Log z ComboFixa, błędna data w BIOSie

[klapek11970]

Witam mógł by ktoś sprawdzić te logi ew zrobię ich więcej.
PS mam nadzieje ze to dobry dział.A i miałem reset biosu ze data i godzina jest błędna jakby co...
Dostępne tylko dla zarejestrowanych użytkowników

[deFco247]

1. Brak dokładnego opisu problemu.

2. Logi zamieszczone w niewłaściwy sposób (do korekcji przez moderatora). Używaj np. Dostępne tylko dla zarejestrowanych użytkowników do wklejania logów, a tutaj zamieszczaj tylko linki do wklejek.

3. Użyte niepożądane narzędzie do tworzenia logów, gdyż Combofix można używać tylko za zgodą osoby prowadzącej pomoc, o ile uzna to za stosowne. Combofix jest narzędziem o dużej sile rażenia, które może również nieprawidłowo użyte spowodować szkody w systemie.
Poza tym:

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [4/27/2011 11:10 PM 685816]

+

c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Zastosuj się do: Dostępne tylko dla zarejestrowanych użytkowników

Była tutaj infekcja w pliku systemowym usługi Messenger, która została już wyleczona przez Combofix:

Infected copy of c:\windows\system32\msgsvc.dll was found and disinfected
Restored copy from - c:\windows\ERDNT\cache\msgsvc.dll

Co będzie nam tu dalej potrzebne:

• Pobierz OTL z jednego z tych linków:
  - Dostępne tylko dla zarejestrowanych użytkowników
  - Dostępne tylko dla zarejestrowanych użytkowników
• Uruchom narzędzie dwuklikiem i ustaw jak na tym obrazku: Dostępne tylko dla zarejestrowanych użytkowników
• Uruchom skan przyciskiem Skanuj/Scan.
• Po zakończonym skanie wklej obydwa raporty na jedną z tych stron: Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników lub Dostępne tylko dla zarejestrowanych użytkowników,
  a tutaj wstaw linki do obydwu wklejek.

• Pobierz GMER z jednego z tych linków:
  - Dostępne tylko dla zarejestrowanych użytkowników
  Pobierany plik będzie miał losową nazwę. Polecany w przypadku infekcji blokujących działanie GMER-a.
  - Dostępne tylko dla zarejestrowanych użytkowników z plikiem gmer.exe
  Wersja ***** na blokady.
• Odłącz się od sieci i wyłącz wszelkie zbędne programy. Wyłączyć należy również wszelkie oprogramowanie antywirusowe i podobne posiadające ochronę czasu rzeczywistego (real-time).
• Uruchom GMER. Przy uruchomieniu program wykonuje tzw. preskan. Jeśli zostanie wyświetlony komunikat informujący o znalezieniu modyfikacji w systemie, zatwierdź go przyciskiem OK.
• Uruchom pełny skan przyciskiem Szukaj i czekaj cierpliwie na zakończenie skanu (może on trwać nawet do kilku godzin). W trakcie skanu nie wolno nic robić na komputerze.
• Po zakończonym skanie skopiuj raport przyciskiem Kopiuj i wklej go na jedną ze stron podanych wcześniej wstawiając tutaj link. Zapisz również kopię logu na dysku przyciskiem Zapisz.

[djarta]

Myśle, że dla Pana można wybaczyć użycie ComboFixa (oczywiście porady @deFca są na mocy więc logi z OTL i GMER są NAKAZANE) ale najpierw wykonaj skrypt usuwający Rootkit'a.

Otwórz Notatnik i wklej do niego ten tekst:

KillAll::

File::
c:\windows\system32\dnavncx.dll

Driver::
plvtjkrx
xbuap

NetSvc::
xbuap

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6433:TCP"=-

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\plvtjkrx]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xbuap]

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie (i powstanie log). Daj ten log.

Pod koniec zaprezentuj nam logi z
ComboFixa , OTL'a i GMER'a

.

[XMan]

J/w.
Dodatkowo :
1. ustaw datę i godzinę w BIOS-ie.
2. zresetuj BIOS - Resetowanie BIOS-u płyty głównej komputera
Pierwszy lub trzeci sposób.
3. Może wysiadła bateryjka ?


Koszt 6-7 zł.
Tymczasowo możesz zainstalować i sprawdzić Dostępne tylko dla zarejestrowanych użytkowników.
Jest za free i PL.

[klapek11970]

O godzinę mi chodziło ze zresetowałem bios i nie chciało mi się daty ustawiać ;p
A logi daje z kilku powodów:
1.Miałem Sallity (Taki wirusek a format odpadał ,mamy komputer i bardzo ważne jej dane...Niby jakoś nic nie zostało ale wole się upewnić)
2.Ekran mi się wyłącza/zawiesza ale po operacji z ComboFix naraze mam spokój
3.Troche internet wolno chodzi pobiera mi tak z 110kb/s a ostatnio czasem po 50kb/s
No a tera wasz zadowolę logami z ComboFix jak narazie bo z OTL robię nowe po tym skrypcie
Dostępne tylko dla zarejestrowanych użytkowników
EDIT
No i jesce z OTL daje logi
Extras: Dostępne tylko dla zarejestrowanych użytkowników
OTL: Dostępne tylko dla zarejestrowanych użytkowników
I Gmer
Dostępne tylko dla zarejestrowanych użytkowników

3. Użyte niepożądane narzędzie do tworzenia logów, gdyż Combofix można używać tylko za zgodą osoby prowadzącej pomoc, o ile uzna to za stosowne. Combofix jest narzędziem o dużej sile rażenia, które może również nieprawidłowo użyte spowodować szkody w systemie.
Poza tym:

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [4/27/2011 11:10 PM 685816]

+

c:\program files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

Zastosuj się do: Dostępne tylko dla zarejestrowanych użytkowników ... ce-napedy/

Zapomniałem o tym ,już zrobione dać nowe logi??

[djarta]

We wszystkich logach nie widać już infekcji.

1. Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
SRV - File not found [On_Demand | Stopped] -- -- (gupdatem) Google Update Service (gupdatem)
SRV - File not found [Auto | Stopped] -- -- (gupdate) Usługa Google Update (gupdate)
DRV - File not found [Kernel | On_Demand | Running] -- -- (catchme)

:Files
c:\windows\system32\01.tmp

:Commands
[clearallrestorepoints]
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script
Pokaż raport z usuwania po restarcie.

2. Zaprezentuj jeszcze log z TDSSKiller


.

[klapek11970]

OTL: Dostępne tylko dla zarejestrowanych użytkowników

TDSSKiller skan nic nie wykrył a na raporcie to jest: Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Start >>> uruchom >>> wklep tą komende:
"c:\documents and settings\Klapciu\Desktop\ComboFix.exe " /uninstall
wciśnij ENTER

2. Uruchom OTL i wciśnij Sprzątanie.

3. Aktualizacja zabezpieczeń: Dostępne tylko dla zarejestrowanych użytkowników / Dostępne tylko dla zarejestrowanych użytkowników / Dostępne tylko dla zarejestrowanych użytkowników

4. Pełne skanowanie systemu programem Dr. Web CureIt!.
Usuń / lecz to co znajdzie i wklej raport końcowy.

5. Pełne skanowanie systemu programem Malwarebytes' Anti-Malware.
(!) Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY WIRUSÓW
Usuń to co znajdzie i daj raport.

[klapek11970]

Będą problemy bo jak narazie to znalazło i musze anulować skan ,burza idzie http://www.hotfix.pl/dzialanie-malware-na-przykladzie-najnowszego-win32-hllw-shadow-based-n117.htm

[XMan]

O godzinę mi chodziło ze zresetowałem bios i nie chciało mi się daty ustawiać ;p

3. Może wysiadła bateryjka ?

Tymczasowo możesz zainstalować i sprawdzić Atomic Clock Sync v3.0.

- sprawdziłeś ?