bluescreen podczas zamykania systemu - windbg log [win7]

Post07 maja 2011, 19:06

Avira wykrywa zabezpieczenie partycji, dodaj wszystkie pliki autorun.inf do ignorowanych.
To jest takie zabezpieczenie przed infekcją z pena.:

O32 - AutoRun File - [2011-05-04 22:06:51 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-05-04 22:06:51 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-05-04 22:06:51 | 000,000,000 | RHSD | M] - F:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-05-04 22:06:51 | 000,000,000 | RHSD | M] - G:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-05-04 22:06:51 | 000,000,000 | RHSD | M] - H:\Autorun.inf -- [ NTFS ]

Potem jeszcze wykonaj:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:Commands
[resethosts]
[Reboot]

Kliknij w Wykonaj Skrypt

Post07 maja 2011, 23:33

Gdzie mam wkleić ten pierwszy skrypt? Po odpaleniu go w OTL wyskoczył error Dostępne tylko dla zarejestrowanych użytkowników
Do ignorowania użyłem opcji exceptions z Avira Guard,

Po uruchomieniu drugiego skryptu oczywiście podczas restartu wyskoczył BSOD, nie zapisało logu z działania.

Oto nowe logi z OTL po restarcie:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Skanowałem dziś komputer MBAM, Avirą i nie wykryły żadnego problemu. Ostatni wirus wykryty był 5 maja (plik opisany przez avirę jako: "contains a recognition patterns of a harmful BDS/Gbot.egc back-door program"). Jednak ciągle wywala mi BSOD podczas zamykania/restartu komputera i ciągle wina leży w tym pliku ntkrnlpa.exe. Oto log z ostatniego Dostępne tylko dla zarejestrowanych użytkowników
Szukałem informacji w internecie i niektórzy próbowali podmieniać ten plik innym.

Innym problemem który pojawił się podczas naprawiania komputera są miniaturki ikon. Nie wyświetla mi ich. Próbowałem naprawić je za pomocą Icon Cache Rebuilder ale nie podziałało. Podobny problem jest z tapetą. Nie mogę zmienić jej na cokolwiek innego oprócz jednokolorowego tła. Nawet nie mogę użyć domyślnych tapet windowsa...

Post07 maja 2011, 23:41

Ten pierwszy to nie skrypt, tylko zaznaczone (żeby lepiej Ci się widziało) wpisy z plikami które masz dodać do ignorowanych.
Niestety, ja nie mam Aviry i Ci nie pomogę. Poproś kogoś kto Ci dokładnie powie jak dodać do ignorowanych te pliki.

1. Pokaż log z aswMBR >>> Dostępne tylko dla zarejestrowanych użytkowników
jeżeli wykryje Rootkita usuń go wg. poradnika.

Post07 maja 2011, 23:50

Ok przeskanowałem tym programem i coś wykryło. Po kliknięciu na FIXMBR wyskoczyła informacja Dostępne tylko dla zarejestrowanych użytkowników

log: Dostępne tylko dla zarejestrowanych użytkowników

Mam zaakceptować fix??

Post07 maja 2011, 23:57

Tak, akceptnij.

Post08 maja 2011, 00:05

Zaakceptowałem, zrobiłem restart i ciągle to samo.....

BlueScreenViewer pokazuje ciągle ten sam powód BSOD.

Po restarcie odpaliłem znowu program aswMBR i znowu zaznaczył na czerwono te same pliki. Tak jakby ich w ogóle nie naprawił.
Dostępne tylko dla zarejestrowanych użytkowników

OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post08 maja 2011, 00:13

Napraw jeszcze raz , wcisnij FIXMBR, potem TAK i res kompa, ale nie guzikiem na obudowie tylko normalnie systemowo.
Zobacz po restarcie czy dalej to jest.
Jak dalej to jest to bedziemy dalej myśleli.

Post08 maja 2011, 00:49

Ciągle to samo. Chciałem spróbować przez tryb awaryjny jednak gdy się odpalił o dziwo wyskakiwał error, ze nie można odpalić explorera ponieważ login albo hasło jest niewłaściwe. I taki sam komunikat wyświetlał się gdy klikałem na cokolwiek. Nawet mojego komputera nie mogłem otworzyć...

-- 08 maja 2011, 00:37 --

Co do tego programu, to aktywną tylko mam opcję FIXMBR, FIX jest zablokowane.

-- 08 maja 2011, 00:40 --

Znalazłem podobny problem:
Dostępne tylko dla zarejestrowanych użytkowników

-- 08 maja 2011, 00:49 --

Szybki skan MBAM wykrył 11 problemów. Dostępne tylko dla zarejestrowanych użytkowników

Post08 maja 2011, 00:52

A moze pokaz nowe logi z MBRCheck i TDSSKillera ?

Post08 maja 2011, 01:04

MBR Dostępne tylko dla zarejestrowanych użytkowników
TDSS nic nie wykrywa

-- 08 maja 2011, 00:59 --

Wróć, ściągnąłem nowego TDSSa i wykrył :

\HardDisk1 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot
\HardDisk1 - ok

Kliknąłem Cure i idę restartować komputer.

-- 08 maja 2011, 01:04 --

Ok, nowy log z TDSS Dostępne tylko dla zarejestrowanych użytkowników
Wykrył jeszcze coś takiego: LockedFile.Multi.Generic(sptd) - dać do kwarantanny?

Nowy MBR: Dostępne tylko dla zarejestrowanych użytkowników

Post08 maja 2011, 01:11

Oba raporty - w porządku.
Pokaz jeszcze log z OTL.
BSODy dalej wyskakują ?

Post08 maja 2011, 01:17

uwaga uwaga!! wykonałem restart komputera i nie było BSOD (wykonałem nawet dwa bo za pierwszym razem nie wierzyłem że się udało)

Jednak po odpaleniu aswMBR ciągle zaznacza mi na czerwono te same pliki co wcześniej.
Log: Dostępne tylko dla zarejestrowanych użytkowników

MBRcheck: Dostępne tylko dla zarejestrowanych użytkowników

-- 08 maja 2011, 01:14 --

I co zrobić z tym plikiem z TDSS - LockedFile.Multi.Generic(sptd) - dać do kwarantanny?

-- 08 maja 2011, 01:17 --

A i jeszcze, mimo dodania wyjątków do Aviry w związku z plikami autorun.inf, ciągle wyskakuje komunikat z C:\ (z innych partycji nie)

Post08 maja 2011, 01:21

sptd zostaw w spokoju
co do tego komunikatu odpal aswmbr wcisnij FIX i res kompa
jezeli dalej bedzie wykrywal to pewnie szczątki zostały po Rootkicie

Post08 maja 2011, 01:34

No to super, zapraszam do Białegostoku na piwo : )

Czyli rozumiem że teraz mój komputer jest wolny od wirusów/rootkitów? : ) Do ochrony wystarczy Avira + MBAM + dr.web + TDSS?

Jeszcze tylko jedna sprawa, nie wyświetla mi po tym wszystkim miniatur ikon. Dopiero jak zmienię na np. listę i potem z powrotem na miniatury to mam obraz. Jednak jak wyłączę folder i znowu go odpalę to muszę zmieniać typ wyświetlania od nowa.

Post08 maja 2011, 13:12

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57030
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57030

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
ProxyServer =-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
ProxyServer =0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
ProxyEnable =-
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =0
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
ProxyEnable =0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =""
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\Current\Software\Microsoft\windows\CurrentVersion\Internet Settings]
ProxyEnable =""
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
ProxyEnable =""

:Commands
[clearallrestorepoints]
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Pokaż raport z usuwania.

.