kerpal Opublikowano 21 Listopada 2011 Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Witam, sprawa wygląda tak, wziąłem pendrive od kolegi (podobno bez wirusów bo komp nowiutki) włożyłem do kompa, przerzuciłem co miałem przerzucić i tak : inne pendrivy nie działają, tzn nie są wykrywane a jak już wykryje system to po wejściu do pendrive system wiesza się, oprócz tego system muli lekko tego czasu, w załączniku dodaję logi (sptd usunąłem). GMER 1.0.15.15641 - http://www.gmer.netRootkit scan 2011-11-21 23:37:44 Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 ST325082 rev.3.AA Running: j8mh4kxc.exe; Driver: C:\DOCUME~1\lukasz\USTAWI~1\Temp\uwxyyfoc.sys ---- System - GMER 1.0.15 ---- SSDT \??\C:\WINDOWS\system32\Drivers\uphcleanhlp.sys ZwUnloadKey [0xB3F3C6D0] ---- Kernel code sections - GMER 1.0.15 ---- .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB78F73A0, 0x88C445, 0xE8000020] .text C:\windows\system32\drivers\ACEDRV07.sys section is writeable [0xB425B000, 0x328BA, 0xE8000020] .pklstb C:\windows\system32\drivers\ACEDRV07.sys entry point in ".pklstb" section [0xB429F000] .relo2 C:\windows\system32\drivers\ACEDRV07.sys unknown last section [0xB42BB000, 0x8E, 0x42000040] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB3F54300, 0x3AF78, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF7757300, 0x1BCE, 0xE8000020] ? C:\WINDOWS\system32\Drivers\uphcleanhlp.sys Nie można odnaleźć określonego pliku. ! ---- Devices - GMER 1.0.15 ---- Device \Driver\prodrv06 \Device\ProDrv06 E1BA3008 Device \Driver\iaStor \Device\Ide\iaStor0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort0 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\atapi \Device\Ide\IdePort1 sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology) Device \Driver\prohlp02 \Device\ProHlp02 E19F5320 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x5F 0x9E 0xB1 0xEE ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7D 0x4A 0x0A 0x0D ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0x3D 0x2A 0xF3 0x8B ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0xE8 0x3A 0x00 0x5B ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x39 0x88 0x07 0x1B ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x6A 0x33 0xBB 0xA9 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFD 0x90 0x27 0x39 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x5F 0x9E 0xB1 0xEE ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 2 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7D 0x4A 0x0A 0x0D ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x37 0xC5 0xB4 0x54 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x4D 0x6F 0xCA 0xD4 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0x3D 0x2A 0xF3 0x8B ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0xE8 0x3A 0x00 0x5B ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x39 0x88 0x07 0x1B ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x6A 0x33 0xBB 0xA9 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFD 0x90 0x27 0x39 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x5F 0x9E 0xB1 0xEE ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 2 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7D 0x4A 0x0A 0x0D ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x37 0xC5 0xB4 0x54 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x4D 0x6F 0xCA 0xD4 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0x3D 0x2A 0xF3 0x8B ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0xE8 0x3A 0x00 0x5B ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x39 0x88 0x07 0x1B ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x6A 0x33 0xBB 0xA9 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFD 0x90 0x27 0x39 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x5F 0x9E 0xB1 0xEE ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 2 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7D 0x4A 0x0A 0x0D ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x37 0xC5 0xB4 0x54 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x4D 0x6F 0xCA 0xD4 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0x3D 0x2A 0xF3 0x8B ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0xE8 0x3A 0x00 0x5B ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x39 0x88 0x07 0x1B ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x6A 0x33 0xBB 0xA9 ... Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFD 0x90 0x27 0x39 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x5F 0x9E 0xB1 0xEE ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 2 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7D 0x4A 0x0A 0x0D ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x37 0xC5 0xB4 0x54 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x4D 0x6F 0xCA 0xD4 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0x3D 0x2A 0xF3 0x8B ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0xE8 0x3A 0x00 0x5B ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x39 0x88 0x07 0x1B ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x6A 0x33 0xBB 0xA9 ... Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFD 0x90 0x27 0x39 ... Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x5F 0x9E 0xB1 0xEE ... Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 2 Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x7D 0x4A 0x0A 0x0D ... Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002@hdf12 0x3D 0x2A 0xF3 0x8B ... Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000002\gdq0@hdf12 0xE8 0x3A 0x00 0x5B ... Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x39 0x88 0x07 0x1B ... Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x6A 0x33 0xBB 0xA9 ... Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet006\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xFD 0x90 0x27 0x39 ... Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 095B648FC2CBBC16DC5762DEA70ED780BE4482F18D7D2D8E144AC36C31E4D6F4B01C156D72F1DA74D6E88011456DFE638E5D248BE987E2D44D3AF84C7A2F773BE26F6DB5C8FDBAB245D84CE30C35C9C521777405574641D33F4966BB6E6BEEF93A2A921559D44F937F448F18DAE162CA28978550256EC6329C087FFBE6A8AFF683817FBFAC7C222110AA69EE0A15855A0DA639DF14DA855748670ED3B499C13DC112806C3EA3CDA2B4EFCB325F1205A26970C7AEDB882373DA3EAE8C9915BF9AA85BB7D3FD99842B60DD7F2C1AC2C4110EA9BDB7A4995AF3A0C6D2F3CC1758A0A2411CB5CF50090B3AA09CAD6935405CFD65F9FB8EFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E667A6171C11EC38DE3DA9C6AECB7A5D1407C038D530D6EB3452A34377657AEE3390A9F86740DE80F081D38498D816C980D5DA3D8A265F947B7D3ABC47869B533CB0EE2A7A11CEA4F9A6BE62063AAF14E9A717E039CA50B7F964F0050CA1CA14162850A1694A87D9FC4ECD5C94DE0DE92795AF5F93BF65ADBF3A16592F160D462ADE34CE80A7F7F914CD9CB711FE2607A28499F385DABDB8278D188AE0F54A4CE0322337511A72AD5AEEEE4F0D87D2FECAC9F06E4124DDEE0E648B7C93074E64ADF24A742FC3AAF672712A115C1853B3103073323 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG11.00.00.01WORKSTATION 6A3919A1AA962BE400F5202CA754AB0F68E36AF32D4D5F0FCD6429E84E8CB7C18A25B8D42AD39CEBCF0D4F39420C0F61AE4007C1A34F8E42E5AB2D4EDAF9D6467FA1EA7DC4D8F393C58BB7CEA05A92ACFD261FDDF9D5B5E981D1519B6363328216708D247A42F5A8A0D2D3A2C7CB29B52BB7E743DC819AE0AA5B27B3D69BFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79335D575E7D6A3B9808A2D97226D213B555A6171C11EC38DE3DBB0154529664DFDC7F5FFC76AC99FE75D8E4BAC547AF72B3A302B94357042AB6BBF5CEC5569C2CA969064688A2290DD92049094D1F98B95D88060505AA388FC86016789062E7C4F521687810385DA15B830558C1D47385F1C82C56EF4E12452BD37F1CED2C9BCE781D3C14283BF024E168848041B18522AAD4BBF7C4A7801B8938711B5E546FBEEDCC5A2C30A9874F5BA9D86BABB37A3045171FC982CFD7B89021CF69A4B20060160EBE6CCDB6A5B5B694B917A608DFA503E6653FF1944F977596228F474FCED2B3B80B91E84AB338E8EA80169C1628C9AA9641609B7681046D949429126B3E088F16846C2D01818FECE32B0EB8F4A83A84678A47CDACEDA1330AF666937997C7F3E014620B29BE48BC27DABA6D721E675F10BAA29BA0796506DBBD0C9F9D882CB14B456D36470141D956D ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 61 Disk \Device\Harddisk0\DR0 PE file @ sector 488392065 ---- EOF - GMER 1.0.15 ---- OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2011 Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Nie widzę żadnych śladów infekcji. Ale ciągle jest ten śmieć startsear.ch w preferencjach Firefox i IE, o czym mówiłam w Twoim innym temacie przeniesionym ostatnio do Sieci. I znów instalowałeś vShare.tv plugin, tym razem jeszcze nowość wprowadziłeś pod tytułem VshareComplete (kolejne adware sądząc po opisie tego w Firefox: "Speed up your search with your personal search suggestions tool")..... Czyszczenie tego za każdym razem mija się z celem. Poza tym, jeśli już instalujesz tego cudaka (ta wtyczka budzi same wątpliwości na temat jakości, bo bezczelnie szmugluje adware jako "zalecane", a te strumienie vShare to po prostu Flash z otoczką i takie sztuki trzeba czynić, by to utrudnić?), to patrz przynajmniej co i odznaczaj w instalacji tego typu wtręty: 1. Odinstaluj vShare.tv plugin + VshareComplete, powtórz usuwanie w menedżerze rozszerzeń Firefox. 2. Zamknij Firefox, proces nie może być załadowany. Otwórz do edycji w Notatniku po kolei z każdego profilu plik C:\Documents and Settings\lukasz\Dane aplikacji\Mozilla\Firefox\Profiles\profil\prefs.js, a w nim wymaż linie zawierające dokładnie te wartości (one będą kierować do startsear.ch): browser.startup.homepage + browser.search.defaultenginename + browser.search.defaultengine + browser.search.order.1 + browser.search.selectedEngine + keyword.URL. Zapisz zmiany w plikach. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Files C:\Documents and Settings\lukasz\Dane aplikacji\Mozilla\Firefox\Profiles\nyjr8bnx.default\searchplugins\startsear.xml Klik w Wykonaj skrypt. 4. Wygeneruj nowy log z OTL z opcji Skanuj (Extras nie potrzebuję). inne pendrivy nie działają, tzn nie są wykrywane a jak już wykryje system to po wejściu do pendrive system wiesza się Może spróbuj wstępnie tego: Start > Uruchom > devmgmt.msc, z menu Widok włącz pokazywanie ukrytych urządzeń. Odinstaluj cały zestaw USB. Włącz pokazywanie ukrytych plików w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Uruchom wyszukiwarkę Windows (skonfiguruj, by przeszukiwała ukryte pliki) i wyszukaj infcache. Znalezione skasuj. Wyłącz komputer. Uruchom ponownie i sprawdź czy są jakieś skutki. . Odnośnik do komentarza
kerpal Opublikowano 21 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2011 Więc tak : 1.Wiem, wszystko wiem, ale bez tego "syfu" nie otwiera się player, dzięki któremu mogę oglądać mecze... a to coś jest aż takie złe ?? 2.W folderze profilu którego obecnie używam w firefoxie jest ten plik aczkolwiek nie ma wpisów które podałaś, natomiast mam drugi profil którego nie używam, nawet nie wiem jak się tam znalazł, i tam w nim jest sodoma i gomora, wszystko pomieszane, milion wpisów, w tym te startsear, sama zobacz : http://wklejto.pl/109806 3:Log jest w załączniku 4.j/w Start > Uruchom > devmgmt.msc, z menu Widok włącz pokazywanie ukrytych urządzeń. Odinstaluj cały zestaw USB. Tego nie bardzo rozumiem, mam usunąć wszystkie urządzenia podłączone na usb ?? możesz jakoś na screenie mi to pokazać bo niezbyt rozumiem OTL.Txt Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2011 Zgłoś Udostępnij Opublikowano 21 Listopada 2011 1.Wiem, wszystko wiem, ale bez tego "syfu" nie otwiera się player, dzięki któremu mogę oglądać mecze... a to coś jest aż takie złe ?? Zdanie na ten temat wyraziłam i pokazałam Ci, że jeśli już musisz to instalować, nie zaznaczaj instalacji Typical ... (recommended), tylko przestaw na Custom i odznacz wszystko. W przeciwnym wypadku ten śmietnik znów wleci. natomiast mam drugi profil którego nie używam, nawet nie wiem jak się tam znalazł, i tam w nim jest sodoma i gomora, wszystko pomieszane, milion wpisów, w tym te startsear, sama zobacz Dokładnie to jest to co widzę w OTL, dlatego zadałam ręczną edycję prefs.js a nie skrypt OTL to czyszczący. Wszystkie te linie tnij, ale efektywniej będzie jeśli: skoro w ogóle nie używasz tego profilu, to go po prostu w całości skasuj, zamiast trudzić się z edycją. I to miało być zrobione przed nowym logiem z OTL, by było widać czy zmiany zrobione. A tak w ogóle, vShareComplete (wyglądające po prostu na sztuczny dodatek adware) nadal widzę w formie zbyt kompletnej na deinstalację + coś poszło ze skryptem nie tak. Pod kątem poprzedniego skryptu ładuj poprawkę: :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" I dopiero po tych trzech operacjach (likwidacja zbędnego profilu + wywalenie vShareComplete + skrypt) zrób nowy log. Tego nie bardzo rozumiem, mam usunąć wszystkie urządzenia podłączone na usb ?? możesz jakoś na screenie mi to pokazać bo niezbyt rozumiem Mam na myśli, że ma polecieć cały kontroler USB i wszystko co związane z USB. Po restarcie powinno się przebudować to co potrzebne. . Odnośnik do komentarza
kerpal Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 To ten 1 log ze skryptu : ========== REGISTRY ==========HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! OTL by OldTimer - Version 3.2.31.0 log created on 11222011_011034 OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Listopada 2011 Zgłoś Udostępnij Opublikowano 22 Listopada 2011 1. Tu już poszło co należy, załaduj poprawkowy skrypt na mini-odpadki: :OTL O3 - HKU\S-1-5-21-682003330-1177238915-839522115-1003\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. [2011-11-18 18:18:29 | 000,000,000 | ---D | C] -- C:\Program Files\VshareComplete Po tym użyj Sprzątanie w OTL, a logów już oglądać nie muszę. Przypominam jednak, że następnym razem masz przy instalacji vShare odznaczyć instalację doczepionego śmietnika. 2. Sprawa ze śmieciami vShare to poboczna rzecz. Nie wypowiadasz się nic na temat wyników z przeładowaniem USB. . Odnośnik do komentarza
kerpal Opublikowano 22 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2011 hmmm usb juz czyta normalnie, aczkolwiek problem jest z tym pendrive ktorego uzywam jako dysk do konsoli xbox 360, jak go otwieram to wiesza sie, sformatowalem go i jutro bede sie nim bawil, natomiast temat jest do zamknięcia i dziękuję po raz kolejny za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi