Dziwne zachowanie laptopa

[gustaw99]

Witam.

Choc staram się dbać o komputery, w ostatnim czasie laptop zaczął zachowywać się dziwnie, kamerka przestała działać ( a zawsze działała), avira ostrzega mnie przed trojanem znajdującym się? w system32\sshnas21.dll lub końcówką VIR, same uruchamiają się strony których nie znam i nigdy tam nie zaglądają. Probowałem sie radzić już kogoś ale chyba wymiękł;)więc postanowiłem u Was skomleć o ratunek. Może chaotycznie przedstawiłem opis tego co się dzieje ale cięzko to opisać, dlatego przepraszam.

Poniżej logi:

 

Ups... log gmer zamieszczę za chwilę, jak go znajdę bo gdzies mi zwiał z pulpitu ( to tez jeden z objawów)

 

 

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2010-06-30 19:17:22

Windows 5.1.2600 Dodatek Service Pack 2

 

 

---- System - GMER 1.0.15 ----

 

SSDT BAF38BA6 ZwCreateKey

SSDT BAF38B9C ZwCreateThread

SSDT BAF38BAB ZwDeleteKey

SSDT BAF38BB5 ZwDeleteValueKey

SSDT BAF38BBA ZwLoadKey

SSDT BAF38B88 ZwOpenProcess

SSDT BAF38B8D ZwOpenThread

SSDT BAF38BC4 ZwReplaceKey

SSDT BAF38BBF ZwRestoreKey

SSDT BAF38BB0 ZwSetValueKey

SSDT BAF38B97 ZwTerminateProcess

 

---- Kernel code sections - GMER 1.0.15 ----

 

? mxjjy.sys Nie można odnaleźć określonego pliku. !

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] USER32.dll!DialogBoxParamW 7E375F8F 5 Bytes JMP 4391F2A1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] USER32.dll!DialogBoxIndirectParamW 7E382062 5 Bytes JMP 43AB03AF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] USER32.dll!MessageBoxIndirectA 7E38A06A 5 Bytes JMP 43AB0330 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] USER32.dll!DialogBoxParamA 7E38B12C 5 Bytes JMP 43AB0374 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] USER32.dll!MessageBoxExW 7E3A0750 5 Bytes JMP 43AB02BC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] USER32.dll!MessageBoxExA 7E3A0774 5 Bytes JMP 43AB02F6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] USER32.dll!DialogBoxIndirectParamA 7E3A6CD0 5 Bytes JMP 43AB03EA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] USER32.dll!MessageBoxIndirectW 7E3B6425 5 Bytes JMP 43941646 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] ws2_32.dll!connect + 21B 71A54285 4 Bytes JMP 01FB0A70 C:\WINDOWS\system32\sshnas21.dll

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] ws2_32.dll!send 71A5428A 2 Bytes [EB, F9] {JMP 0xfffffffffffffffb}

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] ws2_32.dll!send + 89 71A54313 4 Bytes JMP 01FB1000 C:\WINDOWS\system32\sshnas21.dll

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] ws2_32.dll!WSARecv 71A54318 2 Bytes [EB, F9] {JMP 0xfffffffffffffffb}

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] ws2_32.dll!WSALookupServiceNextA + A47 71A56155 4 Bytes JMP 01FB0C20 C:\WINDOWS\system32\sshnas21.dll

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] ws2_32.dll!recv 71A5615A 2 Bytes [EB, F9] {JMP 0xfffffffffffffffb}

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] ws2_32.dll!recv + D4 71A5622E 4 Bytes JMP 01FB0D10 C:\WINDOWS\system32\sshnas21.dll

.text C:\Program Files\Internet Explorer\iexplore.exe[3212] ws2_32.dll!WSASend 71A56233 2 Bytes [EB, F9] {JMP 0xfffffffffffffffb}

 

---- User IAT/EAT - GMER 1.0.15 ----

 

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\ole32.dll [uSER32.dll!CreateWindowExA] [004194A2] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\ole32.dll [uSER32.dll!CreateWindowExW] [0041951A] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\ole32.dll [uSER32.dll!DialogBoxParamW] [004196AC] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\ole32.dll [uSER32.dll!MessageBoxW] [004196B8] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\ole32.dll [uSER32.dll!ShowWindow] [00419592] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\WININET.dll [uSER32.dll!CreateWindowExW] [0041951A] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\WININET.dll [uSER32.dll!MessageBoxW] [004196B8] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\WININET.dll [uSER32.dll!SetWindowPos] [00419640] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\WININET.dll [uSER32.dll!DialogBoxParamW] [004196AC] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!DialogBoxParamA] [004196AC] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!DialogBoxParamW] [004196AC] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!CreateWindowExA] [004194A2] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!CreateWindowExW] [0041951A] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!MessageBoxA] [004196B8] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!MessageBoxW] [004196B8] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!MessageBoxIndirectA] [004196A6] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!MessageBoxIndirectW] [004196A6] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!SetWindowPos] [00419640] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!ShowWindow] [00419592] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\shell32.dll [uSER32.dll!CreateWindowExW] [0041951A] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\shell32.dll [uSER32.dll!DialogBoxParamW] [004196AC] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\shell32.dll [uSER32.dll!ShowWindow] [00419592] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\shell32.dll [uSER32.dll!SetWindowPos] [00419640] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\shell32.dll [uSER32.dll!MessageBoxW] [004196B8] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\shell32.dll [uSER32.dll!MessageBoxA] [004196B8] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\shell32.dll [uSER32.dll!MessageBoxIndirectW] [004196A6] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\USERENV.dll [uSER32.dll!SetWindowPos] [00419640] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\USERENV.dll [uSER32.dll!ShowWindow] [00419592] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\USERENV.dll [uSER32.dll!DialogBoxParamW] [004196AC] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\CRYPT32.dll [uSER32.dll!MessageBoxW] [004196B8] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\WINDOWS\Bmylub.exe[260] @ C:\WINDOWS\system32\CRYPT32.dll [uSER32.dll!MessageBoxA] [004196B8] C:\WINDOWS\Bmylub.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\ole32.dll [uSER32.dll!CreateWindowExA] [00418138] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\ole32.dll [uSER32.dll!CreateWindowExW] [004181B2] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\ole32.dll [uSER32.dll!ShowWindow] [0041822C] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\WININET.dll [uSER32.dll!CreateWindowExW] [004181B2] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\WININET.dll [uSER32.dll!SetWindowPos] [004182DE] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!CreateWindowExA] [00418138] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!CreateWindowExW] [004181B2] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!SetWindowPos] [004182DE] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\SHLWAPI.dll [uSER32.dll!ShowWindow] [0041822C] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\shell32.dll [uSER32.dll!CreateWindowExW] [004181B2] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\shell32.dll [uSER32.dll!ShowWindow] [0041822C] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\shell32.dll [uSER32.dll!SetWindowPos] [004182DE] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\USERENV.dll [uSER32.dll!SetWindowPos] [004182DE] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

IAT C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe[2560] @ C:\WINDOWS\system32\USERENV.dll [uSER32.dll!ShowWindow] [0041822C] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\Bt2.exe (Windows UI for PAUL.DLL/Electronic Arts, Inc.)

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\001060964afc

Reg HKLM\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\001060964afc@001f3afcf925 0x92 0x00 0x2A 0x1A ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060964afc

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001060964afc@001f3afcf925 0x92 0x00 0x2A 0x1A ...

Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060964afc

Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001060964afc@001f3afcf925 0x92 0x00 0x2A 0x1A ...

 

---- EOF - GMER 1.0.15 ----

Extras.Txt

OTL.Txt

[Landuss]

Zacznij od zastosowania narzędzia ComboFix i wklej z niego log.

[gustaw99]

Oczywiscie sciagnałem combo fix ale w opisie Picasso zobaczylem takie zdanie : ponieważ skutki uruchomienia ComboFix są nieprzewidywalne i może pojawić się sytuacja, że system już się nie uruchomi. Niedoświadczony użytkownik nie poradzi sobie sam i prawdopodobnie skończy się na reinstalacji Windows. Proszę dokładnie przeczytać w linkach co to jest Konsola Odzyskiwania oraz Recovery Disc i jak się nimi posługiwać, oraz wątek przywracania z kopii zapasowych utworzonych przez ComboFix:

 

Tak sie zastanawiam czy sobie poradze w razie nieoczekiwanych komplikacji, wrecz twierdze ze raczej nie poradze sobie:( Jasne ze chce sobie pomóc, jednak obawiam sie ze mozesz przeceniac moje mozliwosci. Tak niesmialo zapytam, jestes pewien ze powinienem uruchomic combofixa? Jesli powiesz tak to zaryzykuje ale moze jest inne mniej stresujące mnie wyjscie:(

[Landuss]

Użyj i naprawdę nie masz się czego obawiać. To jest tu wskazane, a tam gdzie wskazane tam nie ma zagrożenia, że coś się stanie. ComboFix sam zrobi ci Konsole jeśli zgodzisz sie na to w stosownym komunikacie.

[gustaw99]

Ufff...udało sie, zyje i komputer tez zyje, przynajmniej jeszcze zyje.

log w zalaczniku

log.txt

[Landuss]

Pierwsza sprawa to pytanie do ciebie czy ten system jest jakiś sztucznie modyfikowany? Pytam dlatego, że w logu stoją niezgodne sumy kontrolne niektórych plików systemowych + brak niektórych plików. Wyjaśnij to.

 

Wklej do notatnika systemowego taki tekst:

 

File::
c:\windows\Bmylub.exe
c:\windows\Bmylua.exe

 

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

 

 

Pokazujesz wynikowy log z ComboFix oraz nowe logi z OTL i Gmer.

 

 

 

[gustaw99]

Tak ,masz racje. Nie pomyslalem o tym że może być wazne. Mam "odtłuszczoną" modyfikowaną wersję XP, jakaś nakładka MX RGB.

Druga sprawa to laptop i komputer stacjonarny podłaczone są do routera, mam odłączyć stacjonarkę?

Niepokoi mnie to wyskakiwanie dziwnych stron i nie działająca kamerka która dotąd działała.

Prawdopodobnie złapałem "coś" z pendriva, czy operacje które mi nakazujesz również spowodują że w/w kłopoty znikną?

Tymczasem zamkieszczam logi:

OTL.Txt

log.txt

gmer.txt

[Landuss]

W tych logach już nie widać niczego podejrzanego. Wykonaj na koniec jeszcze poniższe czynności.

 

1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall

 

2. W kwestii kamerki możesz wejść w start >>> uruchom >>> devmgmt.msc i sprawdź czy tam przypadkiem nie ma jakiegoś pytajnika przy urządzeniu. Może to być też wina samego urządzenia. Jeśli masz ochotę możesz wrzucić też logi ze stacjonarnego do sprawdzenia.

[gustaw99]

Wielkie dzieki, jestem naprawde pełen podziwu dla Waszej pracy, moi współdomownicy nie mogą uwierzyć że komus się chce tak pomagać.

Jasne ze udostepnie logi z drugiego komputera. Zrobie tylko porzedek w tym bo logów mam tu porozrzucane po całym pulpicie, zobacze co i jak działa i na spokojnie juz całkiem przejde do tamtego kompa.

Kamerka nie wiem dlaczego nie działa jeszcze a po komendzie z uruchom nawet jej tam nie znalazłem, moze odinstalowało ją cos...nie wiem.

Jeszcze raz wielkie dzieki:)

Pozdrawiam cały Wasz zespół

 

 

I jeszcze jedno: na dysku c cos mi przybylo, moge usunac te pliki i foldery? nigdy ich nie było:

Config.Msi

Country

MSOCache

Boot.bak

cmldr

ComboFix (log)

 

..oraz podczas uruchamiana laptopa pojawiają mi sie dwie opcje: windows xp oraz konsola recovery. To tak juz na amen zostanie?

[Landuss]

Na C ci przybyło pewnie po ComboFix, ale nie jestem pewny które można usunąć. Napewno ComboFix, cmldr i boot,bak. Reszty bym nie ruszał.

 

podczas uruchamiana laptopa pojawiają mi sie dwie opcje: windows xp oraz konsola recovery. To tak juz na amen zostanie?

 

To jest właśnie ta konsola ComboFixa. Wyedytuj sobie plik boot.ini, który jest na dysku C. Przestaw tylko opcje widoku na pokazywanie ukrytych plików. W tym pliku trzeba wymazać linijkę Konsoli.

 

 

 

[gustaw99]

Wszystko chyba w porzadku. Nie zawracam wobec tego dzis głowy. Bardzo wielkie dzieki za poswiecony czas. Jutro podesle logi z drugiego kompa. dobranoc

[gustaw99]

Witam ponownie, nie chciałem drugiego tematu zakładac więc w tym zamieszczę obiecane logi z drugiego komputera.

Ze swej strony dodam jeszcze że komputer jest zamulony i kiedys lepiej chodzil, tłumacze sobie to nakladką na xp, która mi ktoś polecił bo ponoc lżejsza jest i komputer lepiej bedzie chodzil ale ja mam wrażenie że gorzej, byc może przyczyna jest to że nie jest najnowszym komputerem?

I jeszcze jedno mi przyszlo na mysl. Juz w poprzednim starszym o lata swietlne kompueterze to miałem ale spasowałem bo nikt nie umiał zrozumiec o co mi chodzi, a jak juz to okazywało sie że wszystko jest w poorządku. Może tym razem bedzie inaczej. Mam wrazenie graniczące z pewnościa że ubywa mi miejsca na "C", Wiem co tam mam, zdaje sobie sprawe ze wiele "rzeczy" sie moze tam dodatkowo zapisywać" jednak jesli sytuacja bedzie miala nadal takie miejsce to np. za rok pozostanie mi 0bajtów wolnego miejsca na dysku nic tam nie dodajac. Takie wrazenie posiadania tasiemca:) który dodatkowo procz mnie sie zywi tym co na stole. Nie wiem czy dobrze objasniłem, dodam ze odkurzaczem tez operuje, czyszcze "c", cos tam skanuje ale i tak ubywa mimo ze nic nie dodaje a nawet odchudzam dysk "c"/

Ponizej logi

 

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2010-07-01 12:04:57

Windows 5.1.2600 Dodatek Service Pack 2

 

 

---- System - GMER 1.0.15 ----

 

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xBAD60C7A]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xBAD60B36]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteKey [0xBAD610EA]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xBAD61014]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xBAD6070C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xBAD60C10]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xBAD6064C]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xBAD606B0]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xBAD60D30]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRenameKey [0xBAD611B8]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xBAD60CF0]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xBAD60E70]

 

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0xBAD6DAC6]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xBAD6D8EA]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xBAD6DA24]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text ntkrnlpa.exe!ZwCallbackReturn + 2430 80501450 4 Bytes JMP 14BAD610

PAGE ntkrnlpa.exe!ZwLoadDriver 80578802 7 Bytes JMP BAD6DA28 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)

PAGE ntkrnlpa.exe!NtCreateSection 8059F7C4 7 Bytes JMP BAD6D8EE \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)

PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805B0CC0 5 Bytes JMP BAD69536 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)

PAGE ntkrnlpa.exe!ObInsertObject 805B79AE 5 Bytes JMP BAD6AEC2 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)

PAGE ntkrnlpa.exe!ZwCreateProcessEx 805C6236 7 Bytes JMP BAD6DACA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)

 

---- User IAT/EAT - GMER 1.0.15 ----

 

IAT C:\WINDOWS\system32\services.exe[584] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003D0002

IAT C:\WINDOWS\system32\services.exe[584] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003D0000

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

 

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

 

Device \FileSystem\Fastfat \FatCdrom aswSP.SYS (avast! self protection module/ALWIL Software)

 

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

 

Device \FileSystem\Fastfat \Fat aswSP.SYS (avast! self protection module/ALWIL Software)

 

AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

 

---- EOF - GMER 1.0.15 ----

Extras.Txt

OTL.Txt

[Landuss]

Tutaj logi masz właściwie czyste, jedynie drobna korekta w rejestrze kasująca te szczątki po infekcji z mediów przenośnych:

 

O33 - MountPoints2\{9262821b-1623-11df-bbed-00142a70c96d}\Shell\AutoRun\command - "" = tezge\\gazda.exe

O33 - MountPoints2\{9262821b-1623-11df-bbed-00142a70c96d}\Shell\explore\command - "" = tezge\\\gazda.exe

O33 - MountPoints2\{9262821b-1623-11df-bbed-00142a70c96d}\Shell\open\command - "" = tezge\\\gazda.exe

 

Czyli start >>> uruchom >>> regedit i kasujesz z prawokliku ten numeryczny klucz:

 

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9262821b-1623-11df-bbed-00142a70c96d}

 

Mam wrazenie graniczące z pewnościa że ubywa mi miejsca na "C", Wiem co tam mam, zdaje sobie sprawe ze wiele "rzeczy" sie moze tam dodatkowo zapisywać" jednak jesli sytuacja bedzie miala nadal takie miejsce to np. za rok pozostanie mi 0bajtów wolnego miejsca na dysku nic tam nie dodajac. Takie wrazenie posiadania tasiemca:) który dodatkowo procz mnie sie zywi tym co na stole. Nie wiem czy dobrze objasniłem, dodam ze odkurzaczem tez operuje, czyszcze "c", cos tam skanuje ale i tak ubywa mimo ze nic nie dodaje a nawet odchudzam dysk "c"/

 

1. Wyczyść wszelkie Tempy korzystając z narzędzia TFC - Temp Cleaner

 

2. Wyzeruj stan przywracania systemu poprzez tymczasowe jego wyłączenie: KLIK

 

3. Przeanalizuj dysk narzędziem SpaceSniffer w celu sprawdzenia co zajmuje najwięcej miejsca na dysku.

 

 

 

 

[gustaw99]

Zrozbiłem co trzeba, w tempach wiele nie bylo bo porzadkuje na bierzaco, wstrzymałem przywracanie systemu i sprawdzilem co zajmuje mi miejsce i teraz sam nie wiem, niby wiekszosc znam.

Zawartosc C wyswietlila sie na brązowo i niebiesko. to cos znaczy? w niebieskim sa np. pagefile.sys i hiberfil.sys...pierwsze slysze o czyms takim.

screen: http://img295.imageshack.us/content_round.php?page=done&l=img295/8735/spacesnifferscreen.png&via=mupload

[deFco247]

Folder profilu użytkownika "Administrator" zajmuje b. dużo miejsca. Zwiększ szczegółowość tej planszy klikając Ctrl + + (plus) lub kliknij dwukrotnie na brązowy nagłówek folderu "Administrator" i po kolei schodź niżej aż dojdziesz do tego pożeracza miejsca.