Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

XDva401.sys - jak sie tego pozbyc?

vuri

Przez vuri
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

vuri

vuri

Opublikowano
Opublikowano

Witam,

ostatnio komputer zaczal mi zwalniac wiec postanowilem go troszke przeczyscic.

podczas skanowania AVG anty-wirus wykrylo mi pare wirusow w tym tego rootkita:

 

"C:\WINDOWS\system32\XDva401.sys"

ktory z tego co zauwazylem zaczal odpowiadac za podstawowe funcje systemu,

po prubie wyleczenia wszsytkiego zamnelo mi calkowicie windowsa,

po ponownym uruchomieniu nadal go wykrywalo w AVG.

hmm zamieszcze logi z tego co uzylem zeby sie tego pozbyc ale co nie pomoglo :/

http://wklej.org/id/915851/ - avast

http://wklej.org/id/915855/ - malwarbytes

dodaje logi z OTL i GMER

http://wklej.org/id/915894/ - OTL

http://wklej.org/id/915897/ - extras otl

http://wklej.org/id/915908/ - GMER

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Używałeś też ComboFix, a brak tu jakiejkolwiek wzianki o tym.

 

To nie infekcja. Sterowniki o modelu nazwy XDva_numery.sys (zawsze oznaczone w raportach jako "not found") są tworzone przez zabezpieczenie gier XTrap. Natura tych sterowników może poruszyć antywirusy, które widzieć tam będą "rootkita". Wyniki do zignorowania. XTrap tu definitywnie jest:

 

========== Processes (SafeList) ==========
 
PRC - [2012-12-29 23:17:27 | 001,251,776 | ---- | M] (Wiselogic Co., Ltd.) -- D:\GAMIGO\LastChaosPoland\Bin\XTrap\XTrap.xt
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\XDva401.sys -- (XDva401)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva400.sys -- (XDva400)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva399.sys -- (XDva399)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva398.sys -- (XDva398)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva396.sys -- (XDva396)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva394.sys -- (XDva394)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva393.sys -- (XDva393)

 

Sterowniki XTrap możesz usunąć - np. za pomocą Autoruns (karta Drivers) - ale ponowne uruchomienie XTrap znów je utworzy.

 

 

Tylko do wyczyszczenia szczątki adware i Firefox:

 

1. Otwórz Google Chrome. W zarządzaniu wyszukiwarkami przestaw domyślną z Ask na Google, po tym Ask usuń z listy. W Rozszerzeniach odinstaluj wxDownload.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\APN
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\wxDownload
C:\Documents and Settings\Admin\Dane aplikacji\Babylon
C:\Documents and Settings\Admin\Dane aplikacji\OpenCandy
C:\Documents and Settings\Admin\Dane aplikacji\SzybszyPC
C:\Documents and Settings\Admin\Dane aplikacji\YourFileDownloader
C:\Documents and Settings\Admin\Dane aplikacji\Mozilla
C:\Program Files\mozilla firefox
 
:Reg
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:OTL
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found 
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-1715567821-2077806209-842925246-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010712_5&babsrc=SP_ss&mntrId=2015454700000000000000123f5109d2"
IE - HKU\S-1-5-21-1715567821-2077806209-842925246-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={CB52C8D5-E318-42DD-8C39-DAD973FF5D7B}&mid=c88211f25b3d47d1b340d15b79b5e021-45de1076783d0504c79ba3cc46f29b061e8e6ddd&lang=pl&ds=AVG&pr=fr&d=2012-06-05 17:52:26&v=11.0.0.9&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-1715567821-2077806209-842925246-1003\..\SearchScopes\{ACDD1DE7-1B28-41E0-B043-87138B3FBBDD}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000"
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Admin\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...