• Ogłoszenie:

Edytor rejestru został wyłączony przez administratora.

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: trzy z FRST + Gmer.

Edytor rejestru został wyłączony przez administratora.

Postprzez pancur90 31 Sty 2011, 17:40

Mam problem. Formatowałem ostatnio parę razy komputer i instalowałem windowsa od nowa i za każdym razem po drugim albo trzecim włączeniu wyskakuje komunikat, że edytor rejestru został wyłączony przez administratora co wiąże się z tym, iż nie mogę włączyć żadnych programów oprócz firefoxa. Skanowałem komputer już paroma programami jak Dr Web Curelt, VirusRemover czy Hijackthis.

Wklejam log z GMER-a

Kod: Zaznacz wszystko
Rootkit scan 2011-01-31 16:29:43
Windows 5.1.2600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 SAMSUNG_SP0802N rev.TK100-24
Running: 9pk4susd.exe; Driver: C:\DOCUME~1\Trojan\USTAWI~1\Temp\kxryrfow.sys

---- Kernel code sections - GMER 1.0.15 ----

.text   ntoskrnl.exe!KeInitializeInterrupt + B79                                                                   804D4F8E 1 Byte  [06]
.text   C:\WINDOWS\System32\DRIVERS\nv4_mini.sys                                                                   section is writeable [0xF7F9C360, 0x242F9E, 0xE8000020]
?       C:\WINDOWS\System32\Drivers\PROCEXP113.SYS                                                                 Nie można odnaleźć określonego pliku. !

---- User code sections - GMER 1.0.15 ----

.text   C:\Program Files\Mozilla Firefox\firefox.exe[484] ntdll.dll!LdrLoadDll                                     77F569D2 5 Bytes  JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
.text   C:\Program Files\Mozilla Firefox\firefox.exe[484] ntdll.dll!NtCreateFile                                   77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\Program Files\Mozilla Firefox\firefox.exe[484] ntdll.dll!NtCreateProcess                                77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\Program Files\Mozilla Firefox\firefox.exe[484] ntdll.dll!NtCreateProcessEx                              77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\Program Files\Mozilla Firefox\firefox.exe[484] ntdll.dll!NtOpenFile                                     77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\system32\winlogon.exe[520] ntdll.dll!NtCreateFile                                               77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\system32\winlogon.exe[520] ntdll.dll!NtCreateProcess                                            77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\system32\winlogon.exe[520] ntdll.dll!NtCreateProcessEx                                          77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\system32\winlogon.exe[520] ntdll.dll!NtOpenFile                                                 77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtCreateFile                                               77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtCreateProcess                                            77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtCreateProcessEx                                          77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\system32\services.exe[564] ntdll.dll!NtOpenFile                                                 77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtCreateFile                                                  77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtCreateProcess                                               77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtCreateProcessEx                                             77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\system32\lsass.exe[576] ntdll.dll!NtOpenFile                                                    77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\system32\svchost.exe[752] ntdll.dll!NtCreateFile                                                77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\system32\svchost.exe[752] ntdll.dll!NtCreateProcess                                             77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\system32\svchost.exe[752] ntdll.dll!NtCreateProcessEx                                           77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\system32\svchost.exe[752] ntdll.dll!NtOpenFile                                                  77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\System32\svchost.exe[776] ntdll.dll!NtCreateFile                                                77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\System32\svchost.exe[776] ntdll.dll!NtCreateProcess                                             77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\System32\svchost.exe[776] ntdll.dll!NtCreateProcessEx                                           77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\System32\svchost.exe[776] ntdll.dll!NtOpenFile                                                  77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\system32\spoolsv.exe[1172] ntdll.dll!NtCreateFile                                               77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\system32\spoolsv.exe[1172] ntdll.dll!NtCreateProcess                                            77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\system32\spoolsv.exe[1172] ntdll.dll!NtCreateProcessEx                                          77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\system32\spoolsv.exe[1172] ntdll.dll!NtOpenFile                                                 77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\System32\nvsvc32.exe[1272] ntdll.dll!NtCreateFile                                               77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\System32\nvsvc32.exe[1272] ntdll.dll!NtCreateProcess                                            77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\System32\nvsvc32.exe[1272] ntdll.dll!NtCreateProcessEx                                          77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\System32\nvsvc32.exe[1272] ntdll.dll!NtOpenFile                                                 77F7EAF3 5 Bytes  CALL 7FFA1B85
.reloc  C:\WINDOWS\Explorer.EXE[1440] C:\WINDOWS\Explorer.EXE                                                      section is executable [0x010F3000, 0xA600, 0xE2000060]
.reloc  C:\WINDOWS\Explorer.EXE[1440] C:\WINDOWS\Explorer.EXE                                                      entry point in ".reloc" section [0x010F6600]
.text   C:\WINDOWS\Explorer.EXE[1440] ntdll.dll!NtCreateFile                                                       77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\Explorer.EXE[1440] ntdll.dll!NtCreateProcess                                                    77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\Explorer.EXE[1440] ntdll.dll!NtCreateProcessEx                                                  77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\Explorer.EXE[1440] ntdll.dll!NtOpenFile                                                         77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\System32\Cilevb.com[1532] ntdll.dll!NtCreateFile                                                77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\System32\Cilevb.com[1532] ntdll.dll!NtCreateProcess                                             77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\System32\Cilevb.com[1532] ntdll.dll!NtCreateProcessEx                                           77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\System32\Cilevb.com[1532] ntdll.dll!NtOpenFile                                                  77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\System32\ymcsxrv.exe[1540] ntdll.dll!NtCreateFile                                               77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\System32\ymcsxrv.exe[1540] ntdll.dll!NtCreateProcess                                            77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\System32\ymcsxrv.exe[1540] ntdll.dll!NtCreateProcessEx                                          77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\System32\ymcsxrv.exe[1540] ntdll.dll!NtOpenFile                                                 77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\System32\RUNDLL32.EXE[1564] ntdll.dll!NtCreateFile                                              77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\System32\RUNDLL32.EXE[1564] ntdll.dll!NtCreateProcess                                           77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\System32\RUNDLL32.EXE[1564] ntdll.dll!NtCreateProcessEx                                         77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\System32\RUNDLL32.EXE[1564] ntdll.dll!NtOpenFile                                                77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\System32\ctfmon.exe[1572] ntdll.dll!NtCreateFile                                                77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\System32\ctfmon.exe[1572] ntdll.dll!NtCreateProcess                                             77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\System32\ctfmon.exe[1572] ntdll.dll!NtCreateProcessEx                                           77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\System32\ctfmon.exe[1572] ntdll.dll!NtOpenFile                                                  77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\Program Files\Messenger\msmsgs.exe[1580] ntdll.dll!NtCreateFile                                         77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\Program Files\Messenger\msmsgs.exe[1580] ntdll.dll!NtCreateProcess                                      77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\Program Files\Messenger\msmsgs.exe[1580] ntdll.dll!NtOpenFile                                           77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe[1600] ntdll.dll!NtCreateFile                          77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe[1600] ntdll.dll!NtCreateProcess                       77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe[1600] ntdll.dll!NtCreateProcessEx                     77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe[1600] ntdll.dll!NtOpenFile                            77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\WINDOWS\system32\NOTEPAD.EXE[3152] ntdll.dll!NtCreateFile                                               77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\WINDOWS\system32\NOTEPAD.EXE[3152] ntdll.dll!NtCreateProcess                                            77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\WINDOWS\system32\NOTEPAD.EXE[3152] ntdll.dll!NtCreateProcessEx                                          77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\WINDOWS\system32\NOTEPAD.EXE[3152] ntdll.dll!NtOpenFile                                                 77F7EAF3 5 Bytes  CALL 7FFA1B85
.text   C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie\9pk4susd.exe[3176] ntdll.dll!NtCreateFile       77F7E603 5 Bytes  CALL 7FFA1B38
.text   C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie\9pk4susd.exe[3176] ntdll.dll!NtCreateProcess    77F7E6A3 5 Bytes  CALL 7FFA1B8C
.text   C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie\9pk4susd.exe[3176] ntdll.dll!NtCreateProcessEx  77F7E6B3 5 Bytes  CALL 7FFA1B99
.text   C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie\9pk4susd.exe[3176] ntdll.dll!NtOpenFile         77F7EAF3 5 Bytes  CALL 7FFA1B85

---- EOF - GMER 1.0.15 ----

Dodano Dzisiaj, 17:46:
i dwa logi z OTL-a tak jak jest w regulaminie
Kod: Zaznacz wszystko
OTL Extras logfile created on: 2011-01-31 16:35:27 - Run 1
OTL by OldTimer - Version     Folder = C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie
Windows XP Professional Edition  (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2600.0000)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

511,00 Mb Total Physical Memory | 277,00 Mb Available Physical Memory | 54,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 19,53 Gb Total Space | 17,24 Gb Free Space | 88,28% Space Free | Partition Type: NTFS
Drive D: | 55,02 Gb Total Space | 54,95 Gb Free Space | 99,88% Space Free | Partition Type: NTFS
Drive F: | 239,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

Computer Name: XXX-T89516BEMHI | User Name: Trojan | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]

[color=#E56717]========== File Associations ==========[/color]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l

.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"FirewallOverride" = 1
"UpdatesDisableNotify" = 1
"UacDisableNotify" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"FirewallOverride" = 1
"UpdatesDisableNotify" = 1
"UacDisableNotify" = 1

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

"Start" = 0

"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 1

[color=#E56717]========== Authorized Applications List ==========[/color]

"C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie\9137-[Guru3D.com].exe" = C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie\9137-[Guru3D.com].exe:*:Enabled:ipsec -- ()
"C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation)

[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

"{350C97C2-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F}" = SAGEM F@st 800-840
"AQQ" = WapSter AQQ
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"NVIDIA Drivers" = NVIDIA Drivers

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ System Events ]
Error - 2011-01-31 10:14:02 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 10:14:30 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 10:14:30 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 10:15:22 | Computer Name = XXX-T89516BEMHI | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi General Purpose USB Driver (e4ldr.sys)
z powodu następującego błędu:   %%1058

Error - 2011-01-31 11:30:47 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 11:30:47 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 11:30:47 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 11:31:06 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 11:31:06 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 11:32:08 | Computer Name = XXX-T89516BEMHI | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi General Purpose USB Driver (e4ldr.sys)
z powodu następującego błędu:   %%1058

< End of report >

Dodano Dzisiaj, 17:46:
Kod: Zaznacz wszystko
OTL Extras logfile created on: 2011-01-31 16:35:27 - Run 1
OTL by OldTimer - Version     Folder = C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie
Windows XP Professional Edition  (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2600.0000)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

511,00 Mb Total Physical Memory | 277,00 Mb Available Physical Memory | 54,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 83,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 19,53 Gb Total Space | 17,24 Gb Free Space | 88,28% Space Free | Partition Type: NTFS
Drive D: | 55,02 Gb Total Space | 54,95 Gb Free Space | 99,88% Space Free | Partition Type: NTFS
Drive F: | 239,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

Computer Name: XXX-T89516BEMHI | User Name: Trojan | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]

[color=#E56717]========== File Associations ==========[/color]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l

.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"FirewallOverride" = 1
"UpdatesDisableNotify" = 1
"UacDisableNotify" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"FirewallOverride" = 1
"UpdatesDisableNotify" = 1
"UacDisableNotify" = 1

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

"Start" = 0

"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 1

[color=#E56717]========== Authorized Applications List ==========[/color]

"C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie\9137-[Guru3D.com].exe" = C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie\9137-[Guru3D.com].exe:*:Enabled:ipsec -- ()
"C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation)

[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

"{350C97C2-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F}" = SAGEM F@st 800-840
"AQQ" = WapSter AQQ
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"NVIDIA Drivers" = NVIDIA Drivers

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ System Events ]
Error - 2011-01-31 10:14:02 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 10:14:30 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 10:14:30 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 10:15:22 | Computer Name = XXX-T89516BEMHI | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi General Purpose USB Driver (e4ldr.sys)
z powodu następującego błędu:   %%1058

Error - 2011-01-31 11:30:47 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 11:30:47 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 11:30:47 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 11:31:06 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 11:31:06 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-01-31 11:32:08 | Computer Name = XXX-T89516BEMHI | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi General Purpose USB Driver (e4ldr.sys)
z powodu następującego błędu:   %%1058

< End of report >
Posty: 9
Dołączenie: 03 Paź 2010, 16:44

Edytor rejestru został wyłączony przez administratora.

Postprzez wojtas 31 Sty 2011, 20:49

nie dałeś drugiego loga z OTL : OTL.txt
Awatar użytkownika
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656

Edytor rejestru został wyłączony przez administratora.

Postprzez pancur90 01 Lut 2011, 01:24

No teraz to nic już nie mogę zrobić bo znowu padł edytor rejestru i nie włączę nawet tego antyvira...

Dodano Dzisiaj, 08:45:
Udało mnie się wykonać skan i oto drugi log z OTL-a nie zmieścił się w poście więc podaje link:

Posty: 9
Dołączenie: 03 Paź 2010, 16:44

Edytor rejestru został wyłączony przez administratora.

Postprzez wojtas 01 Lut 2011, 15:51

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:
O4 - HKLM..\Run: [Copic Tilevb] C:\WINDOWS\System32\Cilevb.com ()
O4 - HKLM..\Run: [Windows Microsoft Services] C:\WINDOWS\System32\ymcsxrv.exe ()
O4 - HKLM..\Run: [Windows Service] C:\WINDOWS\System32\psubnxt.exe (
O4 - HKCU..\Run: [Windows Microsoft Services] C:\WINDOWS\System32\ymcsxrv.exe ()
O4 - HKCU..\Run: [Windows Service] C:\WINDOWS\System32\psubnxt.exe ()
O4 - HKCU..\Run: [Windows Video Drivers] C:\RECYCLER\S-1-5-21-4949114026-0259202210-567609146-5279\winlogon.exe ()
O4 - HKLM..\RunServices: [Copic Tilevb] C:\WINDOWS\System32\Cilevb.com ()
O4 - HKLM..\RunServices: [Windows Microsoft Services] C:\WINDOWS\System32\ymcsxrv.exe ()
O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\Web\related.htm ()
O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\Web\related.htm ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O32 - AutoRun File - [2011-02-01 00:03:08 | 000,000,246 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2011-02-01 00:03:08 | 000,000,292 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{ac3395ca-2d39-11e0-8753-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{ac3395ca-2d39-11e0-8753-806d6172696f}\Shell\auToplay\cOmMand - "" = C:\wpqcvq.pif -- [2011-02-01 00:03:08 | 000,103,140 | RHS- | M] ()
O33 - MountPoints2\{ac3395ca-2d39-11e0-8753-806d6172696f}\Shell\AutoRun\command - "" = C:\wpqcvq.pif -- [2011-02-01 00:03:08 | 000,103,140 | RHS- | M] ()
O33 - MountPoints2\{ac3395ca-2d39-11e0-8753-806d6172696f}\Shell\eXPLoRe\comMANd - "" = C:\wpqcvq.pif -- [2011-02-01 00:03:08 | 000,103,140 | RHS- | M] ()
O33 - MountPoints2\{ac3395ca-2d39-11e0-8753-806d6172696f}\Shell\Open\cOmMaNd - "" = C:\wpqcvq.pif -- [2011-02-01 00:03:08 | 000,103,140 | RHS- | M] ()
O33 - MountPoints2\{ac3395cb-2d39-11e0-8753-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{ac3395cb-2d39-11e0-8753-806d6172696f}\Shell\AUtoPlay\comMand - "" = D:\uinvy.exe -- [2011-02-01 00:03:08 | 000,103,140 | RHS- | M] ()
O33 - MountPoints2\{ac3395cb-2d39-11e0-8753-806d6172696f}\Shell\AutoRun\command - "" = D:\uinvy.exe -- [2011-02-01 00:03:08 | 000,103,140 | RHS- | M] ()
O33 - MountPoints2\{ac3395cb-2d39-11e0-8753-806d6172696f}\Shell\exPlore\COmmanD - "" = D:\uinvy.exe -- [2011-02-01 00:03:08 | 000,103,140 | RHS- | M] ()
O33 - MountPoints2\{ac3395cb-2d39-11e0-8753-806d6172696f}\Shell\OPEN\comMand - "" = D:\uinvy.exe -- [2011-02-01 00:03:08 | 000,103,140 | RHS- | M] ()

C:\Documents and Settings\Trojan\vicer.exe
C:\Documents and Settings\Trojan\cute.exe
RECYCLER /alldrives
Rports.exe /alldrives
wpqcvq.pif /alldrives
autorun.inf /alldrives
Repor.exe /alldrives
Rewuts.exe /alldrives



Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). dodatkowo Przy podpiętym urządzeniu przenośnym (pendrive, telefon - to co jest podłączane do kompa) , uruchom USBFIX z opcji Listing i pokaż raport na forum.
Awatar użytkownika
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656

Edytor rejestru został wyłączony przez administratora.

Postprzez pancur90 01 Lut 2011, 20:37

To jest raport z czyszczenia zaraz po restarcie
Kod: Zaznacz wszystko
All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Copic Tilevb deleted successfully.
C:\WINDOWS\system32\Cilevb.com moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Microsoft Services deleted successfully.
C:\WINDOWS\system32\ymcsxrv.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Service deleted successfully.
C:\WINDOWS\System32\psubnxt.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Microsoft Services deleted successfully.
File C:\WINDOWS\System32\ymcsxrv.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Service deleted successfully.
File C:\WINDOWS\System32\psubnxt.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Video Drivers deleted successfully.
C:\RECYCLER\S-1-5-21-4949114026-0259202210-567609146-5279\winlogon.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\\Copic Tilevb deleted successfully.
File C:\WINDOWS\System32\Cilevb.com not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\\Windows Microsoft Services deleted successfully.
File C:\WINDOWS\System32\ymcsxrv.exe not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c95fe080-8f5d-11d2-a20b-00aa003c157a}\ not found.
C:\WINDOWS\Web\related.htm moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{c95fe080-8f5d-11d2-a20b-00aa003c157a}\ not found.
File C:\WINDOWS\Web\related.htm not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
C:\autorun.inf moved successfully.
D:\autorun.inf moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac3395ca-2d39-11e0-8753-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac3395ca-2d39-11e0-8753-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac3395ca-2d39-11e0-8753-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac3395ca-2d39-11e0-8753-806d6172696f}\ not found.
C:\wpqcvq.pif moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac3395ca-2d39-11e0-8753-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac3395ca-2d39-11e0-8753-806d6172696f}\ not found.
File C:\wpqcvq.pif not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac3395ca-2d39-11e0-8753-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac3395ca-2d39-11e0-8753-806d6172696f}\ not found.
File C:\wpqcvq.pif not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac3395ca-2d39-11e0-8753-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac3395ca-2d39-11e0-8753-806d6172696f}\ not found.
File C:\wpqcvq.pif not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac3395cb-2d39-11e0-8753-806d6172696f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac3395cb-2d39-11e0-8753-806d6172696f}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac3395cb-2d39-11e0-8753-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac3395cb-2d39-11e0-8753-806d6172696f}\ not found.
D:\uinvy.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac3395cb-2d39-11e0-8753-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac3395cb-2d39-11e0-8753-806d6172696f}\ not found.
File D:\uinvy.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac3395cb-2d39-11e0-8753-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac3395cb-2d39-11e0-8753-806d6172696f}\ not found.
File D:\uinvy.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ac3395cb-2d39-11e0-8753-806d6172696f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{ac3395cb-2d39-11e0-8753-806d6172696f}\ not found.
File D:\uinvy.exe not found.
========== FILES ==========
C:\Documents and Settings\Trojan\vicer.exe moved successfully.
C:\Documents and Settings\Trojan\cute.exe moved successfully.
C:\Qoobox\Quarantine\Registry_backups folder moved successfully.
C:\Qoobox\Quarantine folder moved successfully.
C:\Qoobox folder moved successfully.
C:\RECYCLER\S-1-5-21-7726738556-8405139039-423220068-7785 folder moved successfully.
C:\RECYCLER\S-1-5-21-6559843772-0197266720-105959805-8676 folder moved successfully.
C:\RECYCLER\S-1-5-21-4949114026-0259202210-567609146-5279 folder moved successfully.
C:\RECYCLER\S-1-5-21-2975177811-2057906647-822555202-5074 folder moved successfully.
C:\RECYCLER folder moved successfully.
RECYCLER not found in D:\
RECYCLER not found in F:\
C:\Rports.exe moved successfully.
Rports.exe not found in D:\
Rports.exe not found in F:\
C:\WINDOWS\Aeexre moved successfully.
wpqcvq.pif not found in C:\
wpqcvq.pif not found in D:\
wpqcvq.pif not found in F:\
autorun.inf not found in C:\
autorun.inf not found in D:\
File move failed. F:\autorun.inf scheduled to be moved on reboot.
C:\Repor.exe moved successfully.
Repor.exe not found in D:\
Repor.exe not found in F:\
C:\Rewuts.exe moved successfully.
Rewuts.exe not found in D:\
Rewuts.exe not found in F:\
File move failed. C:\WINDOWS\System32\dllcache\Rtsecar.exe scheduled to be moved on reboot.
File\Folder C:\WINDOWS\System32\ymcsxrv.exe not found.
C:\WINDOWS\System32\Tracker.exe moved successfully.
========== REGISTRY ==========
Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"SuperHidden"|dword:00000001 /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"Hidden"|dword:00000001 /E : value set successfully!
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\"ShowSuperHidden"|dword:00000001 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\\"CheckedValue"|dword:00000001 /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden\ deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden\\@|"" /E : value set successfully!
========== COMMANDS ==========


User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1363735 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

User: Trojan
->Temp folder emptied: 774433 bytes
->Temporary Internet Files folder emptied: 3385934 bytes
->FireFox cache emptied: 80258209 bytes
->Flash cache emptied: 2135 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1099861 bytes
%systemroot%\System32 .tmp files removed: 2596 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 83,00 mb


User: Administrator

User: All Users

User: Default User

User: LocalService

User: NetworkService

User: Trojan
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb

OTL by OldTimer - Version log created on 02012011_192439

Files\Folders moved on Reboot...
File move failed. F:\autorun.inf scheduled to be moved on reboot.
File move failed. C:\WINDOWS\System32\dllcache\Rtsecar.exe scheduled to be moved on reboot.

Registry entries deleted on Reboot...

To jest log z OTL ze skanowania po restarcie

Z USBFIX-em jest tak ze włączam opcje listen i nic się nie dzieje

Dodano Dzisiaj, 20:42:
Nadal nie mogę otworzyć np. żadnego pliku z notatnika które mam na pulpicie.

Dodano Dzisiaj, 21:04:
Nadal Edytor rejestru jest wyłączony oraz menedżer zadań
Posty: 9
Dołączenie: 03 Paź 2010, 16:44

Edytor rejestru został wyłączony przez administratora.

Postprzez wojtas 02 Lut 2011, 00:36

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

SRV - (Microsoft Media) -- C:\WINDOWS\System32\dllcache\Rtsecar.exe ()
O4 - HKLM..\Run: [Windows Service] C:\WINDOWS\System32\lbgnlka.exe ()
O1 - Hosts: NtKrnlpa.info
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O32 - AutoRun File - [2004-08-12 12:41:24 | 000,001,078 | R--- | M] () - F:\AUTORUN.ICO -- [ CDFS ]
O32 - AutoRun File - [2006-08-16 15:38:52 | 000,000,000 | R--D | M] - F:\autorun -- [ CDFS ]
O32 - AutoRun File - [2006-02-27 11:47:22 | 000,167,936 | R--- | M] () - F:\autorun.exe -- [ CDFS ]
O32 - AutoRun File - [2006-06-09 11:26:35 | 000,000,029 | R--- | M] () - F:\autorun.inf -- [ CDFS ]


Kliknij wykonaj skrypt. I potwierdź reset komputera .
zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie ) raport ze skanowania daj w następnym poście + nowy log z OTL
Awatar użytkownika
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656

Edytor rejestru został wyłączony przez administratora.

Postprzez pancur90 02 Lut 2011, 07:24

Malwarabytes Anti-Malware nie chciał się zainstalować. Wklejam screena z błędem.

Log z OTL-a raport z czyszczenia
Kod: Zaznacz wszystko
All processes killed
========== OTL ==========
Service Microsoft Media stopped successfully!
Service Microsoft Media deleted successfully!
C:\WINDOWS\system32\dllcache\Rtsecar.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Service deleted successfully.
C:\WINDOWS\system32\lbgnlka.exe moved successfully. NtKrnlpa.info removed from HOSTS file successfully
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
File move failed. F:\AUTORUN.ICO scheduled to be moved on reboot.
File  not found.
File move failed. F:\autorun.exe scheduled to be moved on reboot.
File move failed. F:\autorun.inf scheduled to be moved on reboot.
========== COMMANDS ==========


User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 1146771 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Trojan
->Temp folder emptied: 8019236 bytes
->Temporary Internet Files folder emptied: 4534431 bytes
->FireFox cache emptied: 85621382 bytes
->Flash cache emptied: 17100 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16384 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 95,00 mb


User: Administrator

User: All Users

User: Default User

User: LocalService

User: NetworkService

User: Trojan
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb

OTL by OldTimer - Version log created on 02022011_055137

Files\Folders moved on Reboot...
File move failed. F:\AUTORUN.ICO scheduled to be moved on reboot.
File move failed. F:\autorun.exe scheduled to be moved on reboot.
File move failed. F:\autorun.inf scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_110.dat moved successfully.

Registry entries deleted on Reboot...

I 2 logi po skanowaniu OTL-em
Kod: Zaznacz wszystko
OTL Extras logfile created on: 2011-02-02 06:15:36 - Run 5
OTL by OldTimer - Version     Folder = C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie
Windows XP Professional Edition  (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2600.0000)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

511,00 Mb Total Physical Memory | 131,00 Mb Available Physical Memory | 26,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 61,00% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 19,53 Gb Total Space | 16,18 Gb Free Space | 82,84% Space Free | Partition Type: NTFS
Drive D: | 55,02 Gb Total Space | 54,81 Gb Free Space | 99,62% Space Free | Partition Type: NTFS
Drive F: | 239,38 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

Computer Name: XXX-T89516BEMHI | User Name: Trojan | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

[color=#E56717]========== Extra Registry (SafeList) ==========[/color]

[color=#E56717]========== File Associations ==========[/color]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l

.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

[color=#E56717]========== Shell Spawning ==========[/color]

batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL %1,%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

[color=#E56717]========== Security Center Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"FirewallOverride" = 1
"UpdatesDisableNotify" = 1
"UacDisableNotify" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"FirewallOverride" = 1
"UpdatesDisableNotify" = 1
"UacDisableNotify" = 1

[color=#E56717]========== System Restore Settings ==========[/color]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

"Start" = 0

"Start" = 2

[color=#E56717]========== Firewall Settings ==========[/color]

"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 1

[color=#E56717]========== Authorized Applications List ==========[/color]

"C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie\9137-[Guru3D.com].exe" = C:\Documents and Settings\Trojan\Moje dokumenty\Pobieranie\9137-[Guru3D.com].exe:*:Enabled:ipsec -- ()
"C:\WINDOWS\Explorer.EXE" = C:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation)
"C:\Documents and Settings\Trojan\cute.exe" = C:\Documents and Settings\Trojan\cute.exe:*:Enabled:ipsec
"C:\DOCUME~1\Trojan\USTAWI~1\Temp\winndop.exe" = C:\DOCUME~1\Trojan\USTAWI~1\Temp\winndop.exe:*:Enabled:ipsec
"C:\DOCUME~1\Trojan\USTAWI~1\Temp\pcpujn.exe" = C:\DOCUME~1\Trojan\USTAWI~1\Temp\pcpujn.exe:*:Enabled:ipsec
"C:\DOCUME~1\Trojan\USTAWI~1\Temp\owergh.exe" = C:\DOCUME~1\Trojan\USTAWI~1\Temp\owergh.exe:*:Enabled:ipsec
"C:\DOCUME~1\Trojan\USTAWI~1\Temp\mieb.exe" = C:\DOCUME~1\Trojan\USTAWI~1\Temp\mieb.exe:*:Enabled:ipsec

[color=#E56717]========== HKEY_LOCAL_MACHINE Uninstall List ==========[/color]

"{350C97C2-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{4AE3A0CB-87B0-4F51-BECD-3D1F8DFDD62F}" = SAGEM F@st 800-840
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AQQ" = WapSter AQQ
"mIRC" = mIRC
"Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13)
"NVIDIA Drivers" = NVIDIA Drivers
"Spyware Doctor" = Spyware Doctor 6.0
"Tibia_is1" = Tibia
"Trojan Remover_is1" = Trojan Remover 6.8.2
"Usbfix" = UsbFix By El Desaparecido & C_XX
"WinRAR archiver" = Archiwizator WinRAR

[color=#E56717]========== Last 10 Event Log Errors ==========[/color]

[ System Events ]
Error - 2011-02-02 00:51:38 | Computer Name = XXX-T89516BEMHI | Source = Service Control Manager | ID = 7034
Description = Usługa PC Tools Security Service niespodziewanie zakończyła pracę.
Wystąpiło to razy: 1.

Error - 2011-02-02 00:51:38 | Computer Name = XXX-T89516BEMHI | Source = Service Control Manager | ID = 7034
Description = Usługa PC Tools Auxiliary Service niespodziewanie zakończyła pracę.
Wystąpiło to razy: 1.

Error - 2011-02-02 00:51:38 | Computer Name = XXX-T89516BEMHI | Source = Service Control Manager | ID = 7031
Description = Usługa Microsoft Media niespodziewanie zakończyła pracę. Wystąpiło
to razy: 1. W przeciągu 3000 milisekund zostanie podjęta następująca czynność korekcyjna:
Uruchom usługę ponownie.

Error - 2011-02-02 00:51:41 | Computer Name = XXX-T89516BEMHI | Source = Service Control Manager | ID = 7032
Description = Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom
usługę ponownie) po nieoczekiwanym zakończeniu usługi Microsoft Media, ale ta akcja
nie powiodła się przy następującym błędzie:   %%1058.

Error - 2011-02-02 00:52:48 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-02-02 00:52:48 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-02-02 00:52:48 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-02-02 00:53:17 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-02-02 00:53:17 | Computer Name = XXX-T89516BEMHI | Source = NetBT | ID = 4311
Description = Zainicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia

Error - 2011-02-02 00:54:08 | Computer Name = XXX-T89516BEMHI | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi General Purpose USB Driver (e4ldr.sys)
z powodu następującego błędu:   %%1058

< End of report >


Jeszcze przy OTL-u Wyskoczył mi taki komunikat

Dodano Dzisiaj, 07:27:
Po ponownym włączeniu komputera dalej jest ten sam problem.
Posty: 9
Dołączenie: 03 Paź 2010, 16:44

Edytor rejestru został wyłączony przez administratora.

Postprzez wojtas 02 Lut 2011, 21:20

zrób skan :

http://www.symantec.com/content/en/us/global/removal_tool/threat_writeups/FixVirut.com (jak będzie raport wrzuć na forum)
http://www.freedrweb.com/ (raport wrzuć na forum) i daj nowe logi z OTL + Gmer
Awatar użytkownika
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656

Edytor rejestru został wyłączony przez administratora.

Postprzez pancur90 03 Lut 2011, 10:59

z FixVirut też jest problem:
Posty: 9
Dołączenie: 03 Paź 2010, 16:44

Edytor rejestru został wyłączony przez administratora.

Postprzez wojtas 03 Lut 2011, 11:40

spróbuj skan zrobić w awaryjnym oraz skan Webem też

czyli daj 3 raporty zobaczymy czy coś znalazł
ta metoda jest mało skuteczna bo taka infekcja co Ty masz najczęściej kończy się formatem wszystkich partycji no ale spróbujemy
Awatar użytkownika
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656

Edytor rejestru został wyłączony przez administratora.

Postprzez pancur90 03 Lut 2011, 11:57

Problem jest w tym, że nawet trybu awaryjnego nie mogę włączyć. Apropo formatów robiłem 3 razy i od nowa windowsa instalowałem zawsze i nic nie pomogło
Posty: 9
Dołączenie: 03 Paź 2010, 16:44

Edytor rejestru został wyłączony przez administratora.

Postprzez wojtas 03 Lut 2011, 13:43

a robiłeś format wszystkich partycji ? infekcja zaraża pliki exe, dll. scr. Jeśli sobie coś nagrywałeś zainfekowanego to zaraz zainfekuje, do tego możesz mieć coś na telefonie / pendrivie zainfekowanego...

a jak skan webem ?
Awatar użytkownika
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656

Edytor rejestru został wyłączony przez administratora.

Postprzez pancur90 03 Lut 2011, 13:53

Będę kupował nowy komputer to już postanowiłem. Chciałbym się tylko dowiedzieć czy jeżeli przełożę tą kartę graficzną do nowego komputera to jest prawdopodobieństwo, że będzie to samo, czy nie ma opcji zakażenia tym wirusem karty graficzne i RAM-u?

Dodano Dzisiaj, 13:54:
Tak robiłem formata wszystkich partycji. Później standardowo internet instalowałem z płytki i tyle. Żadnego telefonu nie podłączałem tylko modem mam podłączony do USB
Posty: 9
Dołączenie: 03 Paź 2010, 16:44

Edytor rejestru został wyłączony przez administratora.

Postprzez wojtas 03 Lut 2011, 14:00

nie ta infekcja nie przejdzie po karcie graficznej... robiłeś skan Webem ? znalazł coś ?
Awatar użytkownika
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656

Edytor rejestru został wyłączony przez administratora.

Postprzez pancur90 03 Lut 2011, 14:53

Web tez nie chce się zainstalować

Może to być wina zainfekowanej płytki od windowsa?
Posty: 9
Dołączenie: 03 Paź 2010, 16:44

Edytor rejestru został wyłączony przez administratora.

Postprzez wojtas 03 Lut 2011, 15:01

a spróbuj użyć:
http://support.kaspersky.com/pl/downloads/common/salitykiller.zip (skanuj dopóki nic nie wykryje)
i tego:

a masz opisane jak naprawić awaryjny
Awatar użytkownika
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656

Edytor rejestru został wyłączony przez administratora.

Postprzez pancur90 03 Lut 2011, 16:42

Przeskanuje to wkleję raporty.
Ta infekcja może być spowodowana zawirusowana płytką windowsa?
Posty: 9
Dołączenie: 03 Paź 2010, 16:44

Edytor rejestru został wyłączony przez administratora.

Postprzez wojtas 03 Lut 2011, 17:20

może tak być jeśli została nagrywana na zainfekowanym kompie,
Awatar użytkownika
Posty: 18165
Dołączenie: 13 Sty 2006, 16:00
Miejscowość: Krzeszyce
Pochwały: 1656

Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: negim28716 oraz 8 gości