Tomek1983 Opublikowano 25 Lutego 2011 Zgłoś Udostępnij Opublikowano 25 Lutego 2011 Witam Wszystkich Serdecznie i proszę o pomoc. Ostatnio chciałem zainstalować antywirusa NOD w celu gruntownego sprawdzenia dysku po zaobserwowaniu dość dziwnych zachowań komputera. Jest chyba bardzo źle - NOD nie chce się zainstalować, gdyż podczas instalacji wyświetla się komunikat o braku dostępu do pliku ndis.sys. Później zamknąłem wszystkie programy i mniej istotne procesy, a problem wciąż był. W trybie awaryjnym to samo. Na komputerze nie udało mi się uruchomić OTL. Wyskakuje błąd "Wystąpił problem z aplikacją OTL i zostanie ona zamknięta itd." Jako alternatywę załączam logi z DDS. GMER uruchomił się bez problemu ale zdziwił mnie dość krótki czas skanowania - niecałe 2 min. Chciałbym jeszcze podjąć takie kroki, ale wolę spytać czy to w ogóle ma sens i nie niesie za sobą niepotrzebnego ryzyka: 1) Expand pliku ndis.sys z CD Windowsa; 2) Instalacja "nakładkowa" Windowsa (czy zainstalowane programy mogą nie dać się potem uruchomić?); 3) Wypięcie dysku i przeskanowanie go na jakimś innym komputerze (czy istnieje ryzyko, że system nie wystartuje po takim zabiegu?). Proszę o pomoc w "odblokowaniu" aby mógł zainstalować jakoś tego NOD-a i oczyścić kompa z reszty "robaczków". Pozdrawiam i życzę miłego i "ciepłego" dnia Wszystkim Forumowiczom DDS.txt Attach.txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 25 Lutego 2011 Zgłoś Udostępnij Opublikowano 25 Lutego 2011 Ndis.sys sam w sobie może nie być problemem. Na razie podejmuj kroki tylko te, które ci zalecimy. Na teraz widać tutaj te infekcje: SSODL: UpdateCheck - {A56ADB45-DFD8-4861-AC6B-611B768626E7} - c:\windows\system32\mstmdm.dll SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, digiwet.dll S2 dmserverRpcSs;Menedżer dysków logicznych dmserverRpcSs;c:\windows\system32\kdcomc.exe srv --> c:\windows\system32\kdcomc.exe srv [?] 1. Pobierz narzędzie Avenger i w białym polu wklej taki tekst: Files to delete: c:\windows\system32\mstmdm.dll c:\WINDOWS\system32\digiwet.dll c:\windows\system32\kdcomc.exe Drivers to delete: dmserverRpcSs Wciśnij Execute i zatwierdz reset komputera. 2. Otwórz systemowy Notatnik i wklej do niego taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "{A56ADB45-DFD8-4861-AC6B-611B768626E7}"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Wklejasz nowe logi z DDS oraz wykonaj dodatkowo log z OTS Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2011 Zgłoś Udostępnij Opublikowano 26 Lutego 2011 Tu raczej jest problem w NDIS.SYS i plik wygląda na zainfekowany. Świadczy o tym ten odczyt w GMER: ---- Kernel code sections - GMER 1.0.15 ---- .reloc C:\WINDOWS\system32\drivers\NDIS.sys section is executable [0x86EAB200, 0x32F2A, 0xE0000060 ---- Devices - GMER 1.0.15 ---- Device \Driver\NDIS \Device\Ndis [86EB2982] NDIS.sys[.reloc] Pomiń powyższe instrukcje Landussa, rozpocznij od uruchomienia ComboFix zgodnie z wytycznymi programu i przedstaw log wynikowy. . Odnośnik do komentarza
Tomek1983 Opublikowano 26 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2011 Dobrze, tak zrobię. Problem dotyczy komputera w miejscu mojej pracy więc logi będą dopiero w poniedziałek zaraz po "porannej kawce" Odnośnik do komentarza
Tomek1983 Opublikowano 28 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2011 ComboFix zrobił swoje i wykrył infekcję w ndis.sys. W załączniku świeżutki dopiero co sporządzony log. ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2011 Zgłoś Udostępnij Opublikowano 28 Lutego 2011 C:\fakturkac:\fakturka\Fakturka.inic:\fakturka\KONTRAH.CDXc:\fakturka\KONTRAH.DBFc:\fakturka\POZYCJEFAK.DBFc:\fakturka\REJESTR.CDXc:\fakturka\REJESTR.DBFc:\fakturka\TOWARY.CDXc:\fakturka\TOWARY.DBFc:\fakturka\Wydruki\05-01-2011_BCO_Faktura_1001_2011.frpc:\fakturka\Wydruki\05-01-2011_MAVO_Faktura_1002_2011.frpc:\fakturka\Wydruki\05-01-2011_T_Faktura_1001_2011.frpc:\fakturka\Wydruki\ostatni.frf To mi wygląda na fałszywy alarm. Odzyskiem z kwarantanny zajmiemy się na samym końcu. c:\windows\system32\drivers\ndis.sys . . . jest zainfekowany!! Wykrył, owszem. Ale nic z tym nie zrobił. Jest wymagana podmiana pliku czystą kopią. Przy okazji usunę z WMI rejestrację najwyraźniej odinstalowanego firewalla ZoneAlarm. 1. Pobierz plik ndis.sys w wersji XP SP2 PL (taki system widzę w raportach): KLIK. Plik ma zmienioną nazwę na 1.sys, w celu zapobiegnięcia zablokowaniu wypakowania pliku, gdyby infekcja miała takie działanie. Plik wypakuj bezpośrednio na dysk C:\. 2. Otwórz Notatnik i wklej w nim: FCopy:: C:\1.sys | c:\windows\system32\drivers\ndis.sys C:\1.sys | c:\windows\system32\dllcache\ndis.sys SecCenter:: {829BDA32-94B3-44F4-8446-F8FCFF809F8B} Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. [Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach] 3. Wytwarzasz nowy zestaw logów: OTL + GMER. Dołącz wyniki pracy ComboFix. . Odnośnik do komentarza
Tomek1983 Opublikowano 28 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2011 OTL dalej nie chce mi się uruchomić. Błąd ten sam "Problem z aplikacją...". Załączam więc te logi co Pani Picasso zaleciła a zamiast OTL - DDS. Z ndis.sys jest już chyba wszystko w porządku, dał się skopiować do innego folderu. Wcześniej nie było to możliwe. Jeśli chodzi o poniższy wyciąg z poprzedniego loga ComboFix: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))). C:\fakturka c:\fakturka\Fakturka.ini c:\fakturka\KONTRAH.CDX c:\fakturka\KONTRAH.DBF c:\fakturka\POZYCJEFAK.DBF c:\fakturka\REJESTR.CDX c:\fakturka\REJESTR.DBF c:\fakturka\TOWARY.CDX c:\fakturka\TOWARY.DBF c:\fakturka\Wydruki\05-01-2011_BCO_Faktura_1001_2011.frp c:\fakturka\Wydruki\05-01-2011_MAVO_Faktura_1002_2011.frp c:\fakturka\Wydruki\05-01-2011_T_Faktura_1001_2011.frp c:\fakturka\Wydruki\ostatni.frf c:\recycled\Recycled c:\windows\system32\2186499788.dat c:\windows\system32\midas.dll c:\windows\system32\mswmpdat.tlb c:\windows\system32\oledb32.dll c:\windows\wiaservim.log to program "fakturka" odinstalowałem jakiś czas temu. ComboFix znalazł najprawdopodobniej jego resztki (jak widzę dość spore). Więc wpisy rozpoczynające się od "c:\fakturka\..." można chyba pominąć w odzyskiwaniu. ComboFix.txt DDS.txt Attach.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2011 Zgłoś Udostępnij Opublikowano 28 Lutego 2011 to program "fakturka" odinstalowałem jakiś czas temu. ComboFix znalazł najprawdopodobniej jego resztki (jak widzę dość spore). Więc wpisy rozpoczynające się od "c:\fakturka\..." można chyba pominąć w odzyskiwaniu. Wiem co to za program, tylko punktowałam to na wypadek, jeśli program jest w systemie / te dane są potrzebne, gdyż wtedy należałoby to odzyskać. Nie będziemy odzyskiwać szczątków. Z ndis.sys jest już chyba wszystko w porządku, dał się skopiować do innego folderu. Wcześniej nie było to możliwe. Na to wygląda. ComboFix sprawnie podstawił plik do dwóch lokalizacji, zanikły też niedobre odczyty w GMER. Nic tu więcej też nie widzę z obszaru infekcji. Przechodzimy do tej fazy: 1. Odinstaluj w prawidłowy sposób ComboFix, co również zlikwiduje kwarantannę i wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej polecenie: "c:\documents and settings\Indeco\Pulpit\ComboFix.exe" /uninstall 2. Wykonaj pełny skan za pomocą narzędzia Malwarebytes' Anti-Malware. Jeśli coś wykryje, pokaż raport. Jeśli nic, możesz przejść do tej części: 3. Obowiązkowa aktualizacja systemu i aplikacji: Windows 5.1.2600 Dodatek Service Pack 2 FAT ==== Installed Programs ====================== Adobe Reader 9.1Gadu-Gadu 7.0Java 6 Update 14Mozilla Firefox (3.6.3) - System ma bardzo niski status zabezpieczeń (SP2) i jest odcięty od aktualizacji (MS zbanował XP poniżej SP3). Pozostałe programy do wymiany najnowszymi. Wszystkie szczegóły aktualizacji rozpisane w tym temacie: INSTRUKCJE. - Sugestia: niepełnosprawne GG7 o niskim stopniu bezpieczeństwa bez trudu można zamienić nowoczesnym programem z obsługą długich numerów i innych cech nowego protokołu GG8/10, za to bez reklam i innych dziwactw. Opisy tu: Darmowe komunikatory. Propozycje: WTW, Miranda. 4. Dyski są sformatowane w archaicznym i zawodnym systemie plików FAT32. ==== Disk Partitions ========================= C: is FIXED (FAT32) - 37 GiB total, 15.679 GiB free.D: is FIXED (FAT32) - 37 GiB total, 23.697 GiB free Proponuję konwersję na NTFS bez utraty danych: Start > Uruchom > cmd i w linii komend wpisz polecenie convert C: /fs:ntfs. Na pytanie o dezinstalację woluminu odpowiedz twierdząco. To samo powtórz dla dysku D, oczywiście podmieniając literę w poleceniu. . Odnośnik do komentarza
Tomek1983 Opublikowano 1 Marca 2011 Autor Zgłoś Udostępnij Opublikowano 1 Marca 2011 Malwarebytes' Anti-Malware nie wykrył zagrożeń. Przez ten stary zainfekowany ndis.sys oprócz instalacji antywirusa nie można było także zaktualizować systemu do sp3 bo instalator robił problem gdy napotkał ten plik. Teraz i jedno i drugie zostało zainstalowane bez problemu. Swoją drogą myślałem, że usunięcie wirusów i aktualizacja do SP3 pomoże rozwiązać problem drukarki laserowej o którym nie pisałem (bo i nie ten dział forum) - oczekiwanie na wydruk zdjęcia o wielkości mniej więcej 3 MB trwa kilka minut. Podłączona i zainstalowana na innym komputerze działa o wiele szybciej. Czyli chyba problem leży już w sprzęcie. Problem z tematu jest rozwiązany. Gorąco dziękuję Picasso i Landussowi za odpowiedź i pomoc. Gratuluję Wam posiadania tak fachowej wiedzy Odnośnik do komentarza
Rekomendowane odpowiedzi