Zarażone pliki czy coś nie tak w rejestrze?

[novik]

Witam! Mam taki problem - walczę już parę godzin.

Mam laptopa, który posiada Windowsa XP Media Center ma zainstalowany SP3

Miałem wirusa który spowodował małe zamieszanie w systemie. Avast wykrył i dałem do kwarantanny.
Oto log z Avasta!

Dostępne tylko dla zarejestrowanych użytkowników

Sprawdziłem na stronie Virustotal pliki: Kmm4xNT.sys i lhidke.sys na 41/42 jest to wirus.
Z początku myślałem że to fałszywy alarm.

Po każdym uruchomieniu komp załaduje się normalnie, ale pasek na dole po najechaniu myszką wyświetla się klepsydra i przy zegarze długo nie widać (ok. 10min) ikonek.
Mam wrażenie albo brakuje plików albo w rejestrze coś jest nie tak.

Proszę o pomoc. Nie chcę formatować dysku bo szkoda czasu.
Próbowałem już sfc /scannow ale program prosi o płytę XP SP3 a ja mam recovera na dysku (PC Recover).

Doradźcie co mam robić.

Oto log z OTL
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Każdy wie, że OTL nie widzi Rootkitów.

Wklej log z ComboFixa.

[novik]

No ja akurat tego nie wiedziałem człowiek całe życie się uczy.
Wklejam z katalogu Combofix\Combofix.txt - jak dla mnie dość krótki log.
Dostępne tylko dla zarejestrowanych użytkowników

Po przeskanowaniu Combofixa wyskoczył komunikat z prośbą o wysłanie raportu do Microsoftu (jeśli dobrze pamiętam) "Wystąpił poważny błąd systemu" - nie wiem gdzie można znaleźć ew. ten raport.

Po następnym uruchomieniu laptopa system załadował się ciut szybciej. Wciąż na początku brak ikonek przy zegarze, pojawiają się teraz po ok. 5min.

[djarta]

To nie cały log.! Albo go uciełeś, albo nie zrobił sie cały.
Wklej cały.!

[novik]

Zrobiłem jeszcze raz skan Combofixa.
Log Dostępne tylko dla zarejestrowanych użytkowników

Zanim Combofix przystąpił do skanowania wystąpił wyjątek z tego co widzę związane z komunikatorem Tlen
Dostępne tylko dla zarejestrowanych użytkowników

Nie wiem czemu ale nie widzę teraz ikonki Avasta! przy zegarze?? Ale w procesach jest uruchomiony. Przeinstaluję ten program i myśle, że zniknie ten problem.

Dziękuję za zainteresowanie djarta

[djarta]

1. Wklej do Notatnika:

KillAll::

Folder::
c:\windows\Internet Logs

Driver::
ba736814-1302-43aa-8307-4858bb139b9b

FileLook::
c:\windows\system32\drivers\nabtsfec.sys
c:\windows\system32\drivers\mspclock.sys

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć kopiowanie. (i powstanie log).



2.

c:\windows\system32\drivers\nabtsfec.sys
c:\windows\system32\drivers\mspclock.sys

Sprawdź je na Dostępne tylko dla zarejestrowanych użytkowników i pokaż wyniki ze skanowań.

[novik]

Log z Combofixa
Dostępne tylko dla zarejestrowanych użytkowników

przeskanowałem pliki na stronie Dostępne tylko dla zarejestrowanych użytkowników wyniki 0/41 i 0/42 pliki są czyste
raport Dostępne tylko dla zarejestrowanych użytkowników i Dostępne tylko dla zarejestrowanych użytkowników

Po ponownym uruchomieniu laptop dalej ładuje się długo.

[djarta]

2010-03-06 13:03 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-03-06 12:58 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys

Te pliki też sprawdź na VIRUSTOTAL.

[novik]

Są czyste
Dostępne tylko dla zarejestrowanych użytkowników
i
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

W takim razie jest czysto.

Pełny Scan MBAM'em --> http://www.hotfix.pl/articles.php?article_id=55

[filutka78]

c:\windows\system32\config\systemprofile\Application Data\rbuwzv.dat

Przy okazji usuń ten powyższy plik - należy do tej infekcji, którą ComboFix usuwał.
Chyba da się go teraz usunąć ręcznie.

F.

[novik]

Log z Malwarebytes' Anti-Malware Dostępne tylko dla zarejestrowanych użytkowników
mnie dziwią pozycje w nerze i RegistryEasy.

Nie wiem czy mam kasować czy nie. Nero 6 już nie używam mam w miarę nowszą wersję.
Natomiast do RegistryEasy ściągnąłem jakiś czas temu, aby sprawdził jakie błędy są na kompie i znalazł prawie 2000 błędów (nic nie robiłem wg mnie to za dużo, i nie wiem na ile wpłynie taka edycja na system).

Jutro wyślę na stronę Virustotal.com czy faktycznie są to pliki "zarażone" wirusem nie są to małe pliczki po 6 i 9MB mają.

Usunąłem ręcznie z katalogu

c:\windows\system32\config\systemprofile\Application Data\rbuwzv.dat

Jest już lepiej, ale do doskonałości daleko . Co jeszcze można zrobić? Wydaję mi się że brakuje jakiś plików, komp po uruchomieniu szybko ładuje potem przestaje, nie miga nawet dioda, potem rusza dalej. Po najechaniu na pasek narzędzi w tym czasie widać klepsydrę, mogę poruszać myszką po pulpicie tak samo jak chcę uruchomić jakiś program odpala dopiero jak już jest OK. Myślę, że będzie trzeba zrobić defragmentację dysku, ale to potrwa (dysk ma 100GB )

Jeszcze raz dziękuję za pomoc!!!

[djarta]

1. Pełne Skanowanie ,,Doktorkiem" ---> http://www.hotfix.pl/articles.php?article_id=193

2. Wykonaj optymalizację rejestru --> http://www.hotfix.pl/optymalizacja-rejestru-windows-a166.htm

3. Przeczytaj/wykonaj --> http://forum.hotfix.pl/viewtopic.php?f=16&t=5490&p=30773&hilit=optymalizacja#p30773

4. Zdefragmentuj dysk --> http://www.hotfix.pl/articles.php?article_id=129

5. Odchudź system --> http://www.hotfix.pl/odchudzanie-systemu-microsoft-windows-a134.htm

6. Sprawdź dysk za pomocą chkdsk