Odolná havěť v systému s mnoha projevy - prosím o kontrolu

[W.Mia]

A ted to s pc vypadá jak?

Nu, ten Průvodce novým hardwarem kvůli hostitelskému řadiči SCSI nebo RAID se spouští pořád při startu. To se před zamořením nedělo a pokud vím, žádnou takovou věc v bedně nemáme.

Plus jsme si mezitím nainstalovali Comodo AV a našel toto
.
Což jsme šoupli do karantény.

Jinak nic nepozoruju.

[motji]

Na ten řadič sem pošlu kolegu.

Stahněte z mého podpisu AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky

[MiliNess]

Dobrý den, potřeboval bych znát typ vaší základní desky a udělejte mi screen Správce zařízení, kde bude ten řadič vidět.

[W.Mia]

O základní desce kopíruju údaje ze Sandry:

Mainboard
Manufacturer : Acer
Multi-Processor (MP) Support : No
Multi-Processing (MPS) Version : 1.40
Model : EM61SM/EM61PM
BIOS : 09/14/2006-MCP61M-AM-6A61KE11C-00
Chipset : nVidia nForce 6100/6150 MCP


Screenshot ze Správce zařízení:



Teďka jsem se dostala k počítači, AVPTOOL pustím pak přes noc a ráno (pokud bude hotovo ) vložím log.

Děkuju moc za dosavadní pomoc.

[MiliNess]

Perfekt, jen vás poprosím o ID Hardwaru. ID Instance zařízení nám nepomůže.
Pravděpodobně to zařízení bude vytvářet ovladač, který je součástí softwaru pro tvorbu virtuálních CD/DVD mechanik.
Jak se jmenuje ta Počítačová sestava?
Tímto zatím odinstalujte ochranu proti kopírování StarForce

[W.Mia]

Perfekt, jen vás poprosím o ID Hardwaru. ID Instance zařízení nám nepomůže.

ID hardwaru ju:

ACPI\PNPA000
*PNPA000

Pravděpodobně to zařízení bude vytvářet ovladač, který je součástí softwaru pro tvorbu virtuálních CD/DVD mechanik.

To jsem též našla na netu, ale v poslední době jsme žádnou virtuální mechaniku neměli. Ale kdysi na tom počítači nejspíš nějaká byla

Jak se jmenuje ta Počítačová sestava?

Acer Aspire T180

Tímto zatím odinstalujte ochranu proti kopírování StarForce

Provedeno. Chtělo to restart. Po restartu žádná viditelná změna.

[W.Mia]

Na ten řadič sem pošlu kolegu.

Stahněte z mého podpisu AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky

AVPTool nic nenašel, sken proběhl patrně v pořádku, ale "no threads detected".

[motji]

Fajn, počkáme na kolegu

[motji]

Otestujte prosím ještě na www.virustotal.com
C:\Windows\regedit.exe
C:\Windows\explorer.exe

Pokud se Vás bude ptát, dejte reanalyze, link k výsledkům vložte zde.

[W.Mia]

Otestujte prosím ještě na http://www.virustotal.com
C:\Windows\regedit.exe
C:\Windows\explorer.exe

Pokud se Vás bude ptát, dejte reanalyze, link k výsledkům vložte zde.

Provedeno, vypadá to v pohodě

explorer.exe
Result: 0 /43 (0.0%)

http://www.virustotal.com/file-scan/rep ... 1322680107

regedit.exe
Result: 0/ 43 (0.0%)

http://www.virustotal.com/file-scan/rep ... 1322682132

[MiliNess]

Tak to zařízení mají zřejmě na svědomí ovladače vax347s.sys a vax347b.sys. Měl být pozůstatek po Alcohol 120%.
Ve správci zařízení zkuste odinstalovat obě zařízení VAX347S SVSI Controller i SCSI/RAID Host Controller a restartovat PC.
Kdyby byl náhodou nějaký problém při startu, tak mačkejte F8 a v zobrazené nabídce zvolte Poslední známá funkční konfigurace.
Pokud se ani tak nepodaří ta zařízení zlikvidovat, udělám to pak ručně úpravou registru.

[motji]

Spustte combofix znovu s tímto skriptem

Kód: Vybrat vše

Restore::
C:\Windows\regedit.exe
C:\Windows\explorer.exe

[W.Mia]

Tak to zařízení mají zřejmě na svědomí ovladače vax347s.sys a vax347b.sys. Měl být pozůstatek po Alcohol 120%.
Ve správci zařízení zkuste odinstalovat obě zařízení VAX347S SVSI Controller i SCSI/RAID Host Controller a restartovat PC.
Kdyby byl náhodou nějaký problém při startu, tak mačkejte F8 a v zobrazené nabídce zvolte Poslední známá funkční konfigurace.
Pokud se ani tak nepodaří ta zařízení zlikvidovat, udělám to pak ručně úpravou registru.

Toto zafungovalo. Při startu už se průvodce nespouští. Děkuji moc

[W.Mia]

Spustte combofix znovu s tímto skriptem

Kód: Vybrat vše

Restore::
C:\Windows\regedit.exe
C:\Windows\explorer.exe

Spustila jsem. Proběhlo. Následně se PC restartoval a při startu vyskočila hláška, že se počítač obnovil po závažné chybě.
Bohužel sem nemůžu dát log, protože ze složky ComboFix na C:\ se stalo něco divného - viz obrázky níže.
Složka má divnou ikonu a popis (viz obr. 1) a po poklepání vede jakoby do Tento počítač (obr. 2), ale v záhlaví okna je Vombofix

Obr. 1


Obr.2

[motji]

Stahněte OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor OTL.exe.
-do bílého okna dole skopírujte tento skript:

Kód: Vybrat vše

netsvcs
drivers32
savembr:0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s

/md5start
cngaudit.dll
cryptsvc.dll
eNetHook.dll
eventlog.dll
hal.dll
logevent.dll
netlogon.dll
ntelogon.dll
scecli.dll
sceclt.dll
ws2_32.dll
autochk.exe
csrss.exe
explorer.exe
lsass.exe
services.exe
smss.exe
spoolsv.exe
svchost.exe
userinit.exe
winlogon.exe
adp3132.sys
AGP440.sys
ahcix86.sys
ahcix86s.sys
atapi.sys
cdrom.sys
Changer.sys
fastfat.sys
iaStor.sys
iastorv.sys
IdeChnDr.sys
isapnp.sys
JakNDis.sys
KR10N.sys
mv61xx.sys
ndis.sys
ntfs.sys
nvata.sys
nvatabus.sys
nvgts.sys
nvraid.sys
nvrd32.sys
nvstor.sys
nvstor32.sys
symmpi.sys
tcpip.sys
vaxscsi.sys
viamraid.sys
viasraid.sys
ViPrt.sys
/md5stop

C:\windows\system32\spool\prtprocs|dll;true;true;true /FP
%systemroot%\system32\drivers\*.sys /5
%systemroot%\system32\drivers\*.sys /X
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\*.* /5
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\config\*.sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\*.* /U /s
%systemroot%\*. /mp /s
%ALLUSERSPROFILE%\Data Aplikací\*.*
%ALLUSERSPROFILE%\Data Aplikací\*.exe /s
%ALLUSERSPROFILE%\Dáta aplikácií\*.*
%ALLUSERSPROFILE%\Dáta aplikácií\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS /s
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager" /v BootExecute /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v "PendingFileRenameOperations" /c

type c:\boot.ini >> test.txt /c
%SystemDrive%\PhysicalMBR.bin /md5 

- zaškrtněte okénko Pro všechny uživatele.
-označte okénka Kontrola na havěť "LOP" a Kontrola na havěť "Purity"
- Klikněte na tlačítko Prohledat
-po dokončení skenu se objeví logy OTL.Txt a Extras.txt, vložte je zde