pobralem aplikacje nastepnie zainstalowalem i zaczely wyskakiwac dziwne komunikaty nie pamietam jakie. Gdy chcialem otworzyc menu glowne eseta nie bylo zadnego okna czyste pole wiec chcialem odinstalowac eset. Czesc plikow zostala poniewaz nie mialem uprawnien administratora to dziwne bo tylko jedno konto znajduje sie na komputerze. Z kolei eset wyswietlil ten komunikat "wystapil blad podczas uruchamiania uslug. Analiza protokolow (POP3, HTTP) nie bedzie wykonywana". Oto czesc zagrozen ktore wykryl eset:

 

Po wykonaniu tych czynnosci zainstalowalem eset. Dziala w pelni sprawnie.

Fixlog.txt

FRST.txt

[picasso]

Wyniki skanu pokazane na obrazku: dwa pierwsze bez znaczenia (z kwarantanny AdwCleaner), dwa pozostałe to detekcje adware w instalatorze DAEMON Tools Lite. Czyszczenie pomyślnie przeprowadzone, ESET udało się ponownie zainstalować, toteż kończymy:

 

1. Jeszcze drobnostka, sprawdzenie czy odczyt podwójnie wyświetlanej usługi został skorygowany w FRST. Pobierz nową wersję i zrób Scan (bez Addition i Shortcut). Po jego dostarczeniu:

 

2. Usuń używane narzędzia za pomocą DelFix. Co nie zostanie skasowane dokończ już ręcznie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

 

.

[llukasz1210]

Wielkie dzieki za pomoc

FRST.txt

[picasso]

Dzięki. Log potwierdza korektę. Temat rozwiązany. Zamykam.