"pokaż ukryte pliki i foldery" nie działa

**Posty:** 8 · przez **rasta69** 22 Kwi 2010, 12:31

Witam,

Problem jak w temacie, proszę o przeglądnięcie logów... Usunięty Deamon i sptd.sys.

Kod: Zaznacz wszystko: GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-04-22 12:16:13 Windows 5.1.2600 Dodatek Service Pack 3 Running: cz3gv60o.exe; Driver: C:\DOCUME~1\ja\USTAWI~1\Temp\pgayrpod.sys ---- System - GMER 1.0.15 ---- SSDT 82643580 ZwAssignProcessToJobObject SSDT 82644100 ZwDebugActiveProcess SSDT 82643B30 ZwDuplicateObject SSDT 82642CC0 ZwOpenProcess SSDT 82642FC0 ZwOpenThread SSDT 826439C0 ZwProtectVirtualMemory SSDT 82643860 ZwSetContextThread SSDT 826436E0 ZwSetInformationThread SSDT 82640700 ZwSetSecurityObject SSDT 82643420 ZwSuspendProcess SSDT 826432C0 ZwSuspendThread SSDT 82642E50 ZwTerminateProcess SSDT 82643150 ZwTerminateThread SSDT 82643F50 ZwWriteVirtualMemory ---- Kernel code sections - GMER 1.0.15 ---- _LTEXT C:\WINDOWS\system32\DRIVERS\sntie.sys entry point in "_LTEXT" section [0xAA08CF50] ---- User code sections - GMER 1.0.15 ---- .text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1096] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00] .text D:\Programy\Mozilla Firefox\firefox.exe[2668] ntdll.dll!LdrLoadDll 7C9163C3 5 Bytes JMP 004013F0 D:\Programy\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET) AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET) AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x51 0xE5 0xD4 0xFB ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x51 0xE5 0xD4 0xFB ... ---- EOF - GMER 1.0.15 ----

OTL: http://wklej.org/id/320698/

Extras: http://wklej.org/id/320702/

**Posty:** 18165 · przez **wojtas** 22 Kwi 2010, 12:44

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
O2 - BHO: (Yahoo! Toolbar Helper) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O4 - HKLM..\Run: [KernelFaultCheck] File not found
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found
O33 - MountPoints2\{8b204e4f-2fbd-11df-86fe-0014a5b1d261}\Shell\AutoRun\command - "" = G:\nhx.exe -- File not found
O33 - MountPoints2\{8b204e4f-2fbd-11df-86fe-0014a5b1d261}\Shell\open\Command - "" = G:\nhx.exe -- File not found

:Files
C:\Program Files\Yahoo!
C:\Program Files\PDFCreator Toolbar
C:\WINDOWS\tasks\AppleSoftwareUpdate.job

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]

Kliknij w Run Fix. I potwierdź reset kompa .

Czynności końcowe :

1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
4. zrób skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )

i powinno być ok

pozdro

**Posty:** 8 · przez **rasta69** 22 Kwi 2010, 16:28

OTL: All processes killed
Anti-Malware znalazł jeden klucz: HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.

Dzięki za pomoc, póki co wszystko ładnie działa.

edit:

na koniec 2 pytania:
- czy okresowe wrzucanie tutaj logów z OTL'a i GMER'a ma sens i jest dopuszczalne?
- czy logi z ww. programów mogą pomóc przy mulącej nagrywarce (strasznie długo nagrywa płytki, nie na komputerze z którego pochodzą powyższe logi)?

**Posty:** 18165 · przez **wojtas** 22 Kwi 2010, 19:14

rasta69 napisał(a):- czy okresowe wrzucanie tutaj logów z OTL'a i GMER'a ma sens i jest dopuszczalne?

jest dopuszczalne

rasta69 napisał(a):- czy logi z ww. programów mogą pomóc przy mulącej nagrywarce (strasznie długo nagrywa płytki, nie na komputerze z którego pochodzą powyższe logi)?

nie sądzę żeby wirusy źle wpływały na nagrywarkę