Naprawa systemu pc, odwirusowanie

[numlock]

Komputer stacjonarny na którym system chodzi tragicznie, przeskanowałem go malwarebyte i Nodem, wrzucam loga z malware, niestety system tragicznie chodzi i wyskakuje wiele błędów nie wiem jakiego pochodzenia.

 

Logi

Extras.Txt

OTL.Txt

mbam-log-2012-09-05 (12-39-36).txt

[picasso]

W OTL brak oznak infekcji czynnej, są tylko odpadki bez znaczenia dla wydajności. Zabrakło obowiązkowego raportu z GMER. Przed skanem należy zdjąć sterownik emulacji napędów wirtualnych (KLIK):

 

DRV - [2007-12-05 21:52:10 | 000,685,816 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

 

1. Doczyść nieprawidłowo usuniętego Kasperskiego posługując się narzędziem Kaspersky Remover. Następnie usuń wszystkie strumienie ADS KAVICHS doklejone przez archaicznego Kasperskiego do plików, np. używając do tego StreamArmor.

 

2. Odinstaluj adware Conduit Engine, Vuze Remote Toolbar. Powtórz usuwanie Vuze w Firefox w Dodatkach. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2E608F70-C430-4BC5-96F6-608E02EBA5B2} - No CLSID value found.
O4 - Startup: C:\Documents and Settings\iza\Menu Start\Programy\Autostart\PowerReg Scheduler.exe ()
F3 - HKCU WinNT: Run - (Ǜ粑ᒬ) - File not found
O8 - Extra context menu item: ÓñČĚŘľ«ÁéĎÂÔŘ(&  - Reg Error: Value error. File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- c:\Temp\S3chipid.sys -- (S3chipid)
DRV - File not found [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\av5flt.sys -- (AvFlt)
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\6F638BCC0001550418D778904A174311
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER. Dołącz log z usuwania OTL z punktu 3 oraz AdwCleaner z punktu 2.

 

 

Komputer stacjonarny na którym system chodzi tragicznie

W takich przypadkach podejrzane jest zawsze oprogramowanie zabezpieczające, tu: ESET NOD32 Antivirus.

 

 

wyskakuje wiele błędów nie wiem jakiego pochodzenia

Jakich? Czy chodzi o BSODy? Sugeruje to Dziennik zdarzeń:

 

[ System Events ]

Error - 2012-09-05 05:42:22 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003

Description = Kod błędu 0000007a, parametr 1 c03e9290, parametr 2 c000000e, parametr

3 fa4a45ab, parametr 4 03458860.
 

Error - 2012-09-05 05:42:29 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003

Description = Kod błędu 0000007a, parametr 1 c038428c, parametr 2 c000000e, parametr

3 e10a3250, parametr 4 0b884880.
 

Error - 2012-09-05 05:42:34 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003

Description = Kod błędu 100000d1, parametr 1 fa496328, parametr 2 00000002, parametr

3 00000000, parametr 4 fa496328.
 

Error - 2012-09-05 05:42:40 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003

Description = Kod błędu 0000007a, parametr 1 c02016d0, parametr 2 c000000e, parametr

3 805b4e13, parametr 4 06d73860.
 

Error - 2012-09-05 05:42:45 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003

Description = Kod błędu 1000008e, parametr 1 c0000006, parametr 2 bf806279, parametr

3 f7185b48, parametr 4 00000000.
 

Error - 2012-09-05 05:42:50 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003

Description = Kod błędu 0000007a, parametr 1 c03ea480, parametr 2 c000000e, parametr

3 fa920d48, parametr 4 04ab5860.
 

Error - 2012-09-05 05:42:56 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003

Description = Kod błędu 0000007a, parametr 1 c03858e8, parametr 2 c000000e, parametr

3 e163a004, parametr 4 07703880.
 

Error - 2012-09-05 05:43:04 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003

Description = Kod błędu 100000d1, parametr 1 fa496328, parametr 2 00000002, parametr

3 00000000, parametr 4 fa496328.
 

Error - 2012-09-05 05:43:12 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003

Description = Kod błędu 100000d1, parametr 1 fa496328, parametr 2 00000002, parametr

3 00000000, parametr 4 fa496328.

 

 

.

[numlock]

Zamieszczam wszystkie powstałe logi, niestety stream armor mi się wykrzaczał i nie dało nim rady nic zrobić, popróbuje jeszcze z innymi programami bo ten znajdywał oko 2600 w przeciągu 10 sec tych streamów.

AdwCleanerS1.txt

OTL.Txt

09062012_113059.txt

gmer.txt

[picasso]

Czy to na pewno skan pełny GMER a nie ekspresowy? I skan zrobiony w złym środowisku, widzialny czynny sterownik SPTD, a miał być usunięy.

 

 

Zamieszczam wszystkie powstałe logi, niestety stream armor mi się wykrzaczał i nie dało nim rady nic zrobić, popróbuje jeszcze z innymi programami bo ten znajdywał oko 2600 w przeciągu 10 sec tych streamów.

Strumieni KAVICHS będzie ogromna ilość. Stary Kaspersky doklejał to masowo.

 

 

1. Log z Kaspersky Remover kompletnie nieczytelny, wszystko razem sklejone, usuwam wadliwy załącznik. I w logu bez zmian, nadal widać szczątki Kasperskiego, w tym pracujący w tle sterownik:

 

SRV - File not found [Auto | Stopped] -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe -- (kavsvc)

DRV - [2005-08-04 16:01:36 | 000,010,995 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\klmc.sys -- (Klmc)

 

Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych urzązeń. Pojawi się sekcja Sterowniki niezgodne z Plug and Play. Na liście szukaj sterownika Kasperskiego do deinstalacji. Po wykonaniu akcji zresetuj system.

 

2. Poprawkowy skrypt do OTL:

 

:OTL
[2011-02-27 16:54:39 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\iza\Dane aplikacji\Mozilla\Firefox\Profiles\424wf5hm.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2011-02-27 16:54:42 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\iza\Dane aplikacji\Mozilla\Firefox\Profiles\qih2z3oz.Dorota\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2011-02-27 16:54:45 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\iza\Dane aplikacji\Mozilla\Firefox\Profiles\x6hczsyi.Domyślny użytkownik\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
F3 - HKCU WinNT: Run - (Ǜ粑ᒬ) - File not found
 
:Services
kavsvc
Klmc

 

3. Zrób nowy log OTL, ale ogranicz go (nie chcę po raz enty oglądać KAVICHSÓW): opcje Usługi + Sterowniki + Rejestr ustaw na Użyj filtrowania, ale wszystkie pozostałe sekcje na Brak oraz wyszukiwanie plików na Żadne.

 

 

 

.

[numlock]

Dodaje (mam nadzieję że poprawnie wykonane) logi, niestety w dvimgmt.msc (sterowniki nie zgodne z plug and play) nie znalazłem nic dotyczącego kasperskiego więc ręcznie wyrzuciłem jego klucze z rejestru

 

nowe logi:

09072012_143155.txt

gmer.txt

otl.txt

[picasso]

Konsekwentnie podsuwasz mi log z GMER robiony przy czynnym sterowniku SPTD. Ale to już zostaw. Nasuwają się pytania:

 

1. Co ze strumieniami KAVICHS? Nadal w logu OTL widać detekcję tych staroci. Wszystkie strumienie tego rodzaju należy usunąć.

 

2. Jaka aktualnie jest kondycja systemu. Czy to nadal ma miejsce: "system tragicznie chodzi i wyskakuje wiele błędów nie wiem jakiego pochodzenia"?

 

 

niestety w dvimgmt.msc (sterowniki nie zgodne z plug and play) nie znalazłem nic dotyczącego kasperskiego więc ręcznie wyrzuciłem jego klucze z rejestru

 

Akurat część, o którą tu chodziło (sterownik Kasperskiego), wykonał mój skrypt do OTL, w którym zaplanowałam usuwanie obu usług:

 

========== SERVICES/DRIVERS ==========
Service kavsvc stopped successfully!
Service kavsvc deleted successfully!
Error: Unable to stop service Klmc!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Klmc deleted successfully.

 

I na dysku nadal jest plik C:\WINDOWS\system32\drivers\klmc.sys.

 

 

 

.

[numlock]

Wyskakują mi błędy typu "system windows nie może odnaleźć pliku "(w tym miejscu pojawia się kwadracik)" upewnij się czy poprawna nazwa jest poprawna i spróbuj ponownie. Aby sprawdzić bla bla bla"

kolejny błąd "nie można załadować lub uruchomić podanego w rejsetrze pliku "(znowu kwadracik)" bla bla"

 

Jest widoczna poprawa w pracowaniu systemu i podejrzewam ze jak na intel pentium III 792mHz i 192 mb ram lepiej już nie będzie,

 

Plik o którym wspomniałeś usunąłem ręcznie, a co do tych strumieni to jeszcze z nimi powalcze

 

Dzięki wielkie za pomoc !!

 

Edit:

 

Wyłączywszy te kwadraciki w msconfigu przestały się pojawiać

ich scieżki to software\microsoft\windows nt\currentversion\windows

 

kliknąłem sprzątanie w otl'u na koniec, jeszcze raz wielkie dzięki za pomoc!!!

Edytowane 8 Września 2012 przez numlock

[picasso]

Apropos "wspomniałeś" = jestem kobietą.

 

 

Wyskakują mi błędy typu "system windows nie może odnaleźć pliku "(w tym miejscu pojawia się kwadracik)" upewnij się czy poprawna nazwa jest poprawna i spróbuj ponownie. Aby sprawdzić bla bla bla"

kolejny błąd "nie można załadować lub uruchomić podanego w rejsetrze pliku "(znowu kwadracik)" bla bla"

Ja już usuwałam tu wpis pasujący do "kwadracika", dwukrotnie w skrypcie OTL puszczałam usuwanie linii startowej:

 

F3 - HKCU WinNT: Run - (Ǜ粑ᒬ) - File not found

 

Ostatni log z OTL tego już nie pokazuje. Czy na pewno błąd nadal ma miejsce? Jeśli tak, od nowa: logi z OTL (ale już po usuwaniu strumieni KAVICHS).

 

 

 

.

[numlock]

Wybacz za moją pomyłkę

 

Te chińskie znaki nie chcą mi się przekopiować i pojawiają mi się tylko kwadraciki także po wyłączeniu tego w msconfigu błąd przestał wyskakiwać więc jest ok

Dziękuje jeszcze raz za pomoc i Pozdrawiam !

[picasso]

Te chińskie znaki nie chcą mi się przekopiować i pojawiają mi się tylko kwadraciki także po wyłączeniu tego w msconfigu błąd przestał wyskakiwać więc jest ok

 

Wiem o tym, że kwadracik to tylko kwestia kodowania. Wpis był przeze mnie usuwany, ale skoro Ty jeszcze wyłączałeś w msconfig, to trzeba to usunąć również z msconfig. Podaj skan na wpisy wyłączone. Uruchom SystemLook, do okna wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s

 

Klik w Look. Przedstaw raport wynikowy.

 

 

 

.

[numlock]

Dodaje loga

SystemLook.txt

[picasso]

1. Start > Uruchom > regedit i z prawokliku skasuj te dwa klucze:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Run

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Aktualizacje: KLIK. Konkretnie tu widać krytyczny poziom aktualizacji Windows oraz starocie:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{325C0D0E-85D9-4841-A274-8D333C0F626E}" = OpenOffice.org 2.0.3
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"Ad-Aware SE Professional" = Ad-Aware SE Professional
"Adobe Flash Player Plugin" = Adobe Flash Player Plugin (wtyczka dla Firefox)
"Gadu-Gadu" = Gadu-Gadu 7.7
"KLiteCodecPack_is1" = K-Lite Codec Pack 3.5.7 Full
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"Skype_is1" = Skype 3.0

 

Windows zaktualizuj, wszystkie archaizmy odinstaluj. Zakreślam tu także:

- K-Lite: takie stare kodeki to równa się kłopoty w powłoce explorer.exe.

- Ad-Aware SE Professional: nieistniejący już i zupełnie niezdatny w dzisiejszych czasach program.

- Gadu-Gadu 7.7: kalekie rozwiązanie (brak obsługi własnej sieci + brak szyfrowania zapewniającego zabezpieczeństwo). Szukając lekkiego (i bezreklamowego), lecz nowoczesnego, zamiennika obejrzyj opis WTW: KLIK.

 

 

 

.

[numlock]

oki dziękuje wielkie za pomoc

 

Pozdrawiam, miłego weekendu życzę !!