Prośba o sprawdzenie logów

[Nick126]

Witam, krótko mówiąc komputer coś świruje. Nie mam za bardzo czasu żeby nad nim posiedzieć. Oddałem go w zeszłym tygodniu do "fachowca", wrócił po tygodniu i dalej podobnie. Czasem wysypie niebieski ekran, czasem się zwiesi, samoczynnie zrestartuje, później np. nie umie załadować systemu i znowu restart itp. Może coś będziecie umieli poradzić. Niżej log z OTL, później wrzuce z GMER (bo coś długo skanuje).

 

Wklejka #478458 | Wklej.org OTL

 

http://wklej.org/id/478480/ GMER

Edytowane 19 Lutego 2011 przez Nick126

[Kolobos]

Zrob skan przy pomocy mbam oraz cureit.

 

Wykonaj skrypt w OTL:

 

:OTL

PRC - [2011-02-17 14:55:13 | 000,071,702 | ---- | M] () -- C:\WINDOWS\system32\inetserv.exe

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = {searchTerms} - Yahoo! Search Results

O4 - HKCU..\Run: [inetserv] C:\WINDOWS\system32\inetserv.exe ()

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\inetserv.exe) - C:\WINDOWS\system32\inetserv.exe ()

O20 - Winlogon\Notify\Antiwpa: DllName - antiwpa.dll - C:\WINDOWS\System32\antiwpa.dll ()

[2011-02-17 14:55:13 | 000,071,702 | ---- | M] () -- C:\WINDOWS\System32\inetserv.exe

 

:Commands

[emptytemp]

 

 

Daj tez screeny z HdTune.

[Nick126]

Wklejka #479175 | Wklej.org OTL

 

Wklejka #479176 | Wklej.org mbam

 

 

Najpierw zrobiłem skrypt w OTL, potem mbam, hd tune i na konieć CureIt który nic nie wykrył.

Po skrypcie w OTL, restart i kazał mi sprawdzić legalność systemu.

Edytowane 20 Lutego 2011 przez Nick126

[Kolobos]

Bardziej interesuje mnie zakladka Health z HdTune.

 

> kazał mi sprawdzić legalność systemu.

 

Wszystko przez: RemoveWGA.exe antiwpa.dll (usuwa je mbam i ja).

[Nick126]

Znowu problem...

Antyvir wyskoczył z wirusami więc je usunąłem i teraz włączam komputer i wyskakuje okienko "Właściwości urządzenia przenośnego. Nie zainstalowano warstwy transportowej TCP/IP." Poszukałem na googlach, zainstalowałem SockFix'a ale nie pomogło. Co zrobic? Nie ma neta, nie ma nic w połączeniach sieciowych. Nie wiem co zrobic. Inny komputer na tym samym routerze chodzi normalnie.

[Kolobos]

> więc je usunąłem

 

Co DOKLADNIE usunales? Podaj lokalizacje oraz nazwy plikow.

 

Dalej nie dales screenu z HdTune o ktory prosilem.

 

Wpisz w uruchom: sfc /scannow

[Nick126]

Trojan: Win32/Rimecud.A

VirTool: WinNT/ Cutwail.L

Spammer: Win32/Tedroo.A

VirTool: Win32/Injector.gen!AD

PWS:Win32/Bzub.gen

Trojan:Win32//Extats.A

 

C:\WINDOWS\system32\drivers\NDIS.sys

C:\WINDOWS\system32\dllcache\ndis.sys

C:\WINDOWS\system32\drivers\NDIS.sys

C:\WINDOWS\system32\userinit.exe

C:\Documents and Settings\Tomek\xvlof.exe

C:\Documents and Settings\Tomek\Dane aplikacji\xj3noc1lfmddwymmkj33szpyksgtnfwl2\svcnost.exe

C:\Documents and Settings\Tomek\Dane aplikacji\xj3noc1lfmddwymmkj33szpyksgtnfwl2\svcnost.exe

C:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\L4ZZ3LYS\yo[1].exe

C:\Documents and Settings\Tomek\Dane aplikacji\xj3noc1lfmddwymmkj33szpyksgtnfwl2\svcnost.exe

C:\Documents and Settings\Tomek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\KEXNUO6C\yo[1].exe

 

 

Takie rzeczy zostały usunięte. Na górze nazwy, na dole ich lokalizacje.

 

Zrobiłem sfc /... Kilku rzeczy nie mogłem naprawic bo żądał płyty z Professionala, a ja mam HE.

 

Edytowane 25 Lutego 2011 przez Nick126

[Kolobos]

Daj log z combofix, moze przywroci automatycznie pliki systemowe, ktore usunales.

[Nick126]

Aż mi głupio pytac o takie coś... Jak wyłączyc AntyVira? Mam Microsoft Security Essentials i nie umiem znaleźc opcji, żeby go wyłączyc. Próbowałem przez procesy ale to nic nie daje i Combo wywala błąd.

Edytowane 26 Lutego 2011 przez Nick126

[Kolobos]

MSE -> Settings -> Real Time Protection odznacz "Turn on real time protection".

 

Jezeli nie pomoze to odinstaluj MSE.

[Nick126]

Ok, pomogło.

Ale..!

Combo ruszył i "Brak zainstalowanej Konsoli Odzyskiwania systemu Windows. ComboFix potrzebuje połączenia z netem by ściągnac Konsole Odzyskiwania". Pisał, że bez tego nie będzie w stanie usunąc jakiś tam poważniejszych plików, ale skan zrobiony.

 

Wklejka #482888 | Wklej.org

[Kolobos]

Wykonaj taki CFscript.txt z combofix:

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

 

File::

c:\windows\System32\vclglfwc.exe

c:\documents and settings\Tomek\vclglfwc.exe

 

FCopy::

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\System32\drivers\ndis.sys

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\system32\dllcache\ndis.sys

 

 

Po wykonaniu daj log, ktory sie utworzy (internet powinien juz dzialac). Nowy log z OTL.

Daj tez log z: http://forums.majorgeeks.com/chaslang/files/Win32kDiag.exe

 

Nie zaszkodza tez logi z MbrCheck oraz TDSSKiller:

http://ad13.geekstogo.com/MBRCheck.exe

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

[Nick126]

Wrzuciłem ten skrypt. Komputer się zrestartował i nie chciał uruchomic. Wywala okno, że zostało zmienione oprogramowanie itp. i mam możliowśc wyboru Tryb awaryjny itp. Więc włączył Awaryjny i przywróciłem system, uruchomił się, z tym, że jest jak było.

Coś nie tak w skrypcie?

Czekam na dalsze wskazówki i dzięki za dotychczasowe 8O

[Kolobos]

Skrypt wykonaj bez tego:

FCopy::

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\System32\drivers\ndis.sys

c:\windows\ServicePackFiles\i386\ndis.sys | c:\windows\system32\dllcache\ndis.sys

 

Uruchom konsole odzyskiwania i recznie podmien c:\windows\System32\drivers\ndis.sys oraz c:\windows\system32\dllcache\ndis.sys na c:\windows\ServicePackFiles\i386\ndis.sys.

[Nick126]

Nie potrafię podmienic, nigdy tego nie robiłem. Google nie pomogło mi w rozwiązaniu.

[Kolobos]

Pierwszy lepszy link: Konsola Odzyskiwania w 2000/XP/2003 - Searchengines.pl

 

W konsoli wpisz:

move c:\windows\system32\dllcache\ndis.sys c:\windows\system32\dllcache\ndis.bck

copy c:\windows\ServicePackFiles\i386\ndis.sys c:\windows\System32\drivers\ndis.sys

copy c:\windows\ServicePackFiles\i386\ndis.sys c:\windows\system32\dllcache\ndis.sys

 

Mozesz tez sprobowac zgrac recznie pod windows plik c:\windows\system32\dllcache\ndis.sys do c:\windows\System32\drivers\ndis.sys (lub uzyc Replacer - znajdziesz na google). Ten z dllcache wyglada ok.

[Nick126]

OK. Tym razem się udało.

Polecenie move jest nie prawidłowe, zastąpiłem je copy (uznałem, że wyjdzie na to samo).

System nie uruchomił się - tryb awaryjny - przywracanie systemu.

Zrobiłem ponownie, już bez tej pierwszej komendy i wysypuje na sekunde niebieski ekran przy starcie i reset i nie wstaje.

(Jadę na studia, więc wrócę do tematu dopiero w piątek.)

[Kolobos]

Zmien nazwe na z c:\windows\system32\dllcache\ndis.bck na ndis.sys

 

Sciagnij konsole odzyskiwania: http://www.microsoft.com/downloads/details.aspx?familyid=535D248D-5E10-49B5-B80C-0A0205368124&displaylang=pl po sciagnieciu przeciagnij plik na plik combofix.exe (tak jak cfscript) i daj nowy log z combofix.

 

Jezeli combofix w dalszym ciagu nie naprawi ndis.sys to uruchom skrypt w OTL:

 

:Files

c:\windows\System32\drivers\ndis.sys

C:\WINDOWS\System32\dllcache\ndis.sys|c:\windows\ServicePackFiles\i386\ndis.sys /replace

 

 

Daj tez nowy log ze skanowania z OTL, przed skanowaniem do okna skryptu wklej:

 

netsvcs

msconfig

safebootminimal

safebootnetwork

%systemdrive%\*.*

/md5start

agp440.sys

atapi.sys

beep.sys

cdrom.sys

ndis.sys

winlogon.exe

eventlog.dll

/md5stop

Edytowane 28 Lutego 2011 przez Kolobos

[Nick126]

Wklejka #487330 | Wklej.org Combofix

Wklejka #487331 | Wklej.org OTL

 

Zrobiłem tak jak piszesz (tak mi się bynajmniej wydaje 8O)

Ale powiadomienie o braku warstwy transportowej TCP/IP nadal wyskakuje.

[Kolobos]

Daj logi z MbrCheck oraz TDSSKiller:

http://ad13.geekstogo.com/MBRCheck.exe (nic w nim nie usuwaj nawet jezeli cos wykryje)

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

 

Sciagnij nowa wersje combofix i daj nowy log.

 

 

 

 

Ps. Staraj sie troche szybciej odpowiadac na posty, jezeli bedziesz odpowiadal co pare dni to nigdy nie usuniesz tej infekcji.

[Nick126]

Wklejka #487439 | Wklej.org MBRCheck

Wklejka #487441 | Wklej.org TDS

Wklejka #487445 | Wklej.org Combo

 

Ps. Nie mam innej możliwości.

[Kolobos]

Masz ta sama infekcje co tutaj: Błąd/kod 39 we wszystkich kartach sieciowych - Fixitpc.pl - Strona 2

 

Raczej nie ma sensu tego naprawiac, skoro i tak nie ma pewnosci czy zadziala.

 

Ale jak bardzo chcesz:

 

Wykonaj CFScript.txt z combofix:

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vclglfwc"=-

 

File::

c:\windows\System32\vclglfwc.exe

 

FCopy::

c:\windows\system32\dllcache\ndis.sys | c:\windows\system32\drivers\ndis.sys

 

Jezeli pliki sie nie usuna to uzyj OTLPE i przy jego pomocy usun te dwa pliki exe oraz podmien ndis.

 

Nastepnie uruchom w trybie awaryjnym, wklej to do notatnika, zapisz jako fix.reg i uruchom:

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS]

"DisplayName"="Sterownik systemu NDIS"

"ErrorControl"=dword:00000001

"Group"="NDIS Wrapper"

"Start"=dword:00000000

"Type"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\MediaTypes]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\Parameters]

"ProcessorAffinityMask"=dword:ffffffff

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NDIS\Enum]

"0"="Root\\LEGACY_NDIS\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

 

Po dodaniu uruchom system normalnie.

 

Wpisz w uruchom: sfc /scannow

 

Jezeli siec dalej nie bedzie dzialac to wykonaj naprawe systemu z plyty instalacyjnej lub calkowita reinstalacje.