[ mazazeka @ 05.11.2010. 23:29 ] @
U pitanju je laptop Dell-inspiropn 6400.Pre par dana kao da su duhovi usli u njega. Sam kuca ,otvara nove prozore,ono sto ja tipam ne pokazuje vec nesto sasvim deseto,kad zatvorim sve prozore na google hromu ili mozili on pocinje da skace sa ikone na ikone na desktopu menja nazive.Prilikom starta windowsa cuju se par puta tonovi,kao hot-key tonovi. Ponekad se desi na tastatura uopste ne reaguje,neki period 10-15 minuta pa opet proradi. Posle toga se sve smiri i sve radi normalno, najcesce posle pokretanja noda.Uradio sam skeniranje nodom,obrisano 3 virusa, pa potom instalirao ad-aware koji je otkrio jedno 80 malvare-a. Posto sve to nije pomoglo uradio sam reinstalaciju Windowsa juce sa nadom da ce to resiti problem ali neki problemi su reseni a neki su ostali. Posle starta windowsa tastatura ne reaguje uopste, tach-ped radi normalno,i u prethodnoj instalaciji je radio normalno,potom pocinje da sama kuca,nepovezane nizove brojke i slova,i otvara nove prozore ali u manjoj meri.Kad zatvorim pretrazivac ne dira ikone na desktopu. Posle nekih 10-15 minuta nakon sto uporno kucam po tastaturi stanje se stabilizuje i sve radi normalno. Posle gasenja racunara i ponovnog starta posle pola sata i duze sve se opet ponavlja posle desetak minuta sve radi normalno bez ikakve greske.Ako se samo uradi restart radi normalno.
Korisitim windows xp ,servis pak 3,originalna licenca, nod 4.2 i ad-aware.
Uradio sam skeniranje sa combo-fixom i rezulat cu nalepiti ispod. Skeniranje Nodom i ad-awarom ne otkriva nista.
Puno hvala svima na pomoci unapred i pozdrav , Ivan !

ComboFix 10-11-05.05 - Sandra 05.11.2010 23:23:29.2.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2046.1626 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Sandra\Desktop\ComboFix.exe
AV: ESET NOD32 Antivirus 4.2 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
AV: Lavasoft Ad-Watch Live! Anti-Virus *On-access scanning disabled* (Updated) {A1C4F2E0-7FDE-4917-AFAE-013EFC3EDE33}
* Im Speicher befindliches AV aktiv.

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\windows\system32\drivers\1028_DELL_XPS_MM061 .MRK
c:\windows\system32\drivers\DELL_XPS_MM061 .MRK

.
((((((((((((((((((((((( Dateien erstellt von 2010-10-05 bis 2010-11-05 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 11:22 . 2004-08-10 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:52 . 2004-08-10 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:52 . 2004-08-10 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:52 . 2004-08-10 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-10 05:47 . 2004-08-10 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:47 . 2004-08-10 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2010-09-10 05:47 . 2004-08-10 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-09-01 11:50 . 2004-08-10 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:54 . 2004-08-10 12:00 1852928 ----a-w- c:\windows\system32\win32k.sys
2010-08-27 08:01 . 2004-08-10 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2010-08-27 05:57 . 2004-08-10 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 06:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2004-08-10 12:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys
2010-08-23 16:11 . 2004-08-10 12:00 617472 ----a-w- c:\windows\system32\comctl32.dll
2010-08-17 13:17 . 2004-08-10 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe
2010-08-16 08:44 . 2004-08-10 12:00 590848 ----a-w- c:\windows\system32\rpcrt4.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" [2010-11-04 136176]
"PoivY"="c:\programme\PoivY.com\PoivY\PoivY.exe" [2010-10-04 11850016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 667718]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 602182]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 282624]
"autoclk"="autoclk.exe" [2007-01-30 126976]
"egui"="c:\programme\ESET\ESET NOD32 Antivirus\egui.exe" [2010-08-12 2215064]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 761947]
"Dell QuickSet"="c:\programme\Dell\QuickSet\quickset.exe" [2006-08-03 1032192]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - c:\programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-5-24 622653]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\PoivY.com\\PoivY\\PoivY.exe"=
"c:\\Programme\\12Voip.com\\12Voip\\12Voip.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [05.11.2010 11:02 64288]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [29.07.2010 13:31 115008]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [03.08.2010 13:28 95896]
R2 ekrn;ESET Service;c:\programme\ESET\ESET NOD32 Antivirus\ekrn.exe [12.08.2010 14:16 810144]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [23.09.2010 08:46 1375992]
S3 Lavasoft Kernexplorer;Lavasoft helper driver;c:\programme\Lavasoft\Ad-Aware\kernexplorer.sys [23.09.2010 08:46 15264]
.
Inhalt des "geplante Tasks" Ordners

2010-11-05 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-09-23 10:01]

2010-11-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-839522115-776561741-2146896963-1003Core.job
- c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-11-04 01:05]

2010-11-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-839522115-776561741-2146896963-1003UA.job
- c:\dokumente und einstellungen\Sandra\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-11-04 01:05]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Senden an &Bluetooth-Gerät... - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-05 23:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(916)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-11-05 23:30:28
ComboFix-quarantined-files.txt 2010-11-05 22:30

Vor Suchlauf: 5 Verzeichnis(se), 140.087.132.160 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 140.048.351.232 Bytes frei

- - End Of File - - FAD20F244FE9A5CA1CD45A0D75370688


[ magna86 @ 06.11.2010. 02:01 ] @
Prvo...zasto pokreces ComboFix na svoju ruku?


Start >> Run
Citat:
C:\WINDOWS\NOTEPAD.EXE C:\Qoobox\ComboFix-quarantined-files.txt

Ok...kopiraj mi sadrzaj loga na uvid.

Po opisu problema rekao bih da tu tastatura zakucava.
Mozda je nesto proliveno na tastaturi (cisto nagadjanje) i ona sama nasumicno da kazem aktivira tipke...sto bi za rezultat dobio upravo to sto si opisao.
Jer u logovima nema tragova malware-a.







[ mazazeka @ 06.11.2010. 06:18 ] @
2010-11-05 21:22:16 . 2010-11-05 22:27:49 8,228 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-11-05 21:11:04 . 2010-11-05 22:22:46 255 ----a-w- C:\Qoobox\Quarantine\catchme.log
2010-11-05 00:27:49 . 2010-11-05 00:27:49 5 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\1028_DELL_XPS_MM061 .MRK.vir
2010-11-05 00:27:49 . 2010-11-05 00:27:49 5 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\DELL_XPS_MM061 .MRK.vir
[ mazazeka @ 06.11.2010. 07:03 ] @
Hvala pUUUUno na pomoci! Jedva sam uspeo da zalepim i da iskucam ovo! HVALA i pozdrav.

p.s. program sam pokrenuo od muke, jer vise nisam znao sta da radim. Po tastaturi nije nista prosuto, jedino sto je komp puno radio u poslednje vreme.
[ magna86 @ 06.11.2010. 12:31 ] @
Problem je hardwareske prirode.
Nije do sistema (nov je) a nije ni do malware-a.

Uninstalacija ComboFix-a i zavrsetak ciscenja:

Start >> Run
Citat:
Combofix /Uninstall

Ok

poseti servis ...