Rootkit nvmini.sys (blue screen / restarty kompa) + logi

viking47 (Figocod) 2009-07-13 14:24:58 UTC #1

Witam wszystkich! Mam problem z restartujacym sie kompem (blue screen kiedy to zaladauje mi sie mapa w call of duty 1 (0x00000050 + nvmini.sys)) i komp sie restartuje.

Ostatnio chodzil bardzo dobrze lecz ostatnio po instalacji kilku programow z plyt da sie odczuc wyrazne spowolnienie systemu, do tego dziwne wydarzenia (jak np nie moge sie polaczyc z serverem warcraft 3 bo pisze ze mam inna wersje gry, a mam taka jaka trzeba do tego gralem na niej z pol roku :shock: )

PS ostatnio (tydzien temu) dolozylem +1gb ram, ale odrazu pisze: ram sprawdzona, memtest tez nic nie wykryl, tydzien chodzil komp bez problemow.

PS 2 Antyvir wykryl mi Backdoor.Delf + http://pl.tinypic.com/view.php?pic=ma9rp2&s=3

PS 3 Zauwazylem strosznie niestabilna prace procesora, jego zuzycie czesto i gwaltowanie "skacze"

PS 4 Moj komp: Athlon 3.2, 1.5gb, nvidia gf6200

Log:

http://wklej.org/hash/4c0e954509/

http://wklej.org/id/120386/ (dodaje Combofixa)

Pozdrawaim

system (system) 2009-07-13 14:46:22 UTC #2

W HiJack This czysto.

Przeskanuj komputer: Kaspersky Online

Następnie wykonaj pełne skanowanie tym programem: MBAM

Przeskanuj tym komputer: CCleaner (Oczyść także rejestr oraz wejdź w zakładkę 'Narzędzia' >> 'Przywracanie systemu' i usuń wszystko oprócz pierwszego.)

Następnie przeskanuj tym komputer i usuń wszystko: Odkurzacz

Potem oczyść tym wszystko: ATF-Cleaner

viking47 (Figocod) 2009-07-13 15:25:35 UTC #3

bez zmian

deFco247 (deFco247) 2009-07-13 17:00:19 UTC #4

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Potem dajesz log z usuwania Combofix.

viking47 (Figocod) 2009-07-13 19:16:16 UTC #5

http://wklej.to/GOZk prosze

system (system) 2009-07-13 20:00:54 UTC #6

Przeskanuj ten plik: c:\windows\copyfstq.exe na http://www.virustotal.com/pl/

Pokaż log z HiJack This.

Przeskanuj tym komputer: CCleaner (Oczyść także rejestr oraz wejdź w zakładkę 'Narzędzia' >> 'Przywracanie systemu' i usuń wszystko oprócz pierwszego.)

viking47 (Figocod) 2009-07-13 20:06:31 UTC #7

http://www.virustotal.com/pl/analisis/5 ... 1242541212

w CCcleaner w Przywracanie systemu nie mam nic na liscie.

system (system) 2009-07-13 20:08:08 UTC #8

Pokaż jeszcze loga z HJT.

deFco247 (deFco247) 2009-07-13 20:11:19 UTC #9

matevos , HJT nic na to nie poradzi.

Uparte świństwo nie chce zejść.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

Potem dajesz log z usuwania Combofix.

viking47 (Figocod) 2009-07-13 20:20:06 UTC #10

http://wklej.to/UE1e

-- Dodane 13.07.2009 (Pn) 22:21 --

http://wklej.to/nYhq prosze bardzo

system (system) 2009-07-13 20:26:07 UTC #11

Czysto.

Na koniec przeskanuj tym komputer dla pewności.

Kaspersky Online

viking47 (Figocod) 2009-07-13 20:28:58 UTC #12

koniec czego? dalej mam nvmini...

system (system) 2009-07-14 07:16:26 UTC #13

Mówiłem Ci przeskanuj Kasperskim.

Tu masz dużo wiadomości o tym pliku oraz jak go się pozbyć.

http://www.greatis.com/appdata/d/n/nvmini.sys.htm

Leon1 (Leon$) 2009-07-15 19:54:02 UTC #14

nadal siedzi ten syf

Start >> uruchom >> cmd >> teraz wpisz w oknie komendy po każdej Enter

ATTRIB -S -H -R -A c:\windows\linkinfo.dll

ATTRIB -S -H -R -A c:\windows\system32\linkinfo.dll

ATTRIB -S -H -R -A C:\WINDOWS\system32\drivers\nvmini.sys

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

viking47 (Figocod) 2009-07-15 21:52:09 UTC #15

po wpisaniu kazdej z komend "Nie można odnaleźć pliku - " (w wyszukaj zlokalizowalem je w http://pl.tinypic.com/view.php?pic=s0vdzo&s=3)

proszony log: http://wklej.to/2kZ9

mam wlaczyc teraz przywracanie systemu?

-- Dodane 16.07.2009 (Cz) 0:04 --

niestety dalej to samo

Leon1 (Leon$) 2009-07-16 19:34:49 UTC #16

czy te komendy wkleiłeś do wiersza poleceń (cmd)?

zrób to jeszcze raz w trybie awaryjnym

start >> uruchom >> cmd

ATTRIB -S -H -R -A c:\windows\linkinfo.dll >> Enter

ATTRIB -S -H -R -A c:\windows\system32\linkinfo.dll >> Enter

ATTRIB -S -H -R -A C:\WINDOWS\system32\drivers\nvmini.sys >> Enter

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Combofix również w trybie awaryjnym

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem