[log] mulenie netu, klawiatura i touchpad wariują

[mikeangeloss]

Cześć, jestem laikiem proszę o pomoc. Od wczoraj klawiatura w latopie, myszka i touchpad wariują np. są dostępne tylko polskie znaki, albo w ogóle klawiatura nie działa, zamieniają się przyciski myszy prawy z lewym, a kursor żyje własnym życiem... Po chwili wszystko jest na chwilę krótszą lub dłuższą ok a potem znów. Net przy tym zamula nie chce w ogóle wgrywać stron lub robi to bardzo wolno albo jeszcze łączy się namiętnie z google analytics i pozostaje biały ekran. Proszę o pomoc:
Gmer:
http://www.wklej.org/id/385109/
Otl:
http://www.wklej.org/id/385117/
http://www.wklej.org/id/385118/

Z góry dzięki.

[Andziorka]

W okienko OTL wklej poniższy skrypt i klik na Wykonaj skrypt:

:Processes
explorer.exe

:OTL
IE - HKU\S-1-5-21-484763869-1606980848-1177238915-1004\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - Reg Error: Value error. File not found
FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search"
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}"
O2 - BHO: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKLM\..\Toolbar: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - Reg Error: Value error. File not found
O3 - HKU\S-1-5-21-484763869-1606980848-1177238915-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-484763869-1606980848-1177238915-1004\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKU\S-1-5-21-484763869-1606980848-1177238915-1004..\Run: [AlcoholAutomount] C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe File not found
O4 - HKU\S-1-5-21-484763869-1606980848-1177238915-1004..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe File not found
O4 - HKU\S-1-5-21-484763869-1606980848-1177238915-1004..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe File not found
@Alternate Data Stream - 146 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:C04CAC43
@Alternate Data Stream - 116 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:364682BC

:Files
C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\rtr9o8yk.default\extensions\DTToolbar@toolbarnet.com
C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\rtr9o8yk.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949}
C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\rtr9o8yk.default\searchplugins\conduit.xml
C:\Program Files\DAEMON Tools Toolbar
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\Norton Security Scan for dom.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]

C:\WINDOWS\System32\TLFL6.dat

sprawdź ten plik na: http://virusscan.jotti.org/pl

Wykonaj tym skan: http://www.programosy.pl/program,malwarebytes-anti-malware.html usuń co znajdzie i daj raport.

Autor postu otrzymał pochwałę

[mikeangeloss]

zrobiłem wszystko po kolei ale nie mogę wykonać ostatniego kroku... Malwarebytes mi się sciągnął, zainstalowałem go, ale nie chce się uruchomić...

[Andziorka]

A w trybie awaryjnym próbowałeś? Ewentualnie tym spróbuj jeśli nie zadziała MBAM: http://www.programosy.pl/program,dr-web-cureit.html

[mikeangeloss]

nie wyszło mi tym MBAM nawet w awaryjnym, zrobiłem tym drugim najpierw szybkie skanowanie:
Proces w pamięci: C:\WINDOWS\System32\svchost.exe:1224;;BackDoor.Tdss.565;Zniszczony.;
kbdclass.sys;C:\WINDOWS\system32\drivers;BackDoor.Tdss.2459;Wyleczony.;

potem pełne:
NIS_2006_9.1.vbs;C:\Addon\Norton Internet Security;Prawdopodobnie SCRIPT.Virus;Niewyleczalny.Usunięty.;
Desktop_.ini;C:\Documents and Settings\dom\Pulpit\Moja muzyka\Rapy typie\Molesta - Nigdy Nie Mow Nigdy (2006);Win32.HLLW.Gavir.ini;Usunięty.;

póki co wsio działa niby poprawnie. ale zauważyłem, że nie mogę wyszukiwać plików na kompie - jak włączę menu start -> wyszukaj to się włącza biały ekran i nic nie mogę zrobić, podobnie z przywracaniem systemu, też jest biały ekran...

[Andziorka]

Wyszukiwanie.
Wejdź w Start --> Uruchom --> wpisz: %windir%\inf znajdź plik: srchasst.inf kliknij na niego prawym przyciskiem myszy i wybierz: Zainstaluj i włóż płytkę z Windowsem. Zainstaluje to składniki wyszukiwania.

Przywracanie systemu.
Wejdź w Start --> Uruchom --> wpisz: %windir%\inf --> znajdź plik sr.inf kliknij na niego prawym przyciskiem myszy i wybierz: Zainstaluj i włóż płytkę z Windowsem.

[mikeangeloss]

;( znow to samo z klawiatura... same polskie znaki i pomieszane klawisze w myszcce...

[NieWiem]

Mówiąc krótko - Andziorka popełniła błąd. Niestety boi się używać innych narzędzi niż OTL, a samym OTL się cudów nie urodzi.

BackDoor.Tdss.2459 -> zupełnie pominęła to wykrycie, które przez wirtualne patche może wcale nie zostać wyleczone. Jest to modyfikacja TDL3 infekująca losowy sterownik - w tym przypadku kbdclass. Sterownik trzeba będzie podmienić, o ile automaty same z siebie tego nie zrobią.

mikeangeloss, jeśli objawy dalej występują, to wklej proszę komplet świeżych logów OTL i Gmera. I umówmy się że ja postaram się dokończyć sprzątanie Twojego komputera

[mikeangeloss]

Spodziewałem się że przydadza sie nowe logi wiec przez noc sie zrobily...
Gmer:
http://www.wklej.org/id/385672/
OTL:
http://www.wklej.org/id/385675/ nie wiem czemu zrobil sie 1 otl...

[NieWiem]

Pobierz TDSSKiller od Kasperskiego:
stąd

Wypakuj, uruchom, wybierz opcję Start scan.
Poczekaj aż narzędzie ukończy pracę, wybierz opcję Report i wklej loga.

Jeśli znajdzie infekcję, wybierz opcję 'Cure', poczekaj aż ukończy i wklej loga.


Potem


Zamknij wszystko nad czym aktualnie pracujesz, także wyłącz swój program antywirusowy, zaporę, programy antyspyware. To ważne. Jak to zrobić, opisane tutaj.

Pamiętaj także o wyinstalowaniu wirtualnych napędów i usunięciu ich sterownika: klik

Pobierz ComboFixa od sUBs'a:
stąd lub stąd

ZANIM UŻYJESZ - Przeczytaj dokładnie jego instrukcję:
http://www.bleepingcomputer.com/combofix/pl/instrukcja-uzycia-combofix

Zalecam instalowanie Konsoli Odzyskiwania (XP, 2000), lub zaopatrzenie się w płytę WinRE (Vista, Se7en). Mimo wszystko ComboFix nie jest doskonały.

Przeklej na forum wyniki pracy narzędzia. Będą automatycznie otwarte w notatniku, znajdziesz je także w pliku C:\ComboFix.txt

[mikeangeloss]

TDSSkiller nic nie znalazł.

Log z Combofixa:
http://www.wklej.org/id/386028/

mam nadzieję, że wszystko zrobiłem poprawnie...

[NieWiem]

Uruchom ponownie OTL

u góry wciśnij nic
w oknie na dole wklej

Kod: Zaznacz wszystko

/md5start
kbdclass.sys
/md5stop
c:\windows\system32\drivers\kbdclass.sys /md5
c:\windows\system32\drivers\* /s /lockedfiles


wciśnij skanuj i przeklej raport

[mikeangeloss]

http://www.wklej.org/id/386066/

nie pisałeś nic, więc nie zaznaczałem ani infekcji LOOP, ani Purity...

[NieWiem]

Uruchom ponownie OTL

w oknie na dole wklej

Kod: Zaznacz wszystko

:processes
killallprocesses
:files
net stop Kbdclass
C:\WINDOWS\Driver Cache\i386\sp3.cab:kbdclass.sys /e
C:\WINDOWS\System32\drivers\kbdclass.sys|C:\kbdclass.sys /replace
:commands
[reboot]

wciśnij wykonaj skrypt i przeklej raport z wykonania (wyświetli się po restarcie).

Mój 1000 post na forum

[mikeangeloss]

Kod: Zaznacz wszystko

========== PROCESSES ==========
All processes killed
========== FILES ==========
File\Folder net stop Kbdclass not found.
kbdclass.sys extracted to C:\
File C:\WINDOWS\System32\drivers\kbdclass.sys successfully replaced with C:\kbdclass.sys
========== COMMANDS ==========

OTL by OldTimer - Version 3.2.11.0 log created on 09072010_120414

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

czy to znaczy, że jestem "czysty" ?

Mój 1000 post na forum

gratuluję i dzięki

[NieWiem]

Jeszcze zrób nowego loga z OTL, ale według takich wskazówek:

u góry wciśnij nic
w oknie na dole wklej

Kod: Zaznacz wszystko

/md5start
kbdclass.sys
/md5stop
c:\windows\system32\drivers\kbdclass.sys /md5
c:\windows\system32\drivers\* /s /lockedfiles


wciśnij skanuj i przeklej raport

i przede wszystkim powiedz jak objawy

[mikeangeloss]

http://www.wklej.org/id/386087/

póki co jest całkiem ok, ale wtedy też na chwilę było więc to się jeszcze może okazać...

[NieWiem]

Teraz musi być dobrze

Miałeś taki plik:

[2008-04-15 14:00:00 | 000,024,960 | ---- | M] () MD5=31B61179F9D2AE3779AFA5D2DEE736A7

a tak wygląda teraz, po podstawieniu go:

[2008-04-14 21:50:08 | 000,024,960 | ---- | M] (Microsoft Corporation) MD5=2AECA45D4AEAACBDCB77AD11184E4601

Problemy powinny minąć.

Uruchom OTL i wklej w nim:

Kod: Zaznacz wszystko

:PROCESSES
:SERVICES
:OTL
:FILES
:REG
:COMMANDS
[purity]
[emptytemp]
[emptyflash]
[clearallrestorepoints]

wciśnij Wykonaj skrypt. Pokaż raport po restarcie.

[mikeangeloss]

Kod: Zaznacz wszystko

All processes killed
========== PROCESSES ==========
========== SERVICES/DRIVERS ==========
========== OTL ==========
========== FILES ==========
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes

User: dom
->Temp folder emptied: 85504 bytes
->Temporary Internet Files folder emptied: 61716 bytes
->Java cache emptied: 12232 bytes
->FireFox cache emptied: 57644359 bytes
->Flash cache emptied: 1668 bytes

User: LocalService
->Temp folder emptied: 65748 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: Misiek
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 503085 bytes
->FireFox cache emptied: 40641917 bytes
->Flash cache emptied: 2709 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 95,00 mb


[EMPTYFLASH]

User: All Users

User: Default User

User: dom
->Flash cache emptied: 0 bytes

User: LocalService

User: Misiek
->Flash cache emptied: 0 bytes

User: NetworkService

Total Flash Files Cleaned = 0,00 mb

Restore points cleared and new OTL Restore Point set!

OTL by OldTimer - Version 3.2.11.0 log created on 09072010_125149

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

Registry entries deleted on Reboot...


i zle info: znow to samo, tylko jak napisalem poprzedni post ;(same polskie znaki i touchpad wariuje...

[NieWiem]

Wykonaj komplet nowych logów OTL + Gmer