Skocz do zawartości

Trojan Crypt i wiele innych


Rekomendowane odpowiedzi

Witam, zanim przejdę do sedna to chciałbym wyjaśnić kilka spraw na wstępie. Na to forum trafiłem dopiero teraz i od razu się zalogowałem, natomiast moja walka z wirusami trwa od wczoraj wieczora, stąd też wykonałem sporo operacji zabronionych w regulaminie i swoim okiem zielonego użytkownika PC nie widzę możliwości ich cofnięcia. Mam nadzieję, że mimo to uzyskam tutaj pomoc.

 

Na wstępie dodam jeszcze, że dziś rano komputer był tak zainfekowany, że działać mogę tylko w trybie awaryjnym, w którym to sporą trudność stwarza mi nawet włączenie przeglądarki www.

 

 

 

1. Objawy:

- Nie umiem konkretnie określić kiedy to się zaczęło i które z objawów mogą być niepokojące. Pierwszy z nich to spowolnienie Facebooka (długie ładowanie, trudność w logowaniu i mułowate działanie wyszukiwarek). Drugi natomiast pojawił się po zainstalowaniu gry podejrzanego pochodzenia. Od wtedy Panda Cloud Antywirus zaczął szaleć wyrzucając kolejno komunikaty o wirusach (postępowałem zgodnie z komunikatami, jednak nie przynosiło to efektów, ciągle wykrywano nowe zakażenia).

 

- Obecnie komputer działa tylko w trybie awaryjnym. Charakterystyczne są takie mignięcia pionowe ekranu (jak w wolnych komputerach przy odświeżaniu), oraz całkowita zwiecha po uruchomieniu.

 

2. Moje działania:

- Pierwsze próby z Pandą (zakończone mizernie) jedyne czego się dowiedziałem i mogę spamięta.

- Ściągnięcie Aviry, która wykryła 39 zagrożeń (o zgrozo! raport w załączniku nie dał się umieścić więc spróbuję wkleić pod posta) nic usunąć nie mogła.

- Ściągnięcie programu Malwarebytes Anti-Malware który to usunął 4 zagrożenia ale raczej nie te główne i najgorsze.

- Ściągnięcie programu ALWILU (brata Avasta) do czyszczenia komputera z wirusów, nazwy nie mogę odszukać -> (aswclnr?)

- Gdy byłem załamany nieskutecznością I TUTAJ moje złamanie nieświadome regulaminu... zastosowałem rano ComboFix, z którego loga również dołączam. Dodatkowo z wstydem przyznaję, że w trybie nie awaryjnym, do którego już z ww przyczyn nie mam dostępu używam Daemon Tools i nie umiem go wyłączyć z Tryb. Awar. A przy robieniu skana z Combo Fixem moje antywirusy (cała ich gromanda też wwym. miały ochronę wyłączoną, jednak Combo wyświetlał komunikat o ich działaniu i też tego nie umiałem wyłączyć).

- Usunięcie plików które uznałem za zakażone, ale w sposób ręczny i niezorganizowany na podstawie wybiórczych raportów, oraz próby odpalenia programów wyżej wym. przy wyłączonym odzyskiwaniu systemu.

 

Bardzo proszę o pomoc w załączniki wrzucam Logi. Chętnie dostosuję się do waszych instrukcji i zaleceń, poczynając od tych co zrobić aby w trybie awaryjnym skonfigurować PC do poprawnej diagnozy(zdaję sobie sprawę, że obecne raporty mogą być złe ze względu na Daemona czy Combofixa ale po prostu nie wiem jak to zrobić) po te co zrobić aby uratować dysk bez formatu.

 

RAPORT AVIRY:

 

 

 

 

Avira Free Antivirus

Report file date: 26 lutego 2012 23:21

 

Scanning for 3499677 virus strains and unwanted programs.

 

The program is running as an unrestricted full version.

Online services are available:

 

Licensee : Avira AntiVir Personal - Free Antivirus

Serial number : 0000149996-ADJIE-0000001

Platform : Windows XP

Windows version : (Dodatek Service Pack 3) [5.1.2600]

Boot mode : Normally booted

Username : SYSTEM

Computer name : PC-C82DCBE3BB

 

Version information:

BUILD.DAT : 12.0.0.849 41825 Bytes 2011-09-23 20:19:00

AVSCAN.EXE : 12.1.0.17 490448 Bytes 2011-09-23 17:04:46

AVSCAN.DLL : 12.1.0.17 54224 Bytes 2011-09-23 12:34:56

LUKE.DLL : 12.1.0.17 68304 Bytes 2011-09-23 11:55:16

AVSCPLR.DLL : 12.1.0.22 100048 Bytes 2012-02-26 18:57:02

AVREG.DLL : 12.1.0.29 228048 Bytes 2012-02-26 18:57:01

VBASE000.VDF : 7.10.0.0 19875328 Bytes 2009-11-06 19:18:34

VBASE001.VDF : 7.11.0.0 13342208 Bytes 2010-12-14 10:07:39

VBASE002.VDF : 7.11.19.170 14374912 Bytes 2011-12-20 18:56:10

VBASE003.VDF : 7.11.21.238 4472832 Bytes 2012-02-01 18:56:30

VBASE004.VDF : 7.11.21.239 2048 Bytes 2012-02-01 18:56:30

VBASE005.VDF : 7.11.21.240 2048 Bytes 2012-02-01 18:56:30

VBASE006.VDF : 7.11.21.241 2048 Bytes 2012-02-01 18:56:30

VBASE007.VDF : 7.11.21.242 2048 Bytes 2012-02-01 18:56:30

VBASE008.VDF : 7.11.21.243 2048 Bytes 2012-02-01 18:56:30

VBASE009.VDF : 7.11.21.244 2048 Bytes 2012-02-01 18:56:30

VBASE010.VDF : 7.11.21.245 2048 Bytes 2012-02-01 18:56:30

VBASE011.VDF : 7.11.21.246 2048 Bytes 2012-02-01 18:56:30

VBASE012.VDF : 7.11.21.247 2048 Bytes 2012-02-01 18:56:30

VBASE013.VDF : 7.11.22.33 1486848 Bytes 2012-02-03 18:56:36

VBASE014.VDF : 7.11.22.56 687616 Bytes 2012-02-03 18:56:39

VBASE015.VDF : 7.11.22.92 178176 Bytes 2012-02-06 18:56:40

VBASE016.VDF : 7.11.22.154 144896 Bytes 2012-02-08 18:56:41

VBASE017.VDF : 7.11.22.220 183296 Bytes 2012-02-13 18:56:41

VBASE018.VDF : 7.11.23.34 202752 Bytes 2012-02-15 18:56:42

VBASE019.VDF : 7.11.23.98 126464 Bytes 2012-02-17 18:56:43

VBASE020.VDF : 7.11.23.150 148480 Bytes 2012-02-20 18:56:43

VBASE021.VDF : 7.11.23.224 172544 Bytes 2012-02-23 18:56:44

VBASE022.VDF : 7.11.23.225 2048 Bytes 2012-02-23 18:56:44

VBASE023.VDF : 7.11.23.226 2048 Bytes 2012-02-23 18:56:44

VBASE024.VDF : 7.11.23.227 2048 Bytes 2012-02-23 18:56:44

VBASE025.VDF : 7.11.23.228 2048 Bytes 2012-02-23 18:56:44

VBASE026.VDF : 7.11.23.229 2048 Bytes 2012-02-23 18:56:44

VBASE027.VDF : 7.11.23.230 2048 Bytes 2012-02-23 18:56:44

VBASE028.VDF : 7.11.23.231 2048 Bytes 2012-02-23 18:56:44

VBASE029.VDF : 7.11.23.232 2048 Bytes 2012-02-23 18:56:44

VBASE030.VDF : 7.11.23.233 2048 Bytes 2012-02-23 18:56:45

VBASE031.VDF : 7.11.24.8 96768 Bytes 2012-02-26 18:56:45

Engineversion : 8.2.10.8

AEVDF.DLL : 8.1.2.2 106868 Bytes 2012-02-26 18:57:00

AESCRIPT.DLL : 8.1.4.7 442746 Bytes 2012-02-26 18:56:59

AESCN.DLL : 8.1.8.2 131444 Bytes 2012-02-26 18:56:59

AESBX.DLL : 8.2.4.5 434549 Bytes 2012-02-26 18:57:00

AERDL.DLL : 8.1.9.15 639348 Bytes 2011-09-08 22:16:06

AEPACK.DLL : 8.2.16.3 799094 Bytes 2012-02-26 18:56:58

AEOFFICE.DLL : 8.1.2.25 201084 Bytes 2012-02-26 18:56:56

AEHEUR.DLL : 8.1.4.0 4436342 Bytes 2012-02-26 18:56:56

AEHELP.DLL : 8.1.19.0 254327 Bytes 2012-02-26 18:56:48

AEGEN.DLL : 8.1.5.21 409971 Bytes 2012-02-26 18:56:47

AEEXP.DLL : 8.1.0.23 70005 Bytes 2012-02-26 18:57:01

AEEMU.DLL : 8.1.3.0 393589 Bytes 2011-09-01 22:46:01

AECORE.DLL : 8.1.25.4 201079 Bytes 2012-02-26 18:56:46

AEBB.DLL : 8.1.1.0 53618 Bytes 2011-09-01 22:46:01

AVWINLL.DLL : 12.1.0.17 27344 Bytes 2011-09-23 11:13:18

AVPREF.DLL : 12.1.0.17 51920 Bytes 2011-09-23 10:53:57

AVREP.DLL : 12.1.0.17 179408 Bytes 2011-09-23 10:55:01

AVARKT.DLL : 12.1.0.17 223184 Bytes 2011-09-23 10:25:26

AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 2011-09-23 10:34:37

SQLITE3.DLL : 3.7.0.0 398288 Bytes 2011-09-16 01:05:58

AVSMTP.DLL : 12.1.0.17 62928 Bytes 2011-09-23 11:03:47

NETNT.DLL : 12.1.0.17 17104 Bytes 2011-09-23 11:58:06

RCIMAGE.DLL : 12.1.0.17 4450000 Bytes 2011-09-23 12:37:25

RCTEXT.DLL : 12.1.0.16 96208 Bytes 2011-09-23 12:37:24

 

Configuration settings for the scan:

Jobname.............................: Complete system scan

Configuration file..................: c:\program files\avira\antivir desktop\sysscan.avp

Logging.............................: default

Primary action......................: interactive

Secondary action....................: ignore

Scan master boot sector.............: on

Scan boot sector....................: on

Boot sectors........................: C:,

Process scan........................: on

Extended process scan...............: on

Scan registry.......................: on

Search for rootkits.................: on

Integrity checking of system files..: off

Scan all files......................: All files

Scan archives.......................: on

Recursion depth.....................: 20

Smart extensions....................: on

Macro heuristic.....................: on

File heuristic......................: extended

 

Start of the scan: 26 lutego 2012 23:21

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

 

Starting search for hidden objects.

 

The scan of running processes will be started

Scan process 'chrome.exe' - '41' Module(s) have been scanned

Scan process 'rsmsink.exe' - '27' Module(s) have been scanned

Scan process 'chrome.exe' - '42' Module(s) have been scanned

Scan process 'chrome.exe' - '41' Module(s) have been scanned

Scan process 'chrome.exe' - '41' Module(s) have been scanned

Scan process 'chrome.exe' - '41' Module(s) have been scanned

Scan process 'chrome.exe' - '63' Module(s) have been scanned

Scan process 'msdtc.exe' - '39' Module(s) have been scanned

Scan process 'dllhost.exe' - '58' Module(s) have been scanned

Scan process 'dllhost.exe' - '44' Module(s) have been scanned

Scan process 'vssvc.exe' - '47' Module(s) have been scanned

Scan process 'avscan.exe' - '68' Module(s) have been scanned

Scan process 'NMIndexStoreSvr.exe' - '47' Module(s) have been scanned

Scan process 'Skype.exe' - '75' Module(s) have been scanned

Scan process 'NMIndexingService.exe' - '36' Module(s) have been scanned

Scan process 'ctfmon.exe' - '23' Module(s) have been scanned

Scan process 'NMBgMonitor.exe' - '40' Module(s) have been scanned

Scan process 'DTLite.exe' - '27' Module(s) have been scanned

Scan process 'avgnt.exe' - '65' Module(s) have been scanned

Scan process 'hamachi-2-ui.exe' - '28' Module(s) have been scanned

Scan process 'AlarmMe.exe' - '24' Module(s) have been scanned

Scan process 'jusched.exe' - '18' Module(s) have been scanned

Scan process 'realsched.exe' - '24' Module(s) have been scanned

Scan process 'DDmService.exe' - '21' Module(s) have been scanned

Scan process 'DivXUpdate.exe' - '58' Module(s) have been scanned

Scan process 'GrooveMonitor.exe' - '33' Module(s) have been scanned

Scan process 'Smax4.exe' - '18' Module(s) have been scanned

Scan process 'smax4pnp.exe' - '31' Module(s) have been scanned

Scan process 'PSUNMain.exe' - '55' Module(s) have been scanned

Scan process 'RUNDLL32.EXE' - '26' Module(s) have been scanned

Scan process 'alg.exe' - '34' Module(s) have been scanned

Scan process 'avshadow.exe' - '24' Module(s) have been scanned

Scan process 'nSvcIp.exe' - '39' Module(s) have been scanned

Scan process 'nSvcAppFlt.exe' - '40' Module(s) have been scanned

Scan process 'wdfmgr.exe' - '14' Module(s) have been scanned

Scan process 'PnkBstrA.exe' - '32' Module(s) have been scanned

Scan process 'nvsvc32.exe' - '32' Module(s) have been scanned

Scan process 'nSvcLog.exe' - '30' Module(s) have been scanned

Scan process 'NBService.exe' - '36' Module(s) have been scanned

Scan process 'PSANHost.exe' - '191' Module(s) have been scanned

Scan process 'mdm.exe' - '20' Module(s) have been scanned

Scan process 'apache.exe' - '53' Module(s) have been scanned

Scan process 'mbamservice.exe' - '45' Module(s) have been scanned

Scan process 'jqs.exe' - '88' Module(s) have been scanned

Scan process 'hamachi-2.exe' - '48' Module(s) have been scanned

Scan process 'apache.exe' - '53' Module(s) have been scanned

Scan process 'ATKKBService.exe' - '10' Module(s) have been scanned

Scan process 'avguard.exe' - '63' Module(s) have been scanned

Scan process 'Explorer.EXE' - '110' Module(s) have been scanned

Scan process 'svchost.exe' - '32' Module(s) have been scanned

Scan process 'sched.exe' - '35' Module(s) have been scanned

Scan process 'spoolsv.exe' - '56' Module(s) have been scanned

Scan process 'svchost.exe' - '38' Module(s) have been scanned

Scan process 'svchost.exe' - '33' Module(s) have been scanned

Scan process 'svchost.exe' - '164' Module(s) have been scanned

Scan process 'svchost.exe' - '39' Module(s) have been scanned

Scan process 'svchost.exe' - '52' Module(s) have been scanned

Scan process 'lsass.exe' - '59' Module(s) have been scanned

Scan process 'services.exe' - '26' Module(s) have been scanned

Scan process 'winlogon.exe' - '69' Module(s) have been scanned

Scan process 'csrss.exe' - '14' Module(s) have been scanned

Scan process 'smss.exe' - '2' Module(s) have been scanned

 

Starting to scan executable files (registry).

The registry was scanned ( '520' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\Documents and Settings\All Users\Dokumenty\bjkpg.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\cfc7e.tmp

[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\cqjivx.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\cvpnv.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\default.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\flxwup.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\hmwh.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\hqtiti.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\jnnjat.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\juaaji.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\jwvg.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\kgbu.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\lequac.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\lsqe.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\nnoj.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\pfxya.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\pndv.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\pyol.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\quxxyl.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\rbqn.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\rowb.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\sxlsl.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\uijs.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\xccf.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\xcpfgr.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\xoctxm.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\xwfgx.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\yxoaxa.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\microsoft\My Playlists.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\microsoft\IdentityCRL\Sample Playlists.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\microsoft\IdentityCRL\production\desktop.ini.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Football Manager 2011.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\My Playlists\Moja muzyka.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Przykładowa muzyka\rmao.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Sample Playlists\Desktop.ini.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Sample Playlists\000A7425\Smallest File Size.joboptions.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moje obrazy\Desktop.ini.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moje obrazy\Przykładowe obrazy\PDFX3 2003 JPN.joboptions.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moje wideo\AlbumArt_{EFFDEB51-C913-4EE1-8B2A-C80112057955}_Small.jpg.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

 

Beginning disinfection:

C:\Documents and Settings\All Users\Dokumenty\Moje wideo\AlbumArt_{EFFDEB51-C913-4EE1-8B2A-C80112057955}_Small.jpg.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '4d0310be.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moje obrazy\Przykładowe obrazy\PDFX3 2003 JPN.joboptions.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '55a83f31.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moje obrazy\Desktop.ini.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '07da65fa.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Sample Playlists\000A7425\Smallest File Size.joboptions.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '61fb2a30.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Sample Playlists\Desktop.ini.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '24690706.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Przykładowa muzyka\rmao.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '5b64356f.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\My Playlists\Moja muzyka.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '17c3193b.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Football Manager 2011.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '6bd6596b.qua'.

C:\Documents and Settings\All Users\Dokumenty\microsoft\IdentityCRL\production\desktop.ini.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '46887630.qua'.

C:\Documents and Settings\All Users\Dokumenty\microsoft\IdentityCRL\Sample Playlists.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '5fea4dae.qua'.

C:\Documents and Settings\All Users\Dokumenty\microsoft\My Playlists.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '336b6186.qua'.

C:\Documents and Settings\All Users\Dokumenty\yxoaxa.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '42015810.qua'.

C:\Documents and Settings\All Users\Dokumenty\xwfgx.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '4c1268d6.qua'.

C:\Documents and Settings\All Users\Dokumenty\xoctxm.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '0926119c.qua'.

C:\Documents and Settings\All Users\Dokumenty\xcpfgr.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '003a1523.qua'.

C:\Documents and Settings\All Users\Dokumenty\xccf.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '586c0c4a.qua'.

C:\Documents and Settings\All Users\Dokumenty\uijs.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '74817588.qua'.

C:\Documents and Settings\All Users\Dokumenty\sxlsl.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '4a7d1541.qua'.

C:\Documents and Settings\All Users\Dokumenty\rowb.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '29043e3b.qua'.

C:\Documents and Settings\All Users\Dokumenty\rbqn.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '0fb67e35.qua'.

C:\Documents and Settings\All Users\Dokumenty\quxxyl.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '3d5b0585.qua'.

C:\Documents and Settings\All Users\Dokumenty\pyol.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '37652ef7.qua'.

C:\Documents and Settings\All Users\Dokumenty\pndv.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '08214aa7.qua'.

C:\Documents and Settings\All Users\Dokumenty\pfxya.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '76614688.qua'.

C:\Documents and Settings\All Users\Dokumenty\nnoj.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '2362424b.qua'.

C:\Documents and Settings\All Users\Dokumenty\lsqe.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '2ef63378.qua'.

C:\Documents and Settings\All Users\Dokumenty\lequac.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '32ab2763.qua'.

C:\Documents and Settings\All Users\Dokumenty\kgbu.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '036f6aa3.qua'.

C:\Documents and Settings\All Users\Dokumenty\jwvg.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '6f557e85.qua'.

C:\Documents and Settings\All Users\Dokumenty\juaaji.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '26a45b8c.qua'.

C:\Documents and Settings\All Users\Dokumenty\jnnjat.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '7d225344.qua'.

C:\Documents and Settings\All Users\Dokumenty\hqtiti.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '1b965fb0.qua'.

C:\Documents and Settings\All Users\Dokumenty\hmwh.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '4c672d04.qua'.

C:\Documents and Settings\All Users\Dokumenty\flxwup.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '6e147a70.qua'.

C:\Documents and Settings\All Users\Dokumenty\default.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '067600ef.qua'.

C:\Documents and Settings\All Users\Dokumenty\cvpnv.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '260a0475.qua'.

C:\Documents and Settings\All Users\Dokumenty\cqjivx.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '732042ca.qua'.

C:\Documents and Settings\All Users\Dokumenty\cfc7e.tmp

[DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '1219636e.qua'.

C:\Documents and Settings\All Users\Dokumenty\bjkpg.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '77ad21e1.qua'.

 

 

End of the scan: 26 lutego 2012 23:38

Used time: 17:05 Minute(s)

 

The scan has been canceled!

 

908 Scanned directories

5595 Files were scanned

39 Viruses and/or unwanted programs were found

0 Files were classified as suspicious

0 Files were deleted

0 Viruses and unwanted programs were repaired

39 Files were moved to quarantine

0 Files were renamed

0 Files cannot be scanned

5556 Files not concerned

38 Archives were scanned

0 Warnings

39 Notes

613924 Objects were scanned with rootkit scan

0 Hidden objects were found

OTL.Txt

Extras.Txt

CombofixLOG.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
- Ściągnięcie programu ALWILU (brata Avasta) do czyszczenia komputera z wirusów, nazwy nie mogę odszukać -> (aswclnr?)

 

Nie mam pojęcia o czym mówisz i co w zasadzie użyłeś. Alwil Software to stara nazwa firmy, aktualnie firma to AVAST Software, Avast nie ma brata. Jeżeli używałeś mini skaner "Avast! Virus Cleaner", to jest nieprzydatna staroć, szczepionka adresująca stare formy robaków, już dawno usunięta przez producenta.

 

 

- Gdy byłem załamany nieskutecznością I TUTAJ moje złamanie nieświadome regulaminu... zastosowałem rano ComboFix, z którego loga również dołączam. Dodatkowo z wstydem przyznaję, że w trybie nie awaryjnym, do którego już z ww przyczyn nie mam dostępu używam Daemon Tools i nie umiem go wyłączyć z Tryb. Awar. A przy robieniu skana z Combo Fixem moje antywirusy (cała ich gromanda też wwym. miały ochronę wyłączoną, jednak Combo wyświetlał komunikat o ich działaniu i też tego nie umiałem wyłączyć).

 

1. ComboFix pobierany ze złego serwisu. Jedyne autoryzowane linki gwarantujące najnowszą wersję to te w przyklejonym temacie (KLIK).

 

[2012-02-26 23:20:33 | 000,000,000 | ---D | C] -- C:\ComboFix_www.INSTALKI.pl_11015C

[2012-02-26 23:18:26 | 000,000,000 | ---D | C] -- C:\ComboFix_www.INSTALKI.pl_

 

2. Dostęp do DEAMON Tools nieistotny, istotnym jest deaktywacja sterownika emulacji, który jest oznaczony jako czynny:

 

DRV - [2010-10-25 14:20:27 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Wykonaj ponowny rozruch w Trybie awaryjnym, na samym początku ładowania powinna się zgłosić linia typu "Press ESC to cancel loading SPTD" i tu spodziewana reakcja z klawiatury, anulująca przez ESC ładowanie SPTD. Następnie już w Windows Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd

 

Dwuklik na wartość Start i zamień aktualną liczbę 0 na 4. Zresetuj system do Trybu awaryjnego.

 

 

- Obecnie komputer działa tylko w trybie awaryjnym. Charakterystyczne są takie mignięcia pionowe ekranu (jak w wolnych komputerach przy odświeżaniu), oraz całkowita zwiecha po uruchomieniu.

 

Nie został tu dostarczony GMER, po wyłączeniu sterownika SPTD zrób go. Oceniając obecne logi: nie widzę śladów infekcji czynnej, jedynie wtręty sponsoringowe (Babylon Toolbar / pdfforge Toolbar), zaś ComboFix nic specjalnego nie usuwał ... Czyli w logach nie widać infekcyjnego powodu dla blokady Trybu normalnego.

 

 

Proponuję w pierwszej kolejności oczyścić pole:

- wywalić wszystkie antywirusy (to równie prawdopodobna przyczyna blokady startu Trybu normalnego), czyli Avira + Panda.

- odinstalować problematyczną zaporę NVIDIA ForceWare Network Access Manager

Nie jestem pewna ile z wyliczonych jest możliwe do deinstalacji w Trybie awaryjnym, gdyż w takowym nie działa usługa Instalator Windows. Ale próbuj i podaj mi tu rezultaty.

 

 

 

.

Odnośnik do komentarza

1. Nie miałem "press ESC to cancel loading..." tylko "press ENTER to continue SPTD loading" więc nic nie naciskałem i zmieniłem w rejestrze to co mi polecił Picasso.

 

2. Avira i Panda zostały odinstalowane, udało się to zrobić z panelu sterowania w awaryjnym. Gorzej z tą zaporą NVIDIA Force Network Acces Manage. Próbowałem ją usunąć ale jakoś specjalnie nie zniknęła z listy w Dodaj/usuń.

 

3. Nie próbowałem uruchomić komputera w trybie normalnym bo na razie się boję. Przypomniało mi się, że ComboFix ściągnął narzędzie do tworzenia kopii systemu i że taką utworzył. Czy to ma jakiś negatywny wpływ?

 

Czekam na dalsze wskazówki.

 

(EDIT) teraz przejrzałem tego Loga i czemu w nim ciągle jest coś o sptd? Mam nadzieję, że udało mi się go wyłączyć bo postąpiłem zgodnie ze wskazówkami. Przy komunikacie o kontynuowaniu wczytywania sterownika nie naciskałem nic żeby to kontynuować, wartość w rejestrze zmieniłem na 4 i zrestartowałem komputer, ale dwa razy bo przy okazji odinstalowywałem antywirusy. Mam nadzieję, że to dobry Log, bo długo na niego czekałem.

 

4. Poniżej log z Gmer

gmer.txt

Odnośnik do komentarza
4. Nie próbowałem uruchomić komputera w trybie normalnym bo na razie się boję. Przypomniało mi się, że ComboFix ściągnął narzędzie do tworzenia kopii systemu i że taką utworzył. Czy to ma jakiś negatywny wpływ?

 

No tak, ale ja czekam właśnie na te wyniki .... Resetuj system do Trybu normalnego i pod rezultaty. A kopia stworzona przez ComboFix nie ma nic do rzeczy.

 

 

Gorzej z tą zaporą NVIDIA Force Network Acces Manage. Próbowałem ją usunąć ale jakoś specjalnie nie zniknęła z listy w Dodaj/usuń.

 

Czy był jakiś błąd?

 

 

(EDIT) teraz przejrzałem tego Loga i czemu w nim ciągle jest coś o sptd?

 

Nie interesuje Cię tu teraz ten aspekt. Stoi ponieważ:

- SPTD nie jest w ogóle odinstalowany, został tylko wyłączony. A nawet gdyby został odinstalowany, klucz SPTD zostaje w rejestrze i nadal widać go w GMER. Przecież w ogłoszeniu działu jest to opisane ...

- Te wpisy w GMER oznaczają zablokowane wpisy rejestru do których nie ma dostępu. To co innego niż czynny sterownik SPTD.

 

 

 

 

.

Odnośnik do komentarza

Z Nvidia Force... nie było błędu, tylko ten program mimo usuwania dalej siedzi. Nie znika (w trybie awaryjnym).

 

Tryb normalny działa, dalej są lekkie zwiechy. Facebook dalej bardzo toporny.

 

Zainstalowałem na nowo Avirę żeby przeprowadzić skana, jest odrobinkę lepiej oto on:

 

 

Avira Free Antivirus

Report file date: 28 lutego 2012 16:35

 

Scanning for 3508202 virus strains and unwanted programs.

 

The program is running as an unrestricted full version.

Online services are available:

 

Licensee : Avira AntiVir Personal - Free Antivirus

Serial number : 0000149996-ADJIE-0000001

Platform : Windows XP

Windows version : (Dodatek Service Pack 3) [5.1.2600]

Boot mode : Normally booted

Username : Michał

Computer name : PC-C82DCBE3BB

 

Version information:

BUILD.DAT : 12.0.0.849 41825 Bytes 2011-09-23 20:19:00

AVSCAN.EXE : 12.1.0.17 490448 Bytes 2011-09-23 17:04:46

AVSCAN.DLL : 12.1.0.17 54224 Bytes 2011-09-23 12:34:56

LUKE.DLL : 12.1.0.17 68304 Bytes 2011-09-23 11:55:16

AVSCPLR.DLL : 12.1.0.22 100048 Bytes 2012-02-28 15:34:05

AVREG.DLL : 12.1.0.29 228048 Bytes 2012-02-28 15:34:04

VBASE000.VDF : 7.10.0.0 19875328 Bytes 2009-11-06 19:18:34

VBASE001.VDF : 7.11.0.0 13342208 Bytes 2010-12-14 10:07:39

VBASE002.VDF : 7.11.19.170 14374912 Bytes 2011-12-20 15:33:13

VBASE003.VDF : 7.11.21.238 4472832 Bytes 2012-02-01 15:33:31

VBASE004.VDF : 7.11.21.239 2048 Bytes 2012-02-01 15:33:31

VBASE005.VDF : 7.11.21.240 2048 Bytes 2012-02-01 15:33:32

VBASE006.VDF : 7.11.21.241 2048 Bytes 2012-02-01 15:33:32

VBASE007.VDF : 7.11.21.242 2048 Bytes 2012-02-01 15:33:32

VBASE008.VDF : 7.11.21.243 2048 Bytes 2012-02-01 15:33:32

VBASE009.VDF : 7.11.21.244 2048 Bytes 2012-02-01 15:33:32

VBASE010.VDF : 7.11.21.245 2048 Bytes 2012-02-01 15:33:32

VBASE011.VDF : 7.11.21.246 2048 Bytes 2012-02-01 15:33:32

VBASE012.VDF : 7.11.21.247 2048 Bytes 2012-02-01 15:33:32

VBASE013.VDF : 7.11.22.33 1486848 Bytes 2012-02-03 15:33:38

VBASE014.VDF : 7.11.22.56 687616 Bytes 2012-02-03 15:33:41

VBASE015.VDF : 7.11.22.92 178176 Bytes 2012-02-06 15:33:42

VBASE016.VDF : 7.11.22.154 144896 Bytes 2012-02-08 15:33:42

VBASE017.VDF : 7.11.22.220 183296 Bytes 2012-02-13 15:33:43

VBASE018.VDF : 7.11.23.34 202752 Bytes 2012-02-15 15:33:44

VBASE019.VDF : 7.11.23.98 126464 Bytes 2012-02-17 15:33:45

VBASE020.VDF : 7.11.23.150 148480 Bytes 2012-02-20 15:33:45

VBASE021.VDF : 7.11.23.224 172544 Bytes 2012-02-23 15:33:46

VBASE022.VDF : 7.11.24.52 219648 Bytes 2012-02-28 15:33:47

VBASE023.VDF : 7.11.24.53 2048 Bytes 2012-02-28 15:33:47

VBASE024.VDF : 7.11.24.54 2048 Bytes 2012-02-28 15:33:47

VBASE025.VDF : 7.11.24.55 2048 Bytes 2012-02-28 15:33:47

VBASE026.VDF : 7.11.24.56 2048 Bytes 2012-02-28 15:33:47

VBASE027.VDF : 7.11.24.57 2048 Bytes 2012-02-28 15:33:47

VBASE028.VDF : 7.11.24.58 2048 Bytes 2012-02-28 15:33:47

VBASE029.VDF : 7.11.24.59 2048 Bytes 2012-02-28 15:33:47

VBASE030.VDF : 7.11.24.60 2048 Bytes 2012-02-28 15:33:47

VBASE031.VDF : 7.11.24.62 12288 Bytes 2012-02-28 15:33:47

Engineversion : 8.2.10.8

AEVDF.DLL : 8.1.2.2 106868 Bytes 2012-02-28 15:34:03

AESCRIPT.DLL : 8.1.4.7 442746 Bytes 2012-02-28 15:34:03

AESCN.DLL : 8.1.8.2 131444 Bytes 2012-02-28 15:34:02

AESBX.DLL : 8.2.4.5 434549 Bytes 2012-02-28 15:34:04

AERDL.DLL : 8.1.9.15 639348 Bytes 2011-09-08 22:16:06

AEPACK.DLL : 8.2.16.3 799094 Bytes 2012-02-28 15:34:01

AEOFFICE.DLL : 8.1.2.25 201084 Bytes 2012-02-28 15:33:59

AEHEUR.DLL : 8.1.4.0 4436342 Bytes 2012-02-28 15:33:58

AEHELP.DLL : 8.1.19.0 254327 Bytes 2012-02-28 15:33:50

AEGEN.DLL : 8.1.5.21 409971 Bytes 2012-02-28 15:33:49

AEEXP.DLL : 8.1.0.23 70005 Bytes 2012-02-28 15:34:04

AEEMU.DLL : 8.1.3.0 393589 Bytes 2011-09-01 22:46:01

AECORE.DLL : 8.1.25.4 201079 Bytes 2012-02-28 15:33:49

AEBB.DLL : 8.1.1.0 53618 Bytes 2011-09-01 22:46:01

AVWINLL.DLL : 12.1.0.17 27344 Bytes 2011-09-23 11:13:18

AVPREF.DLL : 12.1.0.17 51920 Bytes 2011-09-23 10:53:57

AVREP.DLL : 12.1.0.17 179408 Bytes 2011-09-23 10:55:01

AVARKT.DLL : 12.1.0.17 223184 Bytes 2011-09-23 10:25:26

AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 2011-09-23 10:34:37

SQLITE3.DLL : 3.7.0.0 398288 Bytes 2011-09-16 01:05:58

AVSMTP.DLL : 12.1.0.17 62928 Bytes 2011-09-23 11:03:47

NETNT.DLL : 12.1.0.17 17104 Bytes 2011-09-23 11:58:06

RCIMAGE.DLL : 12.1.0.17 4450000 Bytes 2011-09-23 12:37:25

RCTEXT.DLL : 12.1.0.16 96208 Bytes 2011-09-23 12:37:24

 

Configuration settings for the scan:

Jobname.............................: Manual Selection

Configuration file..................: C:\Documents and Settings\All Users\Dane aplikacji\Avira\AntiVir Desktop\PROFILES\folder.avp

Logging.............................: default

Primary action......................: interactive

Secondary action....................: ignore

Scan master boot sector.............: on

Scan boot sector....................: on

Boot sectors........................: C:,

Process scan........................: on

Scan registry.......................: on

Search for rootkits.................: off

Integrity checking of system files..: off

Scan all files......................: Intelligent file selection

Scan archives.......................: on

Recursion depth.....................: 20

Smart extensions....................: on

Macro heuristic.....................: on

File heuristic......................: extended

 

Start of the scan: 28 lutego 2012 16:35

 

Starting master boot sector scan:

Master boot sector HD0

[iNFO] No virus was found!

 

Start scanning boot sectors:

Boot sector 'C:\'

[iNFO] No virus was found!

 

The scan of running processes will be started

Scan process 'avscan.exe' - '1' Module(s) have been scanned

Scan process 'avcenter.exe' - '1' Module(s) have been scanned

Scan process 'avshadow.exe' - '1' Module(s) have been scanned

Scan process 'avguard.exe' - '1' Module(s) have been scanned

Scan process 'avgnt.exe' - '1' Module(s) have been scanned

Scan process 'sched.exe' - '1' Module(s) have been scanned

Scan process 'alg.exe' - '1' Module(s) have been scanned

Scan process 'NMIndexStoreSvr.exe' - '1' Module(s) have been scanned

Scan process 'NMIndexingService.exe' - '1' Module(s) have been scanned

Scan process 'nSvcIp.exe' - '1' Module(s) have been scanned

Scan process 'nSvcAppFlt.exe' - '1' Module(s) have been scanned

Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned

Scan process 'PnkBstrA.exe' - '1' Module(s) have been scanned

Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned

Scan process 'nSvcLog.exe' - '1' Module(s) have been scanned

Scan process 'NBService.exe' - '1' Module(s) have been scanned

Scan process 'mdm.exe' - '1' Module(s) have been scanned

Scan process 'apache.exe' - '1' Module(s) have been scanned

Scan process 'mbamservice.exe' - '1' Module(s) have been scanned

Scan process 'jqs.exe' - '1' Module(s) have been scanned

Scan process 'hamachi-2.exe' - '1' Module(s) have been scanned

Scan process 'apache.exe' - '1' Module(s) have been scanned

Scan process 'ATKKBService.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'Skype.exe' - '1' Module(s) have been scanned

Scan process 'ctfmon.exe' - '1' Module(s) have been scanned

Scan process 'NMBgMonitor.exe' - '1' Module(s) have been scanned

Scan process 'GoogleUpdate.exe' - '1' Module(s) have been scanned

Scan process 'hamachi-2-ui.exe' - '1' Module(s) have been scanned

Scan process 'AlarmMe.exe' - '1' Module(s) have been scanned

Scan process 'SearchSettings.exe' - '1' Module(s) have been scanned

Scan process 'jusched.exe' - '1' Module(s) have been scanned

Scan process 'realsched.exe' - '1' Module(s) have been scanned

Scan process 'DDmService.exe' - '1' Module(s) have been scanned

Scan process 'DivXUpdate.exe' - '1' Module(s) have been scanned

Scan process 'GrooveMonitor.exe' - '1' Module(s) have been scanned

Scan process 'smax4pnp.exe' - '1' Module(s) have been scanned

Scan process 'RUNDLL32.EXE' - '1' Module(s) have been scanned

Scan process 'Explorer.EXE' - '1' Module(s) have been scanned

Scan process 'spoolsv.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'svchost.exe' - '1' Module(s) have been scanned

Scan process 'lsass.exe' - '1' Module(s) have been scanned

Scan process 'services.exe' - '1' Module(s) have been scanned

Scan process 'winlogon.exe' - '1' Module(s) have been scanned

Scan process 'csrss.exe' - '1' Module(s) have been scanned

Scan process 'smss.exe' - '1' Module(s) have been scanned

 

Starting to scan executable files (registry).

The registry was scanned ( '505' files ).

 

 

Starting the file scan:

 

Begin scan in 'C:\'

C:\Documents and Settings\All Users\Dokumenty\gjxxoe.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

C:\Documents and Settings\All Users\Dokumenty\Nowe historie (autostradowy blues).wma.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\microsoft\IdentityCRL.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\microsoft\IdentityCRL\IdentityCRL.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\microsoft\IdentityCRL\production\production.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Plylst14.wpl.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\My Playlists\desktop.ini.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Przykładowa muzyka\desktop.ini.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Sample Playlists\qugcje.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Sample Playlists\000A7425\Plylst2.wpl.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moje obrazy\Plylst12.wpl.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moje obrazy\Przykładowe obrazy\rbnc.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\All Users\Dokumenty\Moje wideo\lsdtnr.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\Documents and Settings\Michał\Moje dokumenty\Downloads\warband_spolszczenie_i_crack_multi_www.przeklej.pl.rar

[0] Archive type: RAR

--> Warband Spolszczenie i crack multi\MBWMP1125\mb_warband_dedicated.exe

[DETECTION] Is the TR/Buzy.1138.1 Trojan

C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\3111890.Uninstall\Uninstall.exe

[DETECTION] Is the TR/Kazy.39540.3 Trojan

C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\ICReinstall\MusicConverterSetup.exe

[DETECTION] Is the TR/Kazy.39540.3 Trojan

C:\Program Files\Codemasters\F1 2010\1911.dll

[DETECTION] Is the TR/Obfuscate.XZ.4040 Trojan

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000001.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000002.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000003.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000004.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000005.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000006.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000007.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000008.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000009.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000010.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000011.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000012.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0002586.exe

[DETECTION] Is the TR/Agent.A.49152 Trojan

 

Beginning disinfection:

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0002586.exe

[DETECTION] Is the TR/Agent.A.49152 Trojan

[NOTE] The file was moved to the quarantine directory under the name '4cfaa3d8.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000012.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '546d8c7f.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000011.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '0632d697.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000010.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '60059955.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000009.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '2581b46b.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000008.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '5a9a860a.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000007.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '1622aa40.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000006.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '6a3aea10.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000005.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '4760c55d.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000004.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '5e08fec7.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000003.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '3254d2f7.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000002.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '43edeb62.qua'.

C:\System Volume Information\_restore{188F9B62-31D2-4B3C-9B58-5AD317394492}\RP1\A0000001.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '4df7dba5.qua'.

C:\Program Files\Codemasters\F1 2010\1911.dll

[DETECTION] Is the TR/Obfuscate.XZ.4040 Trojan

[NOTE] The file was moved to the quarantine directory under the name '08dda2f8.qua'.

C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\ICReinstall\MusicConverterSetup.exe

[DETECTION] Is the TR/Kazy.39540.3 Trojan

[NOTE] The file was moved to the quarantine directory under the name '0168a616.qua'.

C:\Documents and Settings\Michał\Ustawienia lokalne\Temp\3111890.Uninstall\Uninstall.exe

[DETECTION] Is the TR/Kazy.39540.3 Trojan

[NOTE] The file was moved to the quarantine directory under the name '595fbf64.qua'.

C:\Documents and Settings\Michał\Moje dokumenty\Downloads\warband_spolszczenie_i_crack_multi_www.przeklej.pl.rar

[DETECTION] Is the TR/Buzy.1138.1 Trojan

[NOTE] The file was moved to the quarantine directory under the name '75a2c6df.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moje wideo\lsdtnr.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '4b52a668.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moje obrazy\Przykładowe obrazy\rbnc.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '28568d74.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moje obrazy\Plylst12.wpl.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '0ee3cd1c.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Sample Playlists\000A7425\Plylst2.wpl.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '3c77b6b9.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Sample Playlists\qugcje.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '36409dde.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Przykładowa muzyka\desktop.ini.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '0967f98b.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\My Playlists\desktop.ini.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '774bf5ac.qua'.

C:\Documents and Settings\All Users\Dokumenty\Moja muzyka\Plylst14.wpl.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '2235f16e.qua'.

C:\Documents and Settings\All Users\Dokumenty\microsoft\IdentityCRL\production\production.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '2fd9805c.qua'.

C:\Documents and Settings\All Users\Dokumenty\microsoft\IdentityCRL\IdentityCRL.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '338a9447.qua'.

C:\Documents and Settings\All Users\Dokumenty\microsoft\IdentityCRL.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '0259d989.qua'.

C:\Documents and Settings\All Users\Dokumenty\Nowe historie (autostradowy blues).wma.lnk

[DETECTION] Contains recognition pattern of the EXP/CVE-2010-2568.A exploit

[NOTE] The file was moved to the quarantine directory under the name '6e79cdb0.qua'.

C:\Documents and Settings\All Users\Dokumenty\gjxxoe.tmp

[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

[NOTE] The file was moved to the quarantine directory under the name '27e2e8b2.qua'.

 

 

End of the scan: 28 lutego 2012 17:57

Used time: 1:15:55 Hour(s)

 

The scan has been done completely.

 

24053 Scanned directories

768743 Files were scanned

30 Viruses and/or unwanted programs were found

0 Files were classified as suspicious

0 Files were deleted

0 Viruses and unwanted programs were repaired

30 Files were moved to quarantine

0 Files were renamed

0 Files cannot be scanned

768713 Files not concerned

15961 Archives were scanned

0 Warnings

30 Notes

 

Odnośnik do komentarza

Podaj nowe logi z OTL obrazujące jak wygląda aktualnie system z poziomu Trybu normalnego. A pod kątem sponsorów dorzuć i log z AdwCleaner z opcji Search.

 

 

Tryb normalny działa, dalej są lekkie zwiechy. Facebook dalej bardzo toporny.

 

Wnioski: startu nie blokowała wcale infekcja, tylko albo duże skomasowanie programów antywirusowych, albo sterownik SPTD. To jest jedyna zmiana tu wykonana na poziomie zazębiającym się ze startem. Przy czym bardziej skłaniam się do wariantu z AV, bo SPTD był wcześniej, to skanery były doinstalowane. Z historii problemu wynika, że przy oznakach infekcji zainstalowałeś kolejne skanery antywirusowe, po czym został zablokowany start. Oprogramowanie zabezpieczające jest bardzo silne, ładowane przy udziale sterowników, połączenie określonych elementów może skutkować problemami startowymi.

 

 

Zainstalowałem na nowo Avirę żeby przeprowadzić skana, jest odrobinkę lepiej oto on

 

Ale po co instalujesz tę Avirę, skoro właśnie została wyrzucona, by zdiagnozować start i uwolnić go od sterowników Aviry. Do skanowania są inne lżejsze narzędzia, które nie ingerują tak w system jak instalacja Avira. Np. mini skaner Kaspersky Virus Removal Tool.

 

Wyniki z Avira: te wyniki są zbyt słabe, by odpowiadać za usterkę. Żaden z nich nie jest punktem ładowania w starcie, a wszystkie odczyty z katalogu System Volume Information nawet nie mają wpływu na bieżący system, bo to izolowany katalog Przywracania systemu. Katalog ten czyści się w inny sposób a nie antywirusem: KLIK.

 

 

 

.

Odnośnik do komentarza

Włączyłem komputer w t. normalnym. Oprócz błędu o braku sptd (który był również przy ostatnim uruchomieniu) pojawia się taka syt. że po zamknięciu komunikatu o akt. jednego z programów - ekran gaśnie na sekundę (pulpit robi się czarny) i za chwilkę wraca.

 

1. Odinstalowałem Avirę, restart kompa, po drugim wejściu brak problemów z czarnym ekranem, sptd siłą rzeczy jest.

2. Zrobiłem skan w trybie normalnym OTL.

3. Zrobiłem log z opcji search w ADWcleaner. Nie skorzystałem z opcji delete.

 

Ściągam polecone Kaspersky V. R. T. . Rozumiem, że mam zrobić wszystko co w Twoim poście? Czyli przeskanowanie Kasperskym , oczyszczenie katalogu przywracania systemu i skorzystanie z opcji delete adwcleanera? Czekam na potwierdzenie.

OTL.Txt

AdwCleaner.txt

Odnośnik do komentarza

Proszę dołączaj logi w formie Załączników. Wygodniej się je czyta.

 

1. W kwestii skanu antywirusowego: po prostu wykonaj skan Kasperskym i zobaczymy co nam zdradzi.

 

2. W kwestii czyszczenia sponsorów: na początek odinstaluj naturalną drogą przez Panel sterowania Babylon toolbar on IE + pdfforge Toolbar v4.9. Po ukończeniu deinstalacji użyj AdwCleaner z opcji Delete. Nowe logi nie są mi potrzebne do potwierdzeń tych prostych akcji.

 

3. W kwestii przestarzałej zapory nVidia: trzeba się jej pozbyć, to problematyczny wyrób. System już działa w Trybie normalnym, ponów próbę deinstalacji NVIDIA ForceWare Network Access Manager. W razie problemów opisz co się dzieje.

 

Czyszczenie Przywracania systemu zostaw na koniec, gdy system zostanie doprowadzony do stanu uznanego za "końcowy". Na razie są tu prowadzone jeszcze akcje skanujące + rekonfiguracyjne.

 

 

1. Odinstalowałem Avirę, restart kompa, po drugim wejściu brak problemów z czarnym ekranem, sptd siłą rzeczy jest.

 

Ale czy DAEMON Tools używasz w znaczeniu nie chcesz się go pozbyć? Jeśli tak, bez SPTD program nie będzie działał, ba, nawet stawi opór przy deinstalacji (błąd "naruszenia integralności instalacji"). SPTD musi zostać z powrotem włączony, by dokonać jedno z wyliczonych. Czyli należy odwrócić operację w rejestrze:

 

Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd

 

Dwuklik na wartość Start i przywróć 0. Po restarcie systemu sterownik zacznie działać.

 

 

 

.

Odnośnik do komentarza

1. Zapora NVIDIA niby się odinstalowała ale nadal jest na liście w panelu w dodaj/usuń.

 

2. Toolbar odinstalowany

 

3. Skany z Kasperskiego - jeden w załączniku, ten drugi za duży aby go tutaj wkleić (zawiera adresy skanowanych plików).

 

EDIT: Przed chwilą wykonałem skan AdwCleanerem (troszkę usunął). Dalej nie trzeba czytać ale dla pewności umieszczam loga z tej operacji.

 

 

-------

 

 

 

# AdwCleaner v1.500 - Logfile created 03/01/2012 at 19:10:33

# Updated 23/02/2012 by Xplode

# Operating system : Microsoft Windows XP Dodatek Service Pack 3 (32 bits)

# User : Michał - PC-C82DCBE3BB

# Running from : C:\Documents and Settings\Michał\Moje dokumenty\Downloads\adwcleaner.exe

# Option [Delete]

 

 

***** [services] *****

 

 

***** [Files / Folders] *****

 

Folder Deleted : C:\Documents and Settings\All Users\Dane aplikacji\Babylon

Folder Deleted : C:\Documents and Settings\Michał\Dane aplikacji\Babylon

Folder Deleted : C:\Documents and Settings\Michał\Dane aplikacji\BabylonToolbar

Folder Deleted : C:\Documents and Settings\Michał\Dane aplikacji\Search Settings

Folder Deleted : C:\Program Files\Application Updater

Folder Deleted : C:\Program Files\pdfforge Toolbar

Folder Deleted : C:\Program Files\Common Files\spigot

 

***** [H. Navipromo] *****

 

 

***** [Registry] *****

 

Key Deleted : HKCU\Software\Search Settings

Key Deleted : HKLM\SOFTWARE\Application Updater

Key Deleted : HKLM\SOFTWARE\Babylon

Key Deleted : HKLM\SOFTWARE\pdfforge

Key Deleted : HKLM\SOFTWARE\Search Settings

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.DllInfo

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText

Key Deleted : HKLM\SOFTWARE\Classes\pdfforge.Tools

Key Deleted : HKLM\SOFTWARE\Classes\AppID\escort.DLL

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}

Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1}

Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}

Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}

Value Deleted : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{B922D405-6D13-4A2B-AE89-08A030DA4402}]

Value Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [searchSettings]

 

***** [internet Browsers] *****

 

-\\ Internet Explorer v6.0.2900.5512

 

Replaced : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.babylon.com/?babsrc=HP_ss&affID=100474&mntrId=086aa600000000000000001bfc4db177 --> hxxp://www.google.fr

 

-\\ Opera v11.11.2109.0

 

File : C:\Documents and Settings\Michał\Dane aplikacji\Opera\Opera\operaprefs.ini

 

[OK] File is clean.

 

*************************

 

AdwCleaner[R1].txt - [6442 octets] - [29/02/2012 07:52:04]

AdwCleaner[R2].txt - [3023 octets] - [01/03/2012 19:10:29]

AdwCleaner[s1].txt - [3048 octets] - [01/03/2012 19:10:33]

 

########## EOF - C:\AdwCleaner[s1].txt - [3176 octets] ##########

kaspersky2.txt

Odnośnik do komentarza

Przeprowadź już czyszczenie po używanych narzędziach:

 

1. Kasperskiego możesz odinstalować, deinstalacja następuje poprzez zamknięcie okna.

 

2. W AdwCleaner zastosuj Uninstall, co usunie z dysku program i jego logi.

 

3. Odinstaluj w prawidłowy sposób ComboFix, co także wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"c:\documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall

 

 

3. Skany z Kasperskiego - jeden w załączniku, ten drugi za duży aby go tutaj wkleić (zawiera adresy skanowanych plików).

 

Chodziło mi tylko o log z wykrytymi zagrożeniami, a nie z wyciągiem co Kaspersky skanował i innymi typami statusów niż zagrożenie. Kaspersky widzi praktycznie to co Avira, tylko dlaczego? Myślałam, że już usunąłeś te wyniki za pomocą Avira ... Widzę, że wyniki za pomocą Kasperskiego teraz usunięte, OK.

 

 

1. Zapora NVIDIA niby się odinstalowała ale nadal jest na liście w panelu w dodaj/usuń.

 

To jest większy problem, ręcznie trzeba to będzie usunąć. Dla porównania temat: KLIK. W ostatnim dostarczonym logu z OTL widzę od nVidia ogólnie następujące elementy:

 

SRV - [2006-09-11 18:59:28 | 000,172,032 | ---- | M] () [Auto | Running] -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe -- (ForceWare Intelligent Application Manager (IAM)) ForceWare Intelligent Application Manager (IAM)

SRV - [2006-09-11 18:56:02 | 000,135,227 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe -- (nSvcIp)

SRV - [2006-09-11 18:55:42 | 000,065,599 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe -- (nSvcLog)

SRV - [2006-04-13 15:14:26 | 000,020,543 | ---- | M] (Apache Software Foundation) [Auto | Running] -- C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe -- (ForcewareWebInterface)

 

DRV - [2006-09-11 12:45:38 | 000,019,968 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)

DRV - [2006-09-11 12:45:36 | 000,057,856 | R--- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)

DRV - [2006-09-11 12:45:26 | 000,110,592 | R--- | M] (NVIDIA Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\nvtcp.sys -- (NVTCP)

DRV - [2006-08-21 11:24:28 | 000,105,344 | R--- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\nvata.sys -- (nvata)

 

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\system32\nvappfilter.dll (NVIDIA)

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\system32\nvappfilter.dll (NVIDIA)

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINDOWS\system32\nvappfilter.dll (NVIDIA)

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINDOWS\system32\nvappfilter.dll (NVIDIA)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"InstallShield_{1F6423DE-7959-4178-80E0-023C7EAA5347}" = NVIDIA ForceWare Network Access Manager

"InstallShield_{3C3B2C97-0DAB-482F-9C95-6610827210E3}" = ASUS nVIDIA Driver

"NVIDIA Drivers" = NVIDIA Drivers

 

Zanim przejdę do ręcznego usuwania wolę się upewnić czy tu nie ma naturalnej drogi. Czy jest folder C:\NVIDIA\nForceWin2KXP\x.xx\Ethernet\NAM na dysku?

 

 

.

Odnośnik do komentarza
Na chwilę obecną co trapi mojego PC?

 

Nic szczególnego (poza ciągle obecną felerną zaporą nVidia). Od początku tu wyniki infekcji były ocenione nieproporcjonalnie, nie mogły tworzyć aż tak drastycznych problemów jakie tu zaistniały. Problemy w mojej opinii wynikły z przesadzenia ze skanerami i już to wyjaśniałam.

 

 

Zwłaszcza, że mam całkowicie odinstalowane antywirusy wszelkiej maści.

 

Przywróć antywirusa który był pierwotnie, rozumiem że jest to Panda Cloud. Nie instaluj kolejnych skanerów, które mają złożoną strukturę, bo pojawi się konflikt.

 

 

 

 

.

Odnośnik do komentarza

Znalazłem płytki, jednak ciężko mi ocenić jednoznacznie co z nich instalowałem. Zawartości:

 

1. W załączniku (plytka1) o nazwie ASUS Vista Driver Upgrade Kit, chyba nieprzydatna bo śmigam na XP.

 

2. Załącznik (plytka2) to nForce 570 Series.

 

3. Trzecia płytka to zdecydowanie nie to co chcemy bo VGA Driver 2d/3d graph. & vid. accelerator. Więc nie wrzucam jej nawet do napędu.

 

No i mam jeszcze płytki od karty graficznej, ale to też nie to i płytkę z Windowsem, ale gdzie to to jest dobre bardzo pytanie.

 

Chyba nas nic nie urządza prawda?

Plytka1.txt

plytka2.txt

Odnośnik do komentarza

Przepraszam za opóźnienia ale miałem ciężkie dni :)

 

No to płytka nr. 2 pod adresem drivers/chipset/32bit mamy trzy foldery: Ethernet, IDE SMBus. Oraz pliki: AsusSetup i 4 pliki/ustawienia konfiguracyjne o podobnej nazwie do AsusSetup np. Asus_Setup_2k _xp. Trzy rary data1, data2, engine32, pliki konfiguracyjne z językami English, French... Plik layout, dużo plików setup ibt, skn, iss, plik winmgmt, oraz redame o takiej zawartości:

 

 

This WinXP/2K nForce (MCP55) driver package consists of the following components:

 

Ethernet Driver (v65.31) "WHQL"

Network Management Tools (v65.31)

SMBus Driver (v4.57) "WHQL"

Installer (v5.05)

WinXP IDE SataRAID Driver (v6.87) "WHQL"

WinXP IDE SataIDE Driver (v6.87) "WHQL"

WinXP RAIDTOOL Application (v6.87)

 

Nie wiem za bardzo jak to bardziej opisać :(

Odnośnik do komentarza

Mnie chodziło o szczegółowy rozpis struktury katalogu, to są ciągle dane zbyt ogólne. Zrób po prostu listę plików w formie raportu tekstowego:

 

Start > Uruchom > cmd i wpisz komendę:

 

dir /s X:\Drivers\Chipset\32bit\Ethernet >C:\log.txt

 

Pod X podstawiasz literę napędu, w którym siedzi płyta ze sterownikami. Dołącz wynikowy C:\log.txt.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...