Brak połączenia z internetem + zainfekowany afd.sys

Dla specjalistów Bezpieczeństwo
#1

Witam, rano antywirus Avila AntiVir pokazał mi parę plików zainfekowanych do usunięcia:

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Windows\system32\acs.exe

C:\Windows\system32\ati2evxx.exe

C:\Windows\System32\drivers\afd.sys

Z automatu nieświadomy kliknąłem ok i wyłączyłem komputer. Po powrocie z pracy Internet nie chce działać (na innym komputerze i na telefonie działa; mój jest na kablu, reszta z wifi). Chciałem przeskanować system programem AntiSpyware – okno się otwiera, ale przy paru procentach skanu wyłącza się i pokazuje się okno z komunikatem : „System Windows nie może uzyskać dostępu do określonego urządzenia, ścieżki lub pliku. Możesz nie mieć odpowiednich uprawnień, aby uzyskać dostęp do elementu.” Pokazuje się ten komunikat przy każdej próbie włączenia jakiegokolwiek skanera. Nic więcej nie robiłem, tak jak wspomniałem rano wszystko było ok. System XP, service pack 3, Intel 1,83GHz, 1Gb ramu.

Dziękuję za pomoc.

#2

No jak wywaliłeś sterownik afd to na razie nie będzie internetu To uzupełnimy później.

Tutaj może być infekcja rootkitem zero access

Proszę o raport Kasperski TDSSKiller instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc … entry33542](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 33542#entry33542) Jak program coś wykryje wybierz Skip pokaż raport na forum

#3

Raport Kasperski TDSSKiller:

20:33:33.0171 0192 TDSS rootkit removing tool 2.6.21.0 Nov 24 2011 12:32:44

20:33:33.0218 0192 ============================================================

20:33:33.0218 0192 Current date / time: 2011/11/28 20:33:33.0218

20:33:33.0218 0192 SystemInfo:

20:33:33.0218 0192

20:33:33.0218 0192 OS Version: 5.1.2600 ServicePack: 3.0

20:33:33.0218 0192 Product type: Workstation

20:33:33.0218 0192 ComputerName: HURTOWNIA

20:33:33.0218 0192 UserName: hurtmen

20:33:33.0218 0192 Windows directory: C:\WINDOWS

20:33:33.0218 0192 System windows directory: C:\WINDOWS

20:33:33.0218 0192 Processor architecture: Intel x86

20:33:33.0218 0192 Number of processors: 2

20:33:33.0218 0192 Page size: 0x1000

20:33:33.0218 0192 Boot type: Normal boot

20:33:33.0218 0192 ============================================================

20:33:35.0437 0192 Initialize success

20:33:40.0750 1912 ============================================================

20:33:40.0750 1912 Scan started

20:33:40.0750 1912 Mode: Manual;

20:33:40.0750 1912 ============================================================

20:33:41.0796 1912 a53f8923 (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\596197285:1522562780.exe

20:33:41.0796 1912 Suspicious file (Hidden): C:\WINDOWS\596197285:1522562780.exe. md5: 8f2bb1827cac01aee6a16e30a1260199

20:33:41.0796 1912 a53f8923 ( Rootkit.Win32.PMax.gen ) - infected

20:33:41.0796 1912 a53f8923 - detected Rootkit.Win32.PMax.gen (0)

20:33:41.0859 1912 Abiosdsk - ok

20:33:41.0859 1912 abp480n5 - ok

20:33:41.0906 1912 ACPI (05118282f5d039595a2b92b4a4afe197) C:\WINDOWS\system32\DRIVERS\ACPI.sys

20:33:41.0921 1912 ACPI - ok

20:33:41.0937 1912 ACPIEC (66a42b7db194e24b973bbcce840a0f3f) C:\WINDOWS\system32\DRIVERS\ACPIEC.sys

20:33:41.0937 1912 ACPIEC - ok

20:33:42.0015 1912 ADIHdAudAddService (beee84a79710f705864685b05f1bb172) C:\WINDOWS\system32\drivers\ADIHdAud.sys

20:33:42.0015 1912 ADIHdAudAddService - ok

20:33:42.0015 1912 adpu160m - ok

20:33:42.0046 1912 AEAudioService (358063ab6c1c4173b735525cdfa65f94) C:\WINDOWS\system32\drivers\AEAudio.sys

20:33:42.0046 1912 AEAudioService - ok

20:33:42.0093 1912 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys

20:33:42.0093 1912 aec - ok

20:33:42.0125 1912 Aha154x - ok

20:33:42.0125 1912 aic78u2 - ok

20:33:42.0140 1912 aic78xx - ok

20:33:42.0156 1912 AliIde - ok

20:33:42.0187 1912 Amfilter (d716473c4f66c1173d3ca4e679f68743) C:\WINDOWS\system32\DRIVERS\Amfilter.sys

20:33:42.0187 1912 Amfilter - ok

20:33:42.0234 1912 amsint - ok

20:33:42.0281 1912 Amusbprt (0e264a9acb592f3fd91e742983db6a96) C:\WINDOWS\system32\DRIVERS\Amusbprt.sys

20:33:42.0281 1912 Amusbprt - ok

20:33:42.0296 1912 asc - ok

20:33:42.0312 1912 asc3350p - ok

20:33:42.0312 1912 asc3550 - ok

20:33:42.0343 1912 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys

20:33:42.0343 1912 AsyncMac - ok

20:33:42.0375 1912 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys

20:33:42.0375 1912 atapi - ok

20:33:42.0390 1912 Atdisk - ok

20:33:42.0500 1912 ati2mtag (492bd2a5f65f218d4ede5764a3bb67e9) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys

20:33:42.0515 1912 ati2mtag - ok

20:33:42.0656 1912 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys

20:33:42.0671 1912 Atmarpc - ok

20:33:42.0703 1912 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys

20:33:42.0703 1912 audstub - ok

20:33:42.0781 1912 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Program Files\Avira\AntiVir Desktop\avgio.sys

20:33:42.0781 1912 avgio - ok

20:33:42.0796 1912 avgntflt (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys

20:33:42.0796 1912 avgntflt - ok

20:33:42.0843 1912 avipbb (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys

20:33:42.0843 1912 avipbb - ok

20:33:42.0937 1912 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys

20:33:42.0937 1912 Beep - ok

20:33:43.0015 1912 BrScnUsb (92a964547b96d697e5e9ed43b4297f5a) C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys

20:33:43.0015 1912 BrScnUsb - ok

20:33:43.0046 1912 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys

20:33:43.0046 1912 cbidf2k - ok

20:33:43.0046 1912 cd20xrnt - ok

20:33:43.0062 1912 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys

20:33:43.0078 1912 Cdaudio - ok

20:33:43.0109 1912 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys

20:33:43.0109 1912 Cdfs - ok

20:33:43.0125 1912 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys

20:33:43.0125 1912 Cdrom - ok

20:33:43.0125 1912 Changer - ok

20:33:43.0156 1912 CmBatt (0f6c187d38d98f8df904589a5f94d411) C:\WINDOWS\system32\DRIVERS\CmBatt.sys

20:33:43.0156 1912 CmBatt - ok

20:33:43.0171 1912 CmdIde - ok

20:33:43.0171 1912 Compbatt (6e4c9f21f0fae8940661144f41b13203) C:\WINDOWS\system32\DRIVERS\compbatt.sys

20:33:43.0171 1912 Compbatt - ok

20:33:43.0218 1912 Cpqarray - ok

20:33:43.0265 1912 d344bus (1773dec9bd636e20950296838443a257) C:\WINDOWS\system32\DRIVERS\d344bus.sys

20:33:43.0265 1912 d344bus - ok

20:33:43.0328 1912 d344prt (3eb5bcd7ebd22a840510b68cbb0c27de) C:\WINDOWS\system32\Drivers\d344prt.sys

20:33:43.0328 1912 d344prt - ok

20:33:43.0343 1912 dac2w2k - ok

20:33:43.0359 1912 dac960nt - ok

20:33:43.0390 1912 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys

20:33:43.0390 1912 Disk - ok

20:33:43.0468 1912 dmboot (bc9219abc5696942e6f9ac8a9b28670f) C:\WINDOWS\system32\drivers\dmboot.sys

20:33:43.0484 1912 dmboot - ok

20:33:43.0515 1912 dmio (5fa232e3ba6e1346f9f5a7e519320cb0) C:\WINDOWS\system32\drivers\dmio.sys

20:33:43.0515 1912 dmio - ok

20:33:43.0562 1912 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys

20:33:43.0562 1912 dmload - ok

20:33:43.0609 1912 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys

20:33:43.0609 1912 DMusic - ok

20:33:43.0656 1912 dpti2o - ok

20:33:43.0687 1912 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys

20:33:43.0687 1912 drmkaud - ok

20:33:43.0750 1912 e1express (06d94f4543671b497a5f4a0aedd5e36a) C:\WINDOWS\system32\DRIVERS\e1e5132.sys

20:33:43.0750 1912 e1express - ok

20:33:43.0843 1912 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys

20:33:43.0843 1912 Fastfat - ok

20:33:43.0875 1912 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys

20:33:43.0875 1912 Fdc - ok

20:33:43.0890 1912 Fips (09e2a4d33f81a06a8aab2ba0a0b5d235) C:\WINDOWS\system32\drivers\Fips.sys

20:33:43.0890 1912 Fips - ok

20:33:43.0906 1912 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys

20:33:43.0906 1912 Flpydisk - ok

20:33:43.0953 1912 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\DRIVERS\fltMgr.sys

20:33:43.0953 1912 FltMgr - ok

20:33:43.0984 1912 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys

20:33:44.0000 1912 Fs_Rec - ok

20:33:44.0046 1912 Ftdisk (ed6d921d8ab423138fb35beee6d6a6cb) C:\WINDOWS\system32\DRIVERS\ftdisk.sys

20:33:44.0046 1912 Ftdisk - ok

20:33:44.0109 1912 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys

20:33:44.0109 1912 Gpc - ok

20:33:44.0218 1912 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys

20:33:44.0218 1912 HDAudBus - ok

20:33:44.0250 1912 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys

20:33:44.0265 1912 HidUsb - ok

20:33:44.0296 1912 hpn - ok

20:33:44.0359 1912 HSFHWAZL (702a7e1b3c9263efbd6aede3b6919761) C:\WINDOWS\system32\DRIVERS\HSFHWAZL.sys

20:33:44.0359 1912 HSFHWAZL - ok

20:33:44.0453 1912 HSF_DPV (8d02cb68d53aa36189faf86fed438884) C:\WINDOWS\system32\DRIVERS\HSF_DPV.sys

20:33:44.0468 1912 HSF_DPV - ok

20:33:44.0531 1912 HTTP (937031c085718c1c04a9c0864625ec6b) C:\WINDOWS\system32\Drivers\HTTP.sys

20:33:44.0531 1912 HTTP - ok

20:33:44.0609 1912 hwdatacard - ok

20:33:44.0609 1912 i2omgmt - ok

20:33:44.0625 1912 i2omp - ok

20:33:44.0671 1912 i8042prt (177b372af55c4460d0968b5f1d02aa1c) C:\WINDOWS\system32\DRIVERS\i8042prt.sys

20:33:44.0671 1912 i8042prt - ok

20:33:44.0703 1912 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys

20:33:44.0703 1912 Imapi - ok

20:33:44.0765 1912 ini910u - ok

20:33:44.0781 1912 IntelIde - ok

20:33:44.0796 1912 intelppm (da153edc09de8c4f846c085caa39d1cc) C:\WINDOWS\system32\DRIVERS\intelppm.sys

20:33:44.0812 1912 intelppm - ok

20:33:44.0828 1912 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys

20:33:44.0828 1912 Ip6Fw - ok

20:33:44.0843 1912 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys

20:33:44.0859 1912 IpFilterDriver - ok

20:33:44.0875 1912 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys

20:33:44.0875 1912 IpInIp - ok

20:33:44.0953 1912 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys

20:33:44.0968 1912 IpNat - ok

20:33:45.0015 1912 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys

20:33:45.0015 1912 IPSec - ok

20:33:45.0046 1912 irda (aca5e7b54409f9cb5eed97ed0c81120e) C:\WINDOWS\system32\DRIVERS\irda.sys

20:33:45.0046 1912 irda - ok

20:33:45.0093 1912 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys

20:33:45.0093 1912 IRENUM - ok

20:33:45.0156 1912 isapnp (c8eef2e93835b81bd335de2123121283) C:\WINDOWS\system32\DRIVERS\isapnp.sys

20:33:45.0156 1912 isapnp - ok

20:33:45.0187 1912 Kbdclass (2aeca45d4aeaacbdcb77ad11184e4601) C:\WINDOWS\system32\DRIVERS\kbdclass.sys

20:33:45.0187 1912 Kbdclass - ok

20:33:45.0312 1912 kbdhid (f718dcddac2544bc693f22977d06f78b) C:\WINDOWS\system32\DRIVERS\kbdhid.sys

20:33:45.0312 1912 kbdhid - ok

20:33:45.0406 1912 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys

20:33:45.0406 1912 kmixer - ok

20:33:45.0437 1912 KSecDD (c6ebf1d6ad71df30db49b8d3287e1368) C:\WINDOWS\system32\drivers\KSecDD.sys

20:33:45.0437 1912 KSecDD - ok

20:33:45.0484 1912 lbrtfdc - ok

20:33:45.0625 1912 mdf16 (b066b4b2910c670530b63d5e924e8a2b) C:\Program Files\Clarus\Samsung Drive Manager\mdf16.sys

20:33:45.0625 1912 mdf16 - ok

20:33:45.0687 1912 mdmxsdk (a027de1e6c11bd2daf61f6f276b2299f) C:\WINDOWS\system32\DRIVERS\mdmxsdk.sys

20:33:45.0687 1912 mdmxsdk - ok

20:33:45.0765 1912 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys

20:33:45.0765 1912 mnmdd - ok

20:33:45.0796 1912 Modem (4a068db7dc37d5afedb6512d2931d7b3) C:\WINDOWS\system32\drivers\Modem.sys

20:33:45.0796 1912 Modem - ok

20:33:45.0843 1912 Mouclass (fbed3df6b884f8cf00447b73507f2c48) C:\WINDOWS\system32\DRIVERS\mouclass.sys

20:33:45.0843 1912 Mouclass - ok

20:33:45.0890 1912 mouhid (ecec1e6cd558ab80f944f31326e9d3b5) C:\WINDOWS\system32\DRIVERS\mouhid.sys

20:33:45.0890 1912 mouhid - ok

20:33:45.0921 1912 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys

20:33:45.0921 1912 MountMgr - ok

20:33:45.0937 1912 mraid35x - ok

20:33:45.0953 1912 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys

20:33:45.0953 1912 MRxDAV - ok

20:33:45.0984 1912 MRxSmb (602549d1e8a622e5746991f6c56b21ca) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys

20:33:45.0984 1912 MRxSmb - ok

20:33:46.0031 1912 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys

20:33:46.0031 1912 Msfs - ok

20:33:46.0093 1912 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys

20:33:46.0093 1912 MSKSSRV - ok

20:33:46.0125 1912 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys

20:33:46.0125 1912 MSPCLOCK - ok

20:33:46.0140 1912 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys

20:33:46.0140 1912 MSPQM - ok

20:33:46.0187 1912 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys

20:33:46.0187 1912 mssmbios - ok

20:33:46.0218 1912 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys

20:33:46.0218 1912 Mup - ok

20:33:46.0328 1912 mvd23 (624197ec77bfbdf65cb21dd775e982da) C:\Program Files\Clarus\Samsung Drive Manager\mvd23.sys

20:33:46.0328 1912 mvd23 - ok

20:33:46.0421 1912 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys

20:33:46.0421 1912 NDIS - ok

20:33:46.0453 1912 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys

20:33:46.0453 1912 NdisTapi - ok

20:33:46.0468 1912 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys

20:33:46.0468 1912 Ndisuio - ok

20:33:46.0500 1912 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys

20:33:46.0500 1912 NdisWan - ok

20:33:46.0546 1912 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys

20:33:46.0546 1912 NDProxy - ok

20:33:46.0546 1912 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys

20:33:46.0562 1912 NetBIOS - ok

20:33:46.0578 1912 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys

20:33:46.0593 1912 NetBT - ok

20:33:46.0640 1912 nmwcd (712bc0c22ba00b2ba324c6b8df668ee7) C:\WINDOWS\system32\drivers\ccdcmb.sys

20:33:46.0656 1912 nmwcd - ok

20:33:46.0765 1912 nmwcdc (7312987b6ccde6f6cee32c14bed1ca2e) C:\WINDOWS\system32\drivers\ccdcmbo.sys

20:33:46.0765 1912 nmwcdc - ok

20:33:46.0812 1912 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys

20:33:46.0812 1912 Npfs - ok

20:33:46.0859 1912 NSCIRDA (2adc0ca9945c65284b3d19bc18765974) C:\WINDOWS\system32\DRIVERS\nscirda.sys

20:33:46.0859 1912 NSCIRDA - ok

20:33:46.0906 1912 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys

20:33:46.0937 1912 Ntfs - ok

20:33:46.0984 1912 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys

20:33:46.0984 1912 Null - ok

20:33:47.0062 1912 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys

20:33:47.0062 1912 NwlnkFlt - ok

20:33:47.0093 1912 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys

20:33:47.0109 1912 NwlnkFwd - ok

20:33:47.0171 1912 Parport (2d4cdaebced17743aa9e25d3016dc229) C:\WINDOWS\system32\drivers\Parport.sys

20:33:47.0171 1912 Parport - ok

20:33:47.0203 1912 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys

20:33:47.0203 1912 PartMgr - ok

20:33:47.0218 1912 ParVdm (453ec2c2a20a1382f564541918520eeb) C:\WINDOWS\system32\drivers\ParVdm.sys

20:33:47.0234 1912 ParVdm - ok

20:33:47.0281 1912 pccsmcfd (fd2041e9ba03db7764b2248f02475079) C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys

20:33:47.0281 1912 pccsmcfd - ok

20:33:47.0328 1912 PCI (6862c69168d787b85a7d95ccd33c694e) C:\WINDOWS\system32\DRIVERS\pci.sys

20:33:47.0328 1912 PCI - ok

20:33:47.0390 1912 PCIDump - ok

20:33:47.0406 1912 PCIIde (548cf2d6369eae441a4c6baa75bc4f0a) C:\WINDOWS\system32\DRIVERS\pciide.sys

20:33:47.0406 1912 PCIIde - ok

20:33:47.0421 1912 Pcmcia (8db27f1ae9593c94095485305a583862) C:\WINDOWS\system32\DRIVERS\pcmcia.sys

20:33:47.0421 1912 Pcmcia - ok

20:33:47.0437 1912 PDCOMP - ok

20:33:47.0453 1912 PDFRAME - ok

20:33:47.0453 1912 PDRELI - ok

20:33:47.0468 1912 PDRFRAME - ok

20:33:47.0484 1912 perc2 - ok

20:33:47.0484 1912 perc2hib - ok

20:33:47.0515 1912 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys

20:33:47.0515 1912 PptpMiniport - ok

20:33:47.0562 1912 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys

20:33:47.0562 1912 PSched - ok

20:33:47.0593 1912 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys

20:33:47.0593 1912 Ptilink - ok

20:33:47.0609 1912 ql1080 - ok

20:33:47.0625 1912 Ql10wnt - ok

20:33:47.0640 1912 ql12160 - ok

20:33:47.0640 1912 ql1240 - ok

20:33:47.0656 1912 ql1280 - ok

20:33:47.0671 1912 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys

20:33:47.0671 1912 RasAcd - ok

20:33:47.0703 1912 Rasirda (0207d26ddf796a193ccd9f83047bb5fc) C:\WINDOWS\system32\DRIVERS\rasirda.sys

20:33:47.0703 1912 Rasirda - ok

20:33:47.0718 1912 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys

20:33:47.0718 1912 Rasl2tp - ok

20:33:47.0734 1912 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys

20:33:47.0734 1912 RasPppoe - ok

20:33:47.0734 1912 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys

20:33:47.0734 1912 Raspti - ok

20:33:47.0765 1912 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys

20:33:47.0765 1912 Rdbss - ok

20:33:47.0781 1912 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys

20:33:47.0781 1912 RDPCDD - ok

20:33:47.0812 1912 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys

20:33:47.0812 1912 rdpdr - ok

20:33:47.0906 1912 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys

20:33:47.0906 1912 RDPWD - ok

20:33:47.0953 1912 redbook (d62fe9dcb44c3a181df67e0d681d1d22) C:\WINDOWS\system32\DRIVERS\redbook.sys

20:33:47.0953 1912 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\redbook.sys. Real md5: d62fe9dcb44c3a181df67e0d681d1d22, Fake md5: e0c7bbd18040b58651bac700c804861d

20:33:47.0953 1912 redbook ( Rootkit.Win32.ZAccess.e ) - infected

20:33:47.0953 1912 redbook - detected Rootkit.Win32.ZAccess.e (0)

20:33:48.0078 1912 SASDIFSV (a3281aec37e0720a2bc28034c2df2a56) C:\Program Files\SUPERAntiSpyware\SASDIFSV.SYS

20:33:48.0078 1912 SASDIFSV - ok

20:33:48.0093 1912 SASKUTIL (61db0d0756a99506207fd724e3692b25) C:\Program Files\SUPERAntiSpyware\SASKUTIL.SYS

20:33:48.0109 1912 SASKUTIL - ok

20:33:48.0203 1912 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys

20:33:48.0203 1912 Secdrv - ok

20:33:48.0265 1912 Serial (d07b02f88165e69b9f17162cf592c8a6) C:\WINDOWS\system32\drivers\Serial.sys

20:33:48.0265 1912 Serial - ok

20:33:48.0296 1912 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys

20:33:48.0296 1912 Sfloppy - ok

20:33:48.0343 1912 Si3112 (c17ead2a29695916eba59cec1f7f96a0) C:\WINDOWS\system32\drivers\Si3112.sys

20:33:48.0343 1912 Si3112 - ok

20:33:48.0375 1912 Si3114r5 (62b429c87ed5d3655b70d574d31b807b) C:\WINDOWS\system32\drivers\Si3114r5.sys

20:33:48.0375 1912 Si3114r5 - ok

20:33:48.0390 1912 Si3124 (aaaa385ffbaaf3fd89f8ce26ff0d0751) C:\WINDOWS\system32\drivers\Si3124.sys

20:33:48.0390 1912 Si3124 - ok

20:33:48.0406 1912 Si3132 (4cdaf939df995b0eefd91e069bfda30d) C:\WINDOWS\system32\drivers\Si3132.sys

20:33:48.0406 1912 Si3132 - ok

20:33:48.0421 1912 Si3132r5 (0a5df632416fdfa8a265f6ca2b80f23b) C:\WINDOWS\system32\drivers\Si3132r5.sys

20:33:48.0437 1912 Si3132r5 - ok

20:33:48.0468 1912 Si3531 (93beacc3815a4653a655c8bd7622ff63) C:\WINDOWS\system32\drivers\Si3531.sys

20:33:48.0484 1912 Si3531 - ok

20:33:48.0515 1912 Simbad - ok

20:33:48.0515 1912 Sparrow - ok

20:33:48.0562 1912 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys

20:33:48.0562 1912 splitter - ok

20:33:48.0625 1912 sr (eb032822be406ef220d546ddffcf0002) C:\WINDOWS\system32\DRIVERS\sr.sys

20:33:48.0625 1912 sr - ok

20:33:48.0671 1912 Srv (30efed0c77d59ae0cacb0b5c756767ed) C:\WINDOWS\system32\DRIVERS\srv.sys

20:33:48.0687 1912 Srv - ok

20:33:48.0750 1912 ssmdrv (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys

20:33:48.0750 1912 ssmdrv - ok

20:33:48.0765 1912 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys

20:33:48.0765 1912 swenum - ok

20:33:48.0812 1912 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys

20:33:48.0812 1912 swmidi - ok

20:33:48.0859 1912 symc810 - ok

20:33:48.0859 1912 symc8xx - ok

20:33:48.0875 1912 sym_hi - ok

20:33:48.0890 1912 sym_u3 - ok

20:33:48.0921 1912 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys

20:33:48.0921 1912 sysaudio - ok

20:33:49.0000 1912 Tcpip (ad978a1b783b5719720cff204b666c8e) C:\WINDOWS\system32\DRIVERS\tcpip.sys

20:33:49.0015 1912 Tcpip - ok

20:33:49.0031 1912 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys

20:33:49.0031 1912 TDPIPE - ok

20:33:49.0062 1912 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys

20:33:49.0062 1912 TDTCP - ok

20:33:49.0109 1912 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys

20:33:49.0109 1912 TermDD - ok

20:33:49.0140 1912 TosIde - ok

20:33:49.0187 1912 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys

20:33:49.0187 1912 Udfs - ok

20:33:49.0218 1912 ultra - ok

20:33:49.0265 1912 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys

20:33:49.0281 1912 Update - ok

20:33:49.0343 1912 upperdev (7062ed67a10f1c83b2ab951736e24f11) C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys

20:33:49.0343 1912 upperdev - ok

20:33:49.0375 1912 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys

20:33:49.0375 1912 usbccgp - ok

20:33:49.0421 1912 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys

20:33:49.0421 1912 usbehci - ok

20:33:49.0453 1912 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys

20:33:49.0453 1912 usbhub - ok

20:33:49.0500 1912 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys

20:33:49.0500 1912 usbprint - ok

20:33:49.0562 1912 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys

20:33:49.0562 1912 usbscan - ok

20:33:49.0625 1912 usbser (1c888b000c2f9492f4b15b5b6b84873e) C:\WINDOWS\system32\drivers\usbser.sys

20:33:49.0625 1912 usbser - ok

20:33:49.0640 1912 UsbserFilt - ok

20:33:49.0687 1912 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

20:33:49.0687 1912 USBSTOR - ok

20:33:49.0718 1912 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys

20:33:49.0718 1912 usbuhci - ok

20:33:49.0765 1912 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys

20:33:49.0765 1912 VgaSave - ok

20:33:49.0781 1912 ViaIde - ok

20:33:49.0796 1912 VolSnap (56b191ac5fc0df219949c95a6c87afe7) C:\WINDOWS\system32\drivers\VolSnap.sys

20:33:49.0812 1912 VolSnap - ok

20:33:49.0859 1912 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys

20:33:49.0859 1912 Wanarp - ok

20:33:49.0906 1912 Wdf01000 (d918617b46457b9ac28027722e30f647) C:\WINDOWS\system32\Drivers\wdf01000.sys

20:33:49.0906 1912 Wdf01000 - ok

20:33:49.0953 1912 WDICA - ok

20:33:50.0000 1912 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys

20:33:50.0000 1912 wdmaud - ok

20:33:50.0171 1912 winachsf (115946a53b62a6b171fd0ed197c71d52) C:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys

20:33:50.0171 1912 winachsf - ok

20:33:50.0390 1912 WpdUsb (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys

20:33:50.0390 1912 WpdUsb - ok

20:33:50.0437 1912 WSIMD (2691329aa67863c2e80e63f1d9802947) C:\WINDOWS\system32\DRIVERS\wsimd.sys

20:33:50.0437 1912 WSIMD - ok

20:33:50.0468 1912 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys

20:33:50.0484 1912 WudfPf - ok

20:33:50.0515 1912 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys

20:33:50.0515 1912 WudfRd - ok

20:33:50.0562 1912 MBR (0x1B8) (32052574bf9f325ae309abc7bfd04460) \Device\Harddisk0\DR0

20:33:50.0875 1912 \Device\Harddisk0\DR0 - ok

20:33:51.0203 1912 MBR (0x1B8) (78e709e56063ed8a931d3458d21f2983) \Device\Harddisk1\DR3

20:33:51.0203 1912 \Device\Harddisk1\DR3 - ok

20:33:51.0218 1912 Boot (0x1200) (4e0627c901e6ca9bab52abd5ea4aabe0) \Device\Harddisk0\DR0\Partition0

20:33:51.0218 1912 \Device\Harddisk0\DR0\Partition0 - ok

20:33:51.0234 1912 Boot (0x1200) (d298c0267cb3e5666b893f2c3bace973) \Device\Harddisk0\DR0\Partition1

20:33:51.0234 1912 \Device\Harddisk0\DR0\Partition1 - ok

20:33:51.0234 1912 ============================================================

20:33:51.0234 1912 Scan finished

20:33:51.0234 1912 ============================================================

20:33:51.0234 1896 Detected object count: 2

20:33:51.0234 1896 Actual detected object count: 2

20:34:02.0125 1896 a53f8923 ( Rootkit.Win32.PMax.gen ) - skipped by user

20:34:02.0125 1896 a53f8923 ( Rootkit.Win32.PMax.gen ) - User select action: Skip

20:34:02.0125 1896 redbook ( Rootkit.Win32.ZAccess.e ) - skipped by user

20:34:02.0125 1896 redbook ( Rootkit.Win32.ZAccess.e ) - User select action: Skip

#4

Bardzo proszę abyś kolejne logi wklejał na www.wklej.org to ułatwi mi analizę

Uruchom ponownie Kasperskiego Jak znajdzie

Wybierasz opcje Delete

Jak znajdzie

Wybierasz opcje Cure

Następnie pobierz Combofixa instrukcja http://www.fixitpc.pl/topic/7-dezynfekc … -combofix/ Uruchom narzędzie dwuklikiem Jak wszystko pójdzie dobrze i narzędzie skończy pracę pokaż powstały raport na forum

#5

Z Kasperskim postąpiłem, tak jak napisałeś. Uruchomiłem ComboFixa według wskazówek, ale ponad 40 min trwa już przygotowywanie wyniku skanowania. Czy tak długo powinno to trwać? Puki co, nic nie zatrzymywałem. Program nadal pracuje.

#6

Czyli usuwanie nastąpiło? Zrestartuj komputer Wejdź do katalogu C:\Qoboox i sprawdź czy nie ma tam loga Jeśli nie ma

Nie powinno tak długo trwać Pobierz ponownie Combofixa Na zainfekowanym komputerze wejdź w tryb awaryjny windows i uruchom program dwuklikiem. Jak się uda i zakończy skan pokaż raport na forum

#7

Zarówno w trybie normalnym jak i awaryjnym ComboFix uruchamia się aż do momentu, gdy pokazuje się okno z przygotowywaniem wyniku skanowania- tu w obu trybach trwa to bardzo długo i się nie zatrzymuje. Po restarcie brak raportu w folderze Qoobox. Dodam tylko, że nie mam zainstalowanej konsoli odzyskiwania.

#8

W folderze Qoboox jeśłi nie ma pliku ComboFix.txt to sprawdź czy jest plik ComboFix-quarantined-files.txt Jeśli jest pokaż go na forum

Dodatkowo pobierz OTL wykonaj skan i pokaż raport na forum Instrukcja otl-gmer-rsit-dss-inne-instrukcje-t370405.html

#9

Nie ma żadnego pliku tekstowego.

http://www.wklej.org/id/637322/

http://www.wklej.org/id/637328/

#10

W instrukcji do Combofixa wyraźnie pisze, że należy usunąć oprogramowanie od napędów virtualnych

Sekcja Obowiązkowe przygotowanie przed uruchomieniem Emulatory napędów (Alcohol / DAEMON Tools etc.) Proszę to zrobić przed ponownym uruchomieniem Combofixa ale na teraz:

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Skanuj. Raport ze skanu pokaż na forum

#11

raport ze skryptu http://wklej.org/id/637569/

raport po skanowaniu http://wklej.org/id/637570/

#12

Myślałem, że Combofix usunął jakąś część rootkita, myliłem się. OTL nawet nie tknął rootkita

Przygotuj system do użycia Combofixa jak w instrukcji (usuń DaemonTools itp)

Pobierz Combofixa ponownie - to warunek konieczny bo ta instalka którą masz pewno została już uszkodzona przez rootkita i spróbuj uruchomić Jak się uda pokaż raport na forum

#13

Sytuacja powtarza się. Odinstalowalem wcześniej deamona, także nie wiem co jeszcze może blokować. Czy wklejenie usuniętegń pliku afd.sys przywróci dostęp do internetu?

#14

Oczywiście że nie, ponieważ plik masz na swoim miejscu Co potwierdza wcześniej wykonany raport OTL

Proszę spróbuj uruchomić Gmera otl-gmer-rsit-dss-inne-instrukcje-t370405.html#p2400589 jak się uda pokaż raport na forum. Jak się nie uda pisz

#15

Raport z Gmera http://wklej.org/id/638020/

#16

Będziemy usuwać z zewnątrz. Na tym komputerze z którego piszesz Przygotuj sobie płytkę OTLPe instrukcja http://www.fixitpc.pl/topic/4414-diagno … h-windows/ zaraz podam skrypt

W okno Własne opcje skanowania / skrypt w OTLPE wklej:

Klikasz na Wykonaj skrypt/RunFix. Raport z usuwania podaj na forum

#17

Wszystko zrobiłem tak jak opisałeś.

raport z usuwania http://wklej.org/id/638315/

raport ze skanowania, po usuwaniu http://wklej.org/id/638331/

#18

Walka trwa nadal zastał jeszcze folder infekcji. Uruchom OTL (nie OTLPE) klikasz Sprzątanie

Pobierz ponownie OTL otl-gmer-rsit-dss-inne-instrukcje-t370405.html oraz proszę pobrać GrantPerms http://download.bleepingcomputer.com/fa … tPerms.zip wypakuj uruchom, wklej do niego

Klikasz Unlock Jak narzędzie skończy pracę załaduj ten skrypt do OTL

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Raport z usuwania podaj na forum

Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

sprawdź czy jest tam AFD Jeśli tak to klikasz na AFD i pokaż co tam jest Jak na obrazku poniżej

resestr.jpg

Możesz też wyeksportować to do pliku

Start - Uruchom - wpisujesz regedit i Enter Idziesz do klucza

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services klikasz prawym przyciskiem myszy na AFD z menu wybierasz Exportuj Zapisujesz plik.reg Proszę wysłać go na jakiś hosting a w poście podać linka do niego

#19

Raport z usuwania OTL : http://wklej.org/id/638588/

Zawartość folderu AFD :

37012085528825814919.jpg

Wyeksportowany plik rejestru http://speedy.sh/jt28H/rejestr.reg

#20

Dobrze poszło Teraz wykonaj końcowe kroki w takiej kolejności jak podaje

Uruchom OTL klikasz Sprzątanie

Wklej do notatnika

Z menu Notatnika wybierasz - Plik - Zapisz jako - Zmieniasz rozszerzenie z .txt na wszystkie pliki - zapisz pod nazwą Fix.reg

Uruchom ten plik, potwierdź dodanie do rejestru, uruchom ponownie komputer. Sprawdź i napisz czy działa Sieć

Bez względu czy działa sieć, czy nie Proszę pobrać Kasperski Virus Removal Tool http://www.dobreprogramy.pl/Kaspersky-V … 12768.html Wykonaj pełny skan. Jak program coś wykryje proszę nic nie usuwać tylko pokaż raport z tego co zostało wykryte Jak nic nie wykryje możesz go odinstalować http://support.kaspersky.com/pl/faq/?qid=208284189