wrzuć tam win 98 i czekaj na sp3

Witam ponownie. System był zainfekowany. Przejechałem go różnego typu odsyfiaczami. Zajęło to pół dnia. Teraz logi są czyste, nie wyskakują też sporadyczne bsody ALE: 1. W dalszym ciągu system próbuje zamknąć się po kilku minutach pracy (Komunikat RPC i odliczanie 60 sekund w dół) 2. Czasem po załadowaniu systemu wyskakuje błąd svchost.exe 3. Faktycznie nie można zaisntalwoać SP2. Po rozpakowaniu i w czasie procesu inwentaryzacji plików do backupu - wyskakuje komunikat o nieprawidłowej ścieżce albo o braku jakiegoś pliku (nie informuje jakiego). Próbowałem ze trzy razy, z włączonym i wyłączonym przywracaniem, sp2 był też w różnych lokacjach ale zawsze wyskakuje ten komunikat o złej ścieżce albo braku pliku.. Mniejsza z sp2, już przeboleję jego brak, to jest w sumie stary komp, nie często używany ale to zamykanie muszę mu naprawić. Nie chcę go stawiać od nowa, za dużo softu do rekonstrukcji, sterowniki też gdzieś rozsiane po necie... System ma zainstalowane kilka poprawek i aktualizacji ale trudno powiedzieć czego dotyczyły :) Na pewno nie powstrzymały razem z Pandą IS 2007 infekcji i problemów z nią zwiazanych :) EDIT: Zapomniałem napisać, że net już śmiga bez zarzutu.

Ja pamięć mam kiepska okrutnie i nie pamiętam czy instalacji łat na Blastera/Sassera nie trzeba było mimo wszystko wykonać osobno - ale zajrzyj jeszcze [url=http://faq.pcformat.pl/index.php/Jak_usun%C4%85%C4%87_Blastera_lub_Sassera_(czyli_restart_co_60s)]np tutaj[/url] i zobacz czy instalacja łat tam wymienionych nie poprawi sytuacji.

Coś się mu się kiedyś posypało w trakcie instalacji sp2 i brat się wycofał. Ma teraz pewnie nauczkę. To jest stary komp jeszcze na dimach 133 i ma swoje humorki. Zainstaluję mu sp2 , i przejadę kilkoma wykrywaczami. Dziękuję za uwagę i do usłyszenia!

Łaty może trzeba poinstalować do systemu ?? Masz jakies opory przed instalacją Service Pack 2 ?? Cos nie działa prawidłowo po jego instalacji ??

Ok, wkleję asap jakieś inne logi. A zamykanie sytemu wygląda tak, że po jakiejś minucie od uruchomienia wyskakuje komunikat ,że system zostanie zamknięty za 60 sekund i odlicza w dół. Kiedyś tak miałem jak szalał Blaster. Zatrzymuję ten proces poprzez wpisanie w panelu "uruchom" shutdown -a A drugim objawem jest padaczka netu.

Jak wygląda to zamykanie systemu ?? Restart ?? BSOD ?? Może innymi logami rzuć - ComboFix i Silent Runners - popatrzymy czy nic nie ma tam.

Hmm, ale co w takim razie zamyka system i co wyłączyło całkowicie sieć ? Dziś już internet wogóle nie funkcjonował. Aha, poza tym uruchomiłem na końcu program Windows Worms Doors Cleaner 1.4.1 i pozamykałem wszystkie te porty (czytałem instrukcję :) ale nadal bez zmian. Może jakiś rootkit ? Kurcze szkoda, że nie zabrałem mu tego kompa, będę musiał na raty go naprawiać ;)

To znacznie zmienia postać rzeczy. To biblioteka klienta NetWare jest i nie jest to żaden syf. Korzystasz z Novella/NetWare ?? Jak nie to we właściwościach połaczenia sieciowego usuń tegoz klienta ze składników. Log wygląda na czysty.

Miałeś rację. Walnąłem literówkę :) Chodziło o [b]nwprovau.dll[/b] Poniżej log z HJT i screen z LSPFix. +++++++++++++++++++++++++++++++++++++++++++++++++ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:50:31, on 2008-03-17 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE C:\WINDOWS\Explorer.EXE C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsCtrls.exe C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe C:\WINDOWS\system32\HPZipm12.exe c:\program files\panda software\panda antivirus + firewall 2007\firewall\PSHOST.EXE C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\WebProxy.exe C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\avciman.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-21-1078081533-1563985344-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?') O4 - HKUS\S-1-5-18\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User '?') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll [b]O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll[/b] O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1171613655713 O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/sezam/components/SignActivX.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\PACSPT~1.EXE O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsCtrls.exe O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\program files\panda software\panda antivirus + firewall 2007\firewall\PSHOST.EXE O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\COMMON~1\SONYSH~1\AVLib\Sptisrv.exe -- End of file - 5799 bytes +++++++++++++++++++++++++++++++++++++++++++++++++ [img]http://www.zbierzchowski.com/1/nwprovau.dll.jpg[/img] Ponadto jak kopiowałem na pendriva tego dll to Panda wykryła niejaki [b]process.exe[/b] jako lewiznę w katalogu system32. Na razie nie usuwałem tylko zablokowałem dostęp do niego. Podejrzewam, że do infekcji doszło poprzez zaniedbanie aktualizacji Pandy połączone z używaniem przez młodszą osobę w rodzinie p2p Bearshare :)

No podejrzany jest to pewne. Przeskanuj go na http://www.virustotal.com/pl/ i zobacz co z tego wyjdzie. Oglądnij właściwości pliku, zobacz czy ma zakładkę wersja i ewentualnie co tam jest napisane.

Kurcze, raczej nie , trudno mi to teraz zweryfikować bo to nie mój komp, dopiero późnym wieczorem.. Komp działa na nestradzie (livebox) 1mb Masz wątpliwości czy ten plik powienien tam zostać ? Widzialem wiele razy tę krótką listę po lewej w programie LSP FIX i zawsze, na różnych konfigach są te same 3 pliki + ewentualnie dodatkowy jeden, dwa ale nie widziane jako obczyzna przez takiego Hijack!

Nie zrobiles literówki żadnej w nazwie pliku ??