Marton

Chyba czeka mnie pielgrzymka na kolanach do Holandii (tfu,tfu! - żeby nie zapeszyć!) Podmiana poszła bezproblemowo. Pięciokrotny skan TDSS pokazuje czysto. MSEE na razie milczy. Problem jest tylko z Gmerem, który nie chce wspólpracować. Jak tylko przekonam go roboty, to dam znać. Czy nie należałoby zresetować przywracania systemu? OTL zrobiony : OTL5.Txt

OK rozumiem. Plytka powinna zabotować sama???? Bo coś nie chce....... Wypalałem w Nero. Może spróbuję Active ISO Burner

F8 mam. Natomiast płyta instalacyjna jest 100km ode mnie i tu jest mały problem. Jestem z pewnością na C Visty. W zabezpieczeniach mswsock Administratorzy nie mają pełnej kontroli

No w system32 jestem.... Dobra będę próbował z F8

Zaczynam od mswsok.dll i krzyczy że odmowa dostępu. Z Ultimate nie daje mi dostępu???? Próbować następne?

OTL logfile created on: 2011-01-16 16:36:12 - Run 4 OTL by OldTimer - Version 3.2.20.2 Folder = C:\Users\Mario\Desktop Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18999) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 46,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 70,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 92,77 Gb Total Space | 49,43 Gb Free Space | 53,28% Space Free | Partition Type: NTFS Drive E: | 92,07 Gb Total Space | 57,06 Gb Free Space | 61,98% Space Free | Partition Type: NTFS Computer Name: MARIO-PC | User Name: Mario | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Custom Scans ========== < MD5 for: MSWSOCK.DLL > [2006-11-02 10:46:10 | 000,227,328 | ---- | M] (Microsoft Corporation) MD5=54E9576169A248AD62A1EB9773225826 -- C:\Windows\winsxs\x86_microsoft-windows-w..-infrastructure-bsp_31bf3856ad364e35_6.0.6000.16386_none_b61c950a3060adba\mswsock.dll [2009-04-11 07:28:22 | 000,223,232 | ---- | M] (Microsoft Corporation) MD5=8617350C9B590B63E620881092751BCB -- C:\Windows\System32\mswsock.dll [2009-04-11 07:28:22 | 000,223,232 | ---- | M] (Microsoft Corporation) MD5=8617350C9B590B63E620881092751BCB -- C:\Windows\winsxs\x86_microsoft-windows-w..-infrastructure-bsp_31bf3856ad364e35_6.0.6002.18005_none_ba3ed0122a6d89da\mswsock.dll [2008-01-19 08:35:15 | 000,223,232 | ---- | M] (Microsoft Corporation) MD5=89FD0595EEA4E505CABEFCF7008F2612 -- C:\Windows\winsxs\x86_microsoft-windows-w..-infrastructure-bsp_31bf3856ad364e35_6.0.6001.18000_none_b85357062d4bbe8e\mswsock.dll < MD5 for: WSOCK32.DLL > [2006-11-02 10:46:14 | 000,014,848 | ---- | M] (Microsoft Corporation) MD5=7870FB37A74418E55B0A7DE4776D9E75 -- C:\Windows\winsxs\x86_microsoft-windows-winsock-legacy_31bf3856ad364e35_6.0.6000.16386_none_e12e74ad149badfc\wsock32.dll [2008-01-19 08:37:11 | 000,015,360 | ---- | M] (Microsoft Corporation) MD5=E582816A4855914DEFFC212E12B3B744 -- C:\Windows\System32\wsock32.dll [2008-01-19 08:37:11 | 000,015,360 | ---- | M] (Microsoft Corporation) MD5=E582816A4855914DEFFC212E12B3B744 -- C:\Windows\winsxs\x86_microsoft-windows-winsock-legacy_31bf3856ad364e35_6.0.6001.18000_none_e36536a91186bed0\wsock32.dll < End of report >

OTL logfile created on: 2011-01-16 16:07:29 - Run 3 OTL by OldTimer - Version 3.2.20.2 Folder = C:\Users\Mario\Desktop Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18999) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 46,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 71,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 92,77 Gb Total Space | 49,43 Gb Free Space | 53,28% Space Free | Partition Type: NTFS Drive E: | 92,07 Gb Total Space | 57,06 Gb Free Space | 61,98% Space Free | Partition Type: NTFS Computer Name: MARIO-PC | User Name: Mario | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Custom Scans ========== < MD5 for: KBDCLASS.SYS > [2006-11-02 10:49:57 | 000,032,872 | ---- | M] (Microsoft Corporation) MD5=1A48765F92BA1A88445FC25C9C9D94FC -- C:\Windows\System32\DriverStore\FileRepository\keyboard.inf_93b1c41f\kbdclass.sys [2008-01-19 08:41:52 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=37605E0A8CF00CBBA538E753E4344C6E -- C:\Windows\System32\drivers\kbdclass.sys [2008-01-19 08:41:52 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=37605E0A8CF00CBBA538E753E4344C6E -- C:\Windows\System32\DriverStore\FileRepository\keyboard.inf_da7e599e\kbdclass.sys [2008-01-19 08:41:52 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=37605E0A8CF00CBBA538E753E4344C6E -- C:\Windows\System32\DriverStore\FileRepository\keyboard.inf_f55d5e51\kbdclass.sys [2008-01-19 08:41:52 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=37605E0A8CF00CBBA538E753E4344C6E -- C:\Windows\winsxs\x86_keyboard.inf_31bf3856ad364e35_6.0.6001.18000_none_974e6dd8d8f8ec7e\kbdclass.sys [2008-01-19 08:41:52 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=37605E0A8CF00CBBA538E753E4344C6E -- C:\Windows\winsxs\x86_keyboard.inf_31bf3856ad364e35_6.0.6002.18005_none_9939e6e4d61ab7ca\kbdclass.sys [2008-12-25 02:39:36 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=B076B2AB806B3F696DAB21375389101C -- C:\Windows\System32\DriverStore\FileRepository\keyboard.inf_a81145df\kbdclass.sys [2008-12-25 02:39:36 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=B076B2AB806B3F696DAB21375389101C -- C:\Windows\winsxs\x86_keyboard.inf_31bf3856ad364e35_6.0.6000.16609_none_957131ccdbca3f9c\kbdclass.sys [2008-12-25 02:39:35 | 000,035,384 | ---- | M] (Microsoft Corporation) MD5=C9B0CF786D5F151A43C7BE8E243F2819 -- C:\Windows\winsxs\x86_keyboard.inf_31bf3856ad364e35_6.0.6000.20734_none_95d55d61f504b486\kbdclass.sys < End of report > http://www.speedyshare.com/files/26291386/WinSock2.reg jakby było z hasłem to : sakifaxozixe Nie wiem czy to może mieć związek, ale chyba wczoraj używałem ściągniętego od Was Net-Loga i on mi wyrzucił komunikat : nie znaleziono porządkowej 1108 w bibliotece dołaczanej dynamicznie wysock32.dll a dzisiaj to samo tylko wsock32.dll. Na 100 procent nie jestem pewien wysock32 ale tak zapisałem i raczej tak było. MSEE monituje teraz co kilka minut

Ręce opadają...............wygląda na to, że franca mutuje się i przy likwidacji zarażonego sterownika przełazi na inny. Tym razem padło na kbdclass.sys, Ciekawe, gdzie jest źródło? Gmer i TDSS: http://wklej.org/id/458260/ http://wklej.org/id/458262/

A mogę zamienić pliki z poziomu UltimateCD lub PE Bulider??? Byłoby chyba prościej............

No nie, do podmiany jeszcze nie podchodziłem - czekałem aż Gmer skończy.

Z tym Npts to oczywiście pomyłka raz zapisałem źle i później kopiowałem z błędem. Powinno być Npfs. Od 15 minut leci Gmer mam nadzieję że dotrwa do końca. Na wszelki wypadek przepisałem wpis w kolorze czerwonym: Module (noname}(***hidden***) 915D6000-915DD000 (28672bytes) pojawił się jako następny po ostatniej pozycji jaką zapisałem wczoraj Gmer właśnie skończył http://wklej.org/id/458177/

Skan OTL : OTL logfile created on: 2011-01-16 10:21:58 - Run 2 OTL by OldTimer - Version 3.2.20.2 Folder = C:\Users\Mario\Desktop Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18999) Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd 2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 53,00% Memory free 4,00 Gb Paging File | 3,00 Gb Available in Paging File | 75,00% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files Drive C: | 92,77 Gb Total Space | 49,53 Gb Free Space | 53,39% Space Free | Partition Type: NTFS Drive E: | 92,07 Gb Total Space | 57,06 Gb Free Space | 61,98% Space Free | Partition Type: NTFS Computer Name: MARIO-PC | User Name: Mario | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days ========== Custom Scans ========== < MD5 for: NPFS.SYS > [2006-11-02 09:30:57 | 000,034,816 | ---- | M] (Microsoft Corporation) MD5=4F9832BEB9FAFD8CEB0E541F1323B26E -- C:\Windows\winsxs\x86_microsoft-windows-npfs_31bf3856ad364e35_6.0.6000.16386_none_a43ac2e12000223b\npfs.sys [2009-04-11 05:14:01 | 000,035,328 | ---- | M] (Microsoft Corporation) MD5=D36F239D7CCE1931598E8FB90A0DBC26 -- C:\Windows\System32\drivers\npfs.sys [2009-04-11 05:14:01 | 000,035,328 | ---- | M] (Microsoft Corporation) MD5=D36F239D7CCE1931598E8FB90A0DBC26 -- C:\Windows\winsxs\x86_microsoft-windows-npfs_31bf3856ad364e35_6.0.6002.18005_none_a85cfde91a0cfe5b\npfs.sys [2008-01-19 06:28:10 | 000,034,816 | ---- | M] (Microsoft Corporation) MD5=ECB5003F484F9ED6C608D6D6C7886CBB -- C:\Windows\winsxs\x86_microsoft-windows-npfs_31bf3856ad364e35_6.0.6001.18000_none_a67184dd1ceb330f\npfs.sys < End of report > Gmer niestety dziś rano 2 razy się wyłożył po prescanie i ok minuty skanowania właściwego. Zapisałem wyniki prescanu: GMER 1.0.15.15530 - http://www.gmer.net Rootkit quick scan 2011-01-16 09:00:58 Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 TOSHIBA_ rev.DK02 Running: p1y8z7fn.exe; Driver: C:\Users\Mario\AppData\Local\Temp\fwlcypod.sys ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Menedżer filtrów systemu plików firmy Microsoft/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (Dynamiczna struktura WDF/Microsoft Corporation) AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (Dynamiczna struktura WDF/Microsoft Corporation) ---- Threads - GMER 1.0.15 ---- Thread System [4:400] 90FCCD68 Thread System [4:404] 90FCCD68 Thread System [4:408] 90FC4CEA Thread System [4:412] 90FC4CEA ---- EOF - GMER 1.0.15 ---- Wczoraj, jak Gmer się powiesił spisałem też z okna to co się wyświetliło przed zwisem (niektóre zapisy z prawej strony mogą być obcięte):

Więc po kolei: Odinstalowałem "[cmz vmkd] Virtual Bus" - wpisy w rejestr5ze, które wymieniałem znikły. Ręcznie wywliłem plik C:\ProgramData\.wtav. Po rerstarcie miałem problemy z połączeniem do internetu na wszystkich przeglądarkach, później zacząło świrować połączenie internetowe na drugim(moim) laptopie. W końcu jednak doprowadziłem wszystko do porządku - Net mam na jednym i na drugim. Kontrolnie zresetowałem "podejrzanego"laptopa poprzez odcięcie zasilania - po załadowaniu systemu MSSE kazał usunąć WormWin32sirefefgenA ( a miałem nadzieję że da już spokój). Aktualny log z TDSSKiller załączam - chyba bez zmian. Co do Demona, SPTD i poniekąd Npfs.sys sprawa wygląda tak: Jeszcze przed założeniem wątku na "starym" forum próbowałem różnych aplikacji do zlokalizowania i ewentualnego usunięcia infekcjii. Między innymi przeskanowałem wtedy system TDSS, który o ile dobrze pamiętam za pierwszym razem wyświetił mi jako Suspicious file tylko SPTD. Odinstalowałem wtedy Demona i przy następnym skanowaniu, w ferworze walki wpadłem na głupi pomysł(biję sie w piersi) wywalenia SPTD - zaznaczyłem w opcjach TDSS "delete". Po restarcie komputer uruchomił się ponownie ale w kolejnym skanie TDSS pokazał mi już Suspicious file Npfs i SPDT. Nie dotykałem już tego. Uruchomiłem jeszcze raz komputer a tu kicha,,,,,,,,,,,,,nie dało rady załadować systemu.W trybie awaryjnym użyłem opcji przywracania systemu. Na swoje usprawiedliwienie mogę podać jedynie to, że do tej pory nie miałem kontaktu z emulacją napędów i nie sądziłem że to taki problem, Dzisiaj liznąłem trochę wiedzy i zaopatrzyłem się SPDTinst. Ale i tutaj zonk!!! Po odinstalowaniu demona i próbie uruchomienie Spdtinst wyskakuje komunikat: c:\Users\Mario\Desktop\SPTDinst-v176-x86.exe nie jest prawidową aplikacją systemu Win32 Robić Gmera tak jak jest? http://wklej.org/id/457789/ Doczytałem na innym wątku o problemach z plikami pobaranymi przez IE. Ściągnąłem Firefoxem i poszło - Sptd odinstalowany' Biorę sie za gmera. EDYCJA: Gmer po prescanie i minucie scanu ponad godzinę stoi w miejscu. Nie wygląda żeby coś robił .Zegar sysytemowy stoi od 22.59 myszka ani touchpad nie reagują. Restartować? Doradzi ktoś? No dobra, zakończyłem tą nierówną walkę guzikiem. Rano spróbuję ponownie.

Witam. Problem, który mnie dotyczy szczególowo został opisany w wątku: http://www.[szukaj]/WormWin32sirefefgenA-t142303.html Przypadkiem dowiedziałem się o nowym forum z Panią Picasso w roli głownej z wiedzy której korzystałem wielokrotnie przeglądając forumsearchengines (Wielkie ukłony !!!!!) Na założenie powyższego tematu zdecydowałem się z nastepujących przesłanek: 1,Problem który zgłaszałem na forum searchengines nie do końca został rozwiązany. 2.Po zamknięciu tematu na searchengines pojawiły się nowe okoliczności mogące rzutować na całość problemu. Dzisiaj rano pogrzebałem trochę w systemie Visty, z którą jak do tej pory nie miałem do czynienia i stwierdziłem, iż w menadżerze urządzeń, w zakładce "urządzenia systemowe" znajduje oznaczony żółtym kolorem wpis "[cmz vmkd] Virtual Bus" w opsie Typ urządzenia: Urządzenia systemowe Producent: [cmz vmkd] Technologies Inc Lokalizacja: on Microsoft ACPI-Compliant System Sterownik: Nieznany,niedostepny, nie podpisany cyfrowo Urządzenie to obecnie wyłączyłem, Z informacji uzyskanych w internecie wynika, iż może to być związane z infekcją Antivirus 2010, którą wcześniej usunięta została przy pomocy aplikacji rKill i Malwarebytes' Anti-Malware wspomaganej przez MSSE. Przeszukałem rejestr systemowy Visty, gdzie znalazłem kilka podobnych do siebie wpisów dotyczących [cmz vmkd] Virtual Bus: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\*PNP0296\0000 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\*PNP0296\0000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\*PNP0296\0000 W zakładce service w powyszych wpisach wymieniony jest mvb35316 sterownik usunięty wcześniej przez przez Malwarebytes. Następnie zlokalizowałem również 3 wpisy dotyczące mvb35316 tj.: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mvb35316 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\mvb35316 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mvb35316 Nadmieniam, iż w chwili obecnej system funkcjonuje w miarę normalnie. Zdarzają jednak samoczynne restarty z niebieskim ekranem podczas przeglądania internetu jak również przy skanowaniu niektórymi aplikacjami antywirusowymi. No i problem podstawowy to alerty MSSE o Worm:Win32/sirefef.gen!A, wystepujące z reguły po nagłym restarcie i ponownym załadowaniu systemu. W związku z powyższym zwracam sie z gorącą prośbą o określenie dalszego toku postępowania. Zamieszczam aktualny log z OTL jednak Demonem i Sptd z powodów, które opisałem w wątku na searchengines, http://wklej.org/id/457001/ http://wklej.org/id/457002/