Nežádoucí automatická reklama

[pekulant]

Dobrý deň, mám taký problém, že dávnejšie sa mi do otcovho NTB nasáčkoval vírus "Slovenská polícia" (môj názov), ktorý blokoval počítač, predstieral že polícia zablokovala počítač kôli spáchaniu trestných činností z daného PC a pýtala si zaplatiť 100€. Toto som odstránil, nebol to príliš problém, núdzový režim, zmazanie, registre.....

No mal som na tom PC avast, alebo som ho tam hneď potom nainštaloval, to sa nepamätám, a ten mi vyhadzoval varovné okná, že sa pokúšam stiahnuť nejaký vírus zakaždým čo poprýkrát načítam nejakú stránku. Myslel som, že to bude len na exploreri, že je to len nejaký trivialny vírusík, no po chvíli testovania som zistil, že to robí všeobecne na všetkých prehliadačoch. Už ma nebavilo počúvať to avastovské varovanie a myslel som, ze je to nejaká blbosť a odinštaloval som avast. Potom som ale zistil, prečo ma avast varoval, do dolného pravého rohu mi na každej prvootvorenej stránke pridávalo také okienko s reklamou od googlu. Doma nemám WIFI-router, tak mám wifi a ethernet adaptér pridaný do sieťového mostu, a v prípade potreby zapnem adhoc wifi sieť a pripájam sa na túto wifinu. Sranda bola, keď som zistil, že táto reklama je tiež súčasťou stránok prehliadaných na zariadeniach pripojených cez túto wifi sieť, a dokonca aj na HTC smartfone. Ak Sú zariadenia neskúr pripojené na internet prostredníctvom inej wifi alebo káblu, reklamy niesu.

Systém som testoval Avastom, Esetom, Ad-Aware, CCleaner.... Ad-Aware niečo našiel, a vyzeralo to, že to prešlo, no po reštarte systému to začalo robiť už pri každom načítaní nejakej stránky.

Viem že riešenie by bolo zablokovať reklamy nejakým software-om alebo rovno preinštalovať systém, ale to nieje riešenie, chcem zistiť, prečo to robí, a ako je vôbec niečo takéto možné. Som homemade vzduchom chladený servisák PC so štúdiom zameraným na PC, a zatial som vždy všetko vedel úspešne vyriešiť a zistiť, prečo sa niečo deje, no toto ma dosť udivuje.

Tento problém som riešil už na inom fóre, od kiaľ ma odporučili sem, a pripájam aj link daného threadu:

http://svetelektro.com/modules.php?name ... ead#unread

Od tialto sa môžete dozvedieť viacej, sú tam aj sceeny. Prosím vás o nejakú radu, ako odstránim tieto reklamy z počítača. Ak bude treba niečo vykonať, poprípade nejaké info, tak poskynem.

[JaRon]

ahoj,
vloz nasledovne logy:
RSIT+MBAM+ADWCleaner

[pekulant]

Dík, že sa niekto ozval

Tak, RSIT mi nejde, vyhlási:

AutoIt Error

Line -1:

Error: Variable used without being declared.

Pri tom, na inom PC mi to bežalo, možno to blokuje avast alebo Ad-Aware, ale povypínal som štíty v avaste a Ad-Aware som ukončil.

[JaRon]

1. subor najdeny MbAM - ZMAZ
2. zopakuj akciu s ADWCleanerom - volba delete

[pekulant]

Tak spustil som PC v safe mode w networking a aj tam sa tie odporné reklamy ukazujú.

MBAM je všetko v karanténe, a viď príloha ADWc

[JaRon]

tak prve kolo mas za sebou - pokracujeme:
stiahni a uloz na plochu ComboFix

potom spust pod uctom s administratorskym opravnenim


akcia trva cca. 5-10 minut, niekedy i dlhsie -, Pocas scanu nespustaj ziadne ine aplikacie

Nie je dovod na paniku ak stroj bude restartovany
upozornenie: ak pouzivas antispyware s rezidentnim stitem, ten pred scanom vypni.

po restarte aplikacie vytvori log, ulozeny na C:\Combofix.txt (jeho obsah vloz sem)

nevkladaj ho ako zip

[pekulant]

Tu je log:

ComboFix 13-02-24.01 - Thinkpad . 02. 2013 12:46:46.1.2 - x86
Microsoft Windows 7 Professional 6.1.7601.1.1250.421.1029.18.1913.978 [GMT 1:00]
Running from: c:\users\Thinkpad\Desktop\ComboFix.exe
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\programdata\Roaming
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system32\AdbWinApi.dll
c:\windows\system32\AdbWinUsbApi.dll
c:\windows\system32\Config.ini
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\drivers\etc\hosts.txt
c:\windows\UA000079.DLL
G:\setup.exe
.
.
((((((((((((((((((((((((( Files Created from 2013-01-26 to 2013-02-26 )))))))))))))))))))))))))))))))
.
.
2013-02-26 12:05 . 2013-02-26 12:05 -------- d-----w- c:\users\Thinkpad\AppData\Local\temp
2013-02-26 12:05 . 2013-02-26 12:05 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-02-26 09:49 . 2013-02-26 09:49 -------- d-----w- c:\users\Thinkpad\AppData\Roaming\Malwarebytes
2013-02-26 09:49 . 2013-02-26 09:49 -------- d-----w- c:\programdata\Malwarebytes
2013-02-26 09:49 . 2013-02-26 09:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2013-02-26 09:49 . 2012-12-14 15:49 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
2013-02-26 09:49 . 2013-02-26 09:49 -------- d-----w- c:\users\Thinkpad\AppData\Local\Programs
2013-02-26 09:41 . 2013-02-26 11:04 -------- d-----w- c:\program files\trend micro
2013-02-26 09:41 . 2013-02-26 09:41 -------- d-----w- C:\rsit
2013-02-19 22:58 . 2013-02-19 22:58 -------- d-----w- c:\users\Thinkpad\AppData\Roaming\HD Tune Pro
2013-02-19 17:39 . 2012-10-30 22:51 361032 ----a-w- c:\windows\system32\drivers\aswSP.sys
2013-02-19 17:39 . 2012-10-30 22:51 21256 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2013-02-19 17:39 . 2012-10-15 16:59 44784 ----a-w- c:\windows\system32\drivers\aswRdr2.sys
2013-02-19 17:39 . 2012-10-30 22:51 54232 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2013-02-19 17:39 . 2012-10-30 22:51 738504 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2013-02-19 17:39 . 2012-10-30 22:51 58680 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys
2013-02-19 17:39 . 2012-10-30 22:51 41224 ----a-w- c:\windows\avastSS.scr
2013-02-19 17:39 . 2012-10-30 22:50 227648 ----a-w- c:\windows\system32\aswBoot.exe
2013-02-19 17:15 . 2013-02-19 17:15 -------- d--h--w- c:\windows\PIF
2013-02-19 15:50 . 2012-12-17 05:43 33616 ----a-w- c:\windows\system32\drivers\gfiark.sys
2013-02-19 15:02 . 2013-02-19 15:02 -------- d-----w- c:\programdata\Ad-Aware Antivirus
2013-02-19 14:58 . 2013-02-19 14:58 -------- d-----w- c:\users\Thinkpad\AppData\Local\adawarebp
2013-02-19 14:58 . 2013-02-19 14:58 -------- d-----w- c:\programdata\Ad-Aware Browsing Protection
2013-02-19 14:58 . 2013-02-19 14:58 -------- d-----w- c:\program files\Toolbar Cleaner
2013-02-19 14:57 . 2013-02-19 15:50 -------- d-----w- c:\program files\Ad-Aware Antivirus
2013-02-19 14:57 . 2013-02-19 14:57 -------- d-----w- c:\windows\system32\drivers\VDD
2013-02-19 14:57 . 2013-02-19 14:57 -------- d-----w- c:\programdata\Lavasoft
2013-02-19 14:57 . 2013-02-19 14:57 -------- d-----w- c:\programdata\Downloaded Installations
2013-02-19 14:53 . 2013-02-19 14:53 13560 ----a-w- c:\windows\system32\drivers\gfibto.sys
2013-02-19 14:53 . 2013-02-26 11:34 -------- d-----w- c:\users\Thinkpad\AppData\Roaming\Ad-Aware Antivirus
2013-02-19 14:26 . 2013-02-19 14:26 -------- d-----w- c:\program files\CCleaner
2013-02-17 19:47 . 2013-02-18 20:56 -------- d-----w- c:\program files\Seznam.cz
2013-02-17 19:43 . 2013-02-18 20:59 -------- d-----w- c:\users\Thinkpad\AppData\Roaming\Seznam.cz
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-10 08:25 . 2013-01-10 08:25 46056 ----a-w- c:\windows\system32\drivers\EpfwLWF.sys
2012-12-12 12:49 . 2012-04-26 20:15 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-12-12 12:49 . 2011-07-30 10:42 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-30 22:50 121528 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-08 174104]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-08 151064]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-02-25 8522272]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2009-08-17 12:27 100104 ----a-w- c:\program files\ThinkVantage Fingerprint Software\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli c:\program files\ThinkVantage Fingerprint Software\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ad-Aware Service]
@="Ad-Aware Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBAMSvc]
@="Service"
.
R2 5689;5689;d:\temp\5689.sys [x]
R2 LENOVO.MICMUTE;Lenovo Microphone Mute;c:\program files\LENOVO\HOTKEY\MICMUTE.exe [x]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 androidusb;ADB Interface Driver;c:\windows\system32\Drivers\androidusb.sys [x]
R3 gfiark;gfiark;c:\windows\system32\drivers\gfiark.sys [x]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
S0 gfibto;gfibto;c:\windows\system32\drivers\gfibto.sys [x]
S1 aswKbd;aswKbd; [x]
S1 aswSnx;aswSnx; [x]
S1 aswSP;aswSP; [x]
S1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\DRIVERS\smiif32.sys [x]
S2 Ad-Aware Service;Ad-Aware Service;c:\program files\Ad-Aware Antivirus\AdAwareService.exe [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [x]
S2 Lenovo.VIRTSCRLSVC;Lenovo Auto Scroll;c:\program files\LENOVO\VIRTSCRL\lvvsst.exe [x]
S2 SBAMSvc;Ad-Aware;c:\program files\Ad-Aware Antivirus\SBAMSvc.exe [x]
S2 sbapifs;sbapifs;c:\windows\system32\DRIVERS\sbapifs.sys [x]
S2 smihlp;SMI Helper Driver (smihlp);c:\program files\ThinkVantage Fingerprint Software\smihlp.sys [x]
S2 TPHKLOAD;Lenovo Hotkey Client Loader;c:\program files\LENOVO\HOTKEY\TPHKLOAD.exe [x]
S2 TPHKSVC;On Screen Display;c:\program files\LENOVO\HOTKEY\TPHKSVC.exe [x]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [x]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 RTL8167;Ovladač Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 RTL8192Ce;Realtek Wireless LAN 802.11n PCI-E NIC Driver;c:\windows\system32\DRIVERS\rtl8192Ce.sys [x]
.
.
Contents of the 'Scheduled Tasks' folder
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.sk/
mStart Page = hxxp://www.google.com
IE: E&xportovať do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.102.1 192.168.102.253
.
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'lsass.exe'(656)
c:\program files\ThinkVantage Fingerprint Software\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll
c:\program files\ThinkVantage Fingerprint Software\infql2.dll
.
Completion time: 2013-02-26 13:08:24
ComboFix-quarantined-files.txt 2013-02-26 12:08
.
Pre-Run: Volných bajtů: 28 477 562 880
Post-Run: Volných bajtů: 28 489 039 872
.
- - End Of File - - A1CAF3149EC36B1417B988F57F752D4E

[JaRon]

1. odinstaluj AD-aware
2. Presun ComboFix
na plochu (ak tam este nie je)

otvor si Poznamkovy blok - notepad

do neho zkopiruj skript z nasledujiceho okna:

Kód: Vybrat vše

Driver::
5689

uloz vytvoreny textovy soubor ako CFScript.txt na plochu

po ulozeni uchop vytvoreny skript lavym tlacitkom mysi a presun ho nad ikonu Combofixu, nad nim skript upust:



po aplikacii by mal vzniknut dalsi log, ten vloz sem

[pekulant]

No, ten program robil prvý beh asi pol hod, tak som ho nechal, a keď som potom prišiel, vyzeralo to, že to prestalo, odstránil som Ad-Aware aj MBAM, no po reštarte znovu.

V tom logu je hneď na začiatku napísané, že to beží z plochy.

Ten driver je už len v registri, v PC sa už to sys-ko nenachádza.

Čo som si všimol, tak každý riadný driver má vo vlastnostiach svoj podpis, a pri premenovaní ma systém upozorňuje. No sú tam aj také s podivnými číslami, alebo nejaký broadcom GBE ktorý sa dá premenovať bez upozornenia, navyše od broadcomu na tomto PC nieje žiaden HW. Už dávnejšie som tušil že je napadnutý asi ovládač sieťovej karty alebo niečo. No ovela záhadnejší je 61883, aj sys-ko k nemu v je v drivers.

[JaRon]

no ja nadnes koncim
za domacu ulohu vloz log z TDSSKiller - bud na to pozrie nejaky kolega, alebo pockaj do zajtra
astalavista

[pekulant]

ďalší log:

ComboFix 13-02-24.01 - Thinkpad . 02. 2013 15:03:54.2.2 - x86
Microsoft Windows 7 Professional 6.1.7601.1.1250.421.1029.18.1913.1152 [GMT 1:00]
Running from: c:\users\Thinkpad\Desktop\ComboFix.exe
Command switches used :: c:\users\Thinkpad\Desktop\CFScript.txt
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_5689
-------\Service_5689
.
.
((((((((((((((((((((((((( Files Created from 2013-01-26 to 2013-02-26 )))))))))))))))))))))))))))))))
.
.
2013-02-26 14:19 . 2013-02-26 14:19 -------- d-----w- c:\users\Thinkpad\AppData\Local\temp
2013-02-26 14:19 . 2013-02-26 14:19 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-02-26 14:19 . 2013-02-26 14:19 -------- d-----w- c:\users\Administrator\AppData\Local\temp
2013-02-26 13:27 . 2013-02-26 13:27 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{F3E95900-264C-40CE-BDE8-17A3C559D93A}\offreg.dll
2013-02-26 09:49 . 2013-02-26 09:49 -------- d-----w- c:\users\Thinkpad\AppData\Roaming\Malwarebytes
2013-02-26 09:49 . 2013-02-26 09:49 -------- d-----w- c:\programdata\Malwarebytes
2013-02-26 09:49 . 2013-02-26 09:49 -------- d-----w- c:\users\Thinkpad\AppData\Local\Programs
2013-02-26 09:41 . 2013-02-26 11:04 -------- d-----w- c:\program files\trend micro
2013-02-26 09:41 . 2013-02-26 09:41 -------- d-----w- C:\rsit
2013-02-19 22:58 . 2013-02-19 22:58 -------- d-----w- c:\users\Thinkpad\AppData\Roaming\HD Tune Pro
2013-02-19 17:15 . 2013-02-19 17:15 -------- d--h--w- c:\windows\PIF
2013-02-19 15:50 . 2012-12-17 05:43 33616 ----a-w- c:\windows\system32\drivers\gfiark.sys
2013-02-19 14:58 . 2013-02-19 14:58 -------- d-----w- c:\users\Thinkpad\AppData\Local\adawarebp
2013-02-19 14:58 . 2013-02-19 14:58 -------- d-----w- c:\programdata\Ad-Aware Browsing Protection
2013-02-19 14:58 . 2013-02-19 14:58 -------- d-----w- c:\program files\Toolbar Cleaner
2013-02-19 14:57 . 2013-02-19 14:57 -------- d-----w- c:\programdata\Downloaded Installations
2013-02-19 14:53 . 2013-02-19 14:53 13560 ----a-w- c:\windows\system32\drivers\gfibto.sys
2013-02-19 14:26 . 2013-02-19 14:26 -------- d-----w- c:\program files\CCleaner
2013-02-17 19:47 . 2013-02-18 20:56 -------- d-----w- c:\program files\Seznam.cz
2013-02-17 19:43 . 2013-02-18 20:59 -------- d-----w- c:\users\Thinkpad\AppData\Roaming\Seznam.cz
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-01-10 08:25 . 2013-01-10 08:25 46056 ----a-w- c:\windows\system32\drivers\EpfwLWF.sys
2012-12-12 12:49 . 2012-04-26 20:15 697272 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-12-12 12:49 . 2011-07-30 10:42 73656 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-09-08 174104]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-09-08 151064]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-02-25 8522272]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2009-08-17 12:27 100104 ----a-w- c:\program files\ThinkVantage Fingerprint Software\psqlpwd.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli c:\program files\ThinkVantage Fingerprint Software\psqlpwd.dll
.
R2 LENOVO.MICMUTE;Lenovo Microphone Mute;c:\program files\LENOVO\HOTKEY\MICMUTE.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 androidusb;ADB Interface Driver;c:\windows\system32\Drivers\androidusb.sys [x]
R3 gfiark;gfiark;c:\windows\system32\drivers\gfiark.sys [x]
R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
S0 gfibto;gfibto;c:\windows\system32\drivers\gfibto.sys [x]
S1 aswKbd;aswKbd; [x]
S1 lenovo.smi;Lenovo System Interface Driver;c:\windows\system32\DRIVERS\smiif32.sys [x]
S2 Lenovo.VIRTSCRLSVC;Lenovo Auto Scroll;c:\program files\LENOVO\VIRTSCRL\lvvsst.exe [x]
S2 smihlp;SMI Helper Driver (smihlp);c:\program files\ThinkVantage Fingerprint Software\smihlp.sys [x]
S2 TPHKLOAD;Lenovo Hotkey Client Loader;c:\program files\LENOVO\HOTKEY\TPHKLOAD.exe [x]
S2 TPHKSVC;On Screen Display;c:\program files\LENOVO\HOTKEY\TPHKSVC.exe [x]
S3 IntcHdmiAddService;Intel(R) High Definition Audio HDMI;c:\windows\system32\drivers\IntcHdmi.sys [x]
S3 JMCR;JMCR;c:\windows\system32\DRIVERS\jmcr.sys [x]
S3 RTL8167;Ovladač Realtek 8167 NT;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
S3 RTL8192Ce;Realtek Wireless LAN 802.11n PCI-E NIC Driver;c:\windows\system32\DRIVERS\rtl8192Ce.sys [x]
.
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.sk/
mStart Page = hxxp://www.google.com
IE: E&xportovať do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.102.1 192.168.102.253
.
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'lsass.exe'(564)
c:\program files\ThinkVantage Fingerprint Software\psqlpwd.dll
c:\program files\ThinkVantage Fingerprint Software\homefus2.dll
c:\program files\ThinkVantage Fingerprint Software\infql2.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\ibmpmsvc.exe
c:\program files\ThinkVantage Fingerprint Software\upeksvr.exe
c:\windows\system32\taskhost.exe
c:\program files\LENOVO\HOTKEY\tposdsvc.exe
c:\program files\Lenovo\HOTKEY\TPONSCR.exe
c:\program files\Lenovo\Zoom\TpScrex.exe
c:\program files\Common Files\InterVideo\DeviceService\DevSvc.exe
c:\windows\system32\conhost.exe
c:\progra~1\LENOVO\VIRTSCRL\virtscrl.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\sppsvc.exe
.
**************************************************************************
.
Completion time: 2013-02-26 15:25:23 - machine was rebooted
ComboFix-quarantined-files.txt 2013-02-26 14:25
ComboFix2.txt 2013-02-26 12:08
.
Pre-Run: Volných bajtů: 29 498 421 248
Post-Run: Volných bajtů: 29 203 472 384
.
- - End Of File - - AB56E754FA4B6C91184DDF9B80284C5E

[JaRon]

CF urobil co mal, cakam na log z TDSSKiller a napis, ci su este nejake problemy

[pekulant]

No, stále to tam bolo, ono ako keby to aj zmizlo, ale po reštarte sa to tam vždy zas pridá. Mám teraz školu a TDSS prídám neskôr.

Ja mám oboje sieťové pripojenia v sieťovom moste, no odobral som ich od tial, že či nieje náhodou práve driver pre ten most nejak nakazený, možno dôjde k nejakej zmene konfigurácie, a prestane to, a prestali na krátku dobu skákať tie reklamy, a aj avast potom nič nehlásil, no po reštarte mi ten PC začal velmi zasekávať tak, že sa s ním miestami nedalo pracovať, lebo zasekol a ani myšou sa pohnúť nedalo, pri tom procesor bol aj na 0%. Aj reklamy boli a spadol mi driver, čo je spoločný pre klávesnicu a myš, a teda mi nefungoval ani trakpoint ani touchpad a ani klávesnica, len externá, a ani za prd som ten driver nevedel nahodiť naspeť, proste systém mi v info o drivere hlásil, že sa súbory nepodario zaviesť, že chýbajú, alebo sú poškodené. Aj som ich z inštalačky vymenil, ale aj tak nič. To sekanie sa objavovalo aj v núdzovom režime, a vždy po prvej snahe komunikovať cez internet, tak som tie pripojenia znovu premostil a zasekávanie prestalo, no "PS/2" zariadenia boli stále nefunkčné. Skúšal som s tým driverom aj nemožné, aj som vyčistil registre od zariadenia aj všetko, no ten driver stále nefungoval, tak som nakoniec musel použiť obnovenie systému, a potom mi všetko nabehlo. Ja prestávam veriť, že sa to bude dať nejak odtial dať preč. Potom čo mi spadla tá klávesnica som sa už chystal pomaly na reinstall.

Vďaka za strpenie a ochotu.

[JaRon]

no ono ide v podstate o dve veci :
1. co sa tyka reklam a inych smejdov nemyslim, ze by sme si s tym neporadili
2. problem HW prip. ovladacov >> tam tych nakopenych problemov mas nejak privela ,,, som nachylny odobrit aj novu cistu instalaciu (ak vsak odchadza HW napr. port PS2, tak tento problem sa vrati)

[pekulant]

Tak TDSS detekoval mallware vo WDF01000.sys, a neskôr problém vyriešil. Však ešte predtým som sa pohral a dal som ho prekontrolovať avastom a zrazu ho už detekoval, ale nevedel ho opraviť, tak som v registri nastavil start type 4 (disabled), pôvodne bola 0 (boot), takže súbor sa zavádzal aj do núdzového režimu. Systém po reštarte BSOD-oval, takže systém túto službu potreboval. Je to nejaký driver od net frameworku. Dokonca priamo súbor mi zrazu zdetekoval aj Eset, a nechápem tomu, pretože som ten PC kontroloval viacerími programami, a zvlášť som tušil, že to bude nejaký driver, tak vždy som kontroloval zložku drivers zvlášť, a dokonca už dávnejšie som ten súbor chcel nahradiť, pretože mal upravené oprávnenie, no systém si ho chránil ako vedel, tak som neuspel. Boto to už pár mesiacov čo som sa s tým hral.

Takže velká vďaka za pomoc.

A čo sa týka HW, tak notebook je 100% fungel, a som to z toho mostu len pre zaujímavosť odstránil znovu a zase začal pri prístupe na internet sekať, a chyba PS/2 zariadení sa asi vyskytla preto, lebo som ten spomínaný driver 61883 vymazal nasilu, tak asi preto to nejak šlo do súvisu, hoci systém sa zo začiatku javil, že to nevadí. Jedem prípad som už mal taký, že systém bol stále spomalený, a aj najmenšia operácia vyťažovala CPU na 100%. Tak som vzal disk, a skontroloval v inom PC a nič sa nenašlo, ale až pri kopírovaní mi antivírus označil tiež jeden sys ako podozrivý, označil to ako neznámu infiltráciu vykonávajúcu podozrivý proces ale dalo sa to vyliečiť.