Vista i błąd ndis.sys

piotrj7 · 16 Lipiec 2008 07:41

Po jakimś czasie pracowania na PC Vista wywala bluescreena właśnie z tym błędem. Podejrzewam, że może być to jakiś rootkit.

Log HJ:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:37:57, on 2008-07-17

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal


Running processes:

V:\Windows\system32\Dwm.exe

V:\Windows\system32\taskeng.exe

V:\Windows\Explorer.EXE

V:\Program Files\Windows Defender\MSASCui.exe

V:\Program Files\ESET\ESET Smart Security\egui.exe

V:\Windows\System32\rundll32.exe

V:\Windows\System32\rundll32.exe

V:\Program Files\Windows Sidebar\sidebar.exe

V:\Windows\ehome\ehtray.exe

V:\Program Files\Windows Media Player\wmpnscfg.exe

V:\Windows\System32\rundll32.exe

V:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe

V:\Windows\ehome\ehmsas.exe

V:\Program Files\Mozilla Firefox\firefox.exe

D:\Vista Ściągnięte\launch.exe

V:\Users\Admin\AppData\Local\Temp\RarSFX0\_start.exe

V:\Users\Admin\AppData\Local\Temp\RarSFX0\setup.exe

V:\Windows\system32\SearchFilterHost.exe

V:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O1 - Hosts: ::1 localhost

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [egui] "V:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [P17RunE] RunDll32 P17RunE.dll,RunDLLEntry

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE V:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE V:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE V:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NBKeyScan] "V:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

O4 - HKCU\..\Run: [Sidebar] V:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ehTray.exe] V:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] V:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "V:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'USŁUGA SIECIOWA')

O13 - Gopher Prefix: 

O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - V:\Windows\System32\DreamScene.dll

O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - V:\Program Files\Common Files\Creative Labs Shared\Service\AL6Licensing.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - V:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - V:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - V:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - V:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - V:\Windows\system32\IoctlSvc.exe


--

End of file - 4148 bytes

Bardzo proszę o pomoc.

adam749 · 16 Lipiec 2008 09:10

Może to pomoże.

huber2t · 16 Lipiec 2008 09:20

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

V:\Users\Admin\AppData\Local\Temp\RarSFX0\_start.exe

V:\Users\Admin\AppData\Local\Temp\RarSFX0\setup.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

piotrj7 · 16 Lipiec 2008 09:37

Combofix: http://wklejto.pl/txt5892

huber2t · 16 Lipiec 2008 09:39

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

piotrj7 · 16 Lipiec 2008 10:23

Wyskakuje błąd, że określony plik nie jest skryptem rejestru. Można zaimportować tylko binarne pliki rejestru z wewnątrz edytora rejestru. CO mam zrobić?

huber2t · 16 Lipiec 2008 10:25

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8a316e0a-502c-11dd-9239-806e6f6e6963}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c9f8b342-529e-11dd-9b85-001c25a8b662}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

piotrj7 · 16 Lipiec 2008 11:47

Oto log z CF: http://wklejto.pl/txt5904

huber2t · 16 Lipiec 2008 11:51

Powinno być ok

piotrj7 · 16 Lipiec 2008 11:55

Wielki dzięki Jak problem wróci, to odświeżę temat