Kolejny ukash

[Sildi]

Jak w temacie, komputer zablokowany

 

Sprawa dośc pilna bo komputer musze do niedzieli zrobić

 

Z góry dziękuję i pozdrawiam, może ktoś nie spi o tej porze;)

Extras.Txt

OTL.Txt

[picasso]

O ile coś nie mataczyłeś już samodzielnie ... nie wygląda na to, by był to log z właściwego konta. Po pierwsze: log jest z Trybu normalnego, co sugeruje, że przełączyłeś się na konto, które nie ma problemu. Po drugie: nie ma tu żadnego wpisu startowego infekcji, jedyna oznaka czynnej infekcji to załadowany w tle proces.

 

========== Processes (SafeList) ==========
 
PRC - [2012-06-29 19:58:37 | 000,072,192 | ---- | M] () -- C:\ProgramData\acqdcbud.exe

 

Jeśli log jest z innego konta niż to które ma problem = należy zrobić nowe logi z właściwego konta (kompletnie inne rejestry części użytkownika, a i rutyna skanująca określone foldery powłoki zwraca inne wyniki).

 

 

 

.

[Sildi]

Rzeczywiscie, pozna godzina zrobila swoje. Wrzucam poprawne logi;)

Extras.Txt

OTL.Txt

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKCU..\Run: [acqdcbudtjktzld] C:\ProgramData\acqdcbud.exe ()
[2012-06-29 19:58:40 | 000,000,000 | ---D | C] -- C:\ProgramData\lfmlmfdioedajqz
[2012-06-29 19:58:42 | 000,072,192 | ---- | C] () -- C:\ProgramData\gocphrgg.exe
[2012-06-29 19:58:37 | 000,000,052 | ---- | C] () -- C:\ProgramData\rvmwnjwzaopfvan
O32 - AutoRun File - [2009-09-01 13:00:36 | 004,039,168 | ---- | M] () - J:\autorun.dat -- [ NTFS ]
O32 - AutoRun File - [2011-08-25 23:36:03 | 000,000,000 | ---- | M] () - J:\autorun.inf -- [ NTFS ]
O3 - HKLM\..\Toolbar: (toolplugin) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - C:\Users\Adam\AppData\Roaming\toolplugin\toolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
IE - HKCU\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - No CLSID value found
IE - HKCU\..\SearchScopes\{F9C647A0-4630-4F9E-92C4-D6BC3581F9FF}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ATU2&o=14670&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=T8&apn_dtid=YYYYYYYYPL&apn_uid=0295b056-1c95-48f0-ae8c-7c24b0e3afef&apn_sauid=32E72D1D-B091-4419-9D5A-CE9FF8B574D5&"
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\pmxdrv.sys -- (pmxdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\ADMINI~1\AppData\Local\Temp\GPU-Z.sys -- (GPU-Z)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\ADMINI~1\AppData\Local\Temp\cpuz131\cpuz_x32.sys -- (cpuz131)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Maciek\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Files
C:\Users\Adam\AppData\Roaming\toolplugin
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Przejdź do Panelu sterowania i odinstaluj adware: Babylon toolbar on IE i vShare.tv plugin 1.3.

 

3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) i zaległy GMER. Dołącz logi z usuwania w punktach 1+3.

 

 

 

.

[Sildi]

Wszystko zrobione po kolei jak w instrukcji a problem jeszcze wiekszy. Teraz komputer jestem w stanie uruchomic juz tylko w trybie awaryjnym, jak probuje uruchomic normalnie to podczas ladowania windowsa wyskakuje blue screen z informacja o bledzie i zrzucaniu pamieci no i reboot:/ chyba ze tak mialo byc:P

 

Załaczam wszystkie logi o ktore byla prosba

 

Jeszcze to koncowe OTL

AdwCleanerS1.txt

07012012_120104.txt

gmer.txt

OTL.Txt

[picasso]

Zadania wykonane. W kwestii nowego problemu:

 

 

Teraz komputer jestem w stanie uruchomic juz tylko w trybie awaryjnym, jak probuje uruchomic normalnie to podczas ladowania windowsa wyskakuje blue screen z informacja o bledzie i zrzucaniu pamieci no i reboot:/ chyba ze tak mialo byc:P

 

To nienormalne zachowanie i nie wiem z jakiego powodu, gdyż jedyne co tu było robione w obszarze sterowników, to usunięcie odpadków "not found" i nic poza tym. To nie powinno mieć takich skutków. O ile nie pusty, przekopiuj na Pulpit folder C:\Windows\Minidump, spakuj do ZIP i dostarcz tu do debugowania zrzutów pamięci.

 

 

 

 

.

[Sildi]

Niestety pusty. Nie było robione nic na wlasna reke, mam nadzieje ze uda sie to zalatwic bez stawiania systemu od nowa

[picasso]

Czy jesteś w stanie przepisać dane z tej planszy BSOD, czyli kod błędu i ewentualny określony plik?

 

Skoro Tryb awaryjny wchodzi, to sugeruje problem w sterownikach. Wg OTL nie jest aż tak bogato w niedomyślnych:

 

========== Driver Services (SafeList) ==========
 
DRV - [2011-07-08 21:43:44 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011-07-08 21:43:44 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010-06-17 16:27:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009-10-14 08:07:40 | 000,348,160 | ---- | M] (NETGEAR Inc.                           ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\wg111v3.sys -- (RTL8187B)
DRV - [2009-07-17 20:53:24 | 000,721,904 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2009-04-11 06:42:52 | 000,031,616 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WINUSB)
DRV - [2009-03-27 02:16:28 | 000,012,672 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\cpuz132_x32.sys -- (cpuz132)
DRV - [2009-02-13 12:35:05 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008-12-02 00:14:33 | 004,179,968 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2008-05-02 14:59:40 | 000,122,368 | ---- | M] (Realtek Corporation                                            ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
DRV - [2008-01-21 04:32:51 | 000,050,048 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mstape.sys -- (MSTAPE)
DRV - [2008-01-21 04:32:44 | 000,014,208 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\avcstrm.sys -- (AVCSTRM)
DRV - [2007-04-23 10:50:50 | 000,025,896 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | System | Running] -- C:\Windows\System32\drivers\RtlProt.sys -- (RtlProt)

 

Wstępnie napocznij od deinstalacji Avira, jako że jest to najbardziej rozgałęziony tu system sterowników niedomyślnych.

 

 

 

.

[Sildi]

STOP: C000021a (fatal system error)

The initial session process or system process (..) with a status of 0x00000000 (0xc0000001 0x0010059c)

 

jedyne dane ktore moga sie przydac chyba, dalej jest informacja o zrzucaniu pamieci i resecie

[picasso]

Sprawdź czy w katalogu C:\Windows\system32\config\RegBack są pliki rejestru (SYSTEM / SOFTWARE ...) o dacie modyfikacje sprzed BSODów. Drugie pytanie: czy posiadasz punkt Przywracania systemu sprzed momentu infekcji?

Edytowane 27 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso