eto
-
Postów
35 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez eto
-
-
Witam. Teraz chyba OTL zrobił swoje. Pliki usuniete. Znikneły wpisy w msconfig. Poadje wyniki pracy z OTL.
-
Jednak OTL nie usunał tego po wyłączeniu antywirusa. Podaje zatem wyniki pracy ComboFix
-
nie wiem czy to możliwe ale chyba antywirus przyblokował usuwanie przez OTL bo wyskoczyło okno z antywirusa, że zablokowano dostęp do pliku. Może wyłączyć go i powtórzyc skrypt OTL?
-
-
Witam. Mam problem z trojanami. Antywirus cały czas blokuje dostęp do nich. Proszę o sprawdzenie logów oraz ewentualną pomoc. Log z gmera dorzuce jak sie zrobi skan.
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2012-09-16 15:30:23
Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380215A rev.3.AAD
Running: zhu1341j.exe; Driver: C:\DOCUME~1\Admin\USTAWI~1\Temp\pxtdapoc.sys
---- System - GMER 1.0.15 ----
SSDT F7CFD26C ZwClose
SSDT F7CFD226 ZwCreateKey
SSDT F7CFD276 ZwCreateSection
SSDT F7CFD21C ZwCreateThread
SSDT F7CFD22B ZwDeleteKey
SSDT F7CFD235 ZwDeleteValueKey
SSDT F7CFD267 ZwDuplicateObject
SSDT F7CFD23A ZwLoadKey
SSDT F7CFD208 ZwOpenProcess
SSDT F7CFD20D ZwOpenThread
SSDT F7CFD28F ZwQueryValueKey
SSDT F7CFD244 ZwReplaceKey
SSDT F7CFD280 ZwRequestWaitReplyPort
SSDT F7CFD23F ZwRestoreKey
SSDT F7CFD27B ZwSetContextThread
SSDT F7CFD285 ZwSetSecurityObject
SSDT F7CFD230 ZwSetValueKey
SSDT F7CFD28A ZwSystemDebugControl
SSDT F7CFD217 ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xF6A99A0C]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Mozilla Firefox\firefox.exe[2816] ntdll.dll!LdrLoadDll 7C91632D 5 Bytes JMP 011D0C00 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox\firefox.exe[2816] kernel32.dll!lstrlenW + 43 7C809AEC 7 Bytes JMP 01407B4C C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox\firefox.exe[2816] kernel32.dll!MapViewOfFileEx + 6A 7C80B9A0 7 Bytes JMP 01407B29 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox\firefox.exe[2816] kernel32.dll!ValidateLocale + B130 7C844958 7 Bytes JMP 011D3FAC C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox\firefox.exe[2816] GDI32.dll!SetDIBitsToDevice + 20A 77F19E14 7 Bytes JMP 01407AAA C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
---- Devices - GMER 1.0.15 ----
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
-
Skrypt wykonał się pomyślnie. Sality Killer niczego nie znalazł, ale antywirus pokazuje jeszcze, że żarażone są pliki exe na dysku przenośnym.
A tu nowe logi z OTL
Przykładowy plik z dysku F
Antivirus results
AhnLab-V3 - 2011.06.20.00 - 2011.06.19 - Win32/Kashu.B
AntiVir - 7.11.10.12 - 2011.06.17 - W32/Sality.Y
Antiy-AVL - 2.0.3.7 - 2011.06.19 - -
Avast - 4.8.1351.0 - 2011.06.19 - Win32:Sality
Avast5 - 5.0.677.0 - 2011.06.19 - Win32:Sality
AVG - 10.0.0.1190 - 2011.06.19 - Win32/Tanatos.M
BitDefender - 7.2 - 2011.06.19 - Win32.Sality.OG
CAT-QuickHeal - 11.00 - 2011.06.19 - W32.Sality.R
ClamAV - 0.97.0.0 - 2011.06.19 - W32.Sality-72
Commtouch - 5.3.2.6 - 2011.06.19 - W32/Sality.AK
Comodo - 9123 - 2011.06.19 - Virus.Win32.Sality.Gen
DrWeb - 5.0.2.03300 - 2011.06.19 - Win32.Sector.12
eSafe - 7.0.17.0 - 2011.06.15 - -
eTrust-Vet - 36.1.8393 - 2011.06.17 - Win32/Sality.AA
F-Prot - 4.6.2.117 - 2011.06.19 - W32/Sality.AK
F-Secure - 9.0.16440.0 - 2011.06.19 - Win32.Sality.OG
Fortinet - 4.2.257.0 - 2011.06.19 - W32/Sality.AA
GData - 22 - 2011.06.19 - Win32.Sality.OG
Ikarus - T3.1.1.104.0 - 2011.06.19 - Virus.W32.Sality
Jiangmin - 13.0.900 - 2011.06.19 - Win32/HLLP.Kuku.Gen
K7AntiVirus - 9.106.4825 - 2011.06.18 - Virus
Kaspersky - 9.0.0.837 - 2011.06.19 - Virus.Win32.Sality.aa
McAfee - 5.400.0.1158 - 2011.06.19 - W32/Sality.gen.z
McAfee-GW-Edition - 2010.1D - 2011.06.19 - W32/Sality.gen
Microsoft - 1.6903 - 2011.06.13 - Virus:Win32/Sality.AM
NOD32 - 6221 - 2011.06.19 - Win32/Sality.NAU
Norman - 6.07.10 - 2011.06.19 - W32/Sality.AQ
nProtect - 2011-06-19.01 - 2011.06.19 - Win32.Sality.OG
Panda - 10.0.3.5 - 2011.06.19 - W32/Sality.AK
PCTools - 7.0.3.5 - 2011.06.17 - Malware.Sality
Prevx - 3.0 - 2011.06.19 - -
Rising - 23.62.03.03 - 2011.06.17 - Win32.KUKU.ky
Sophos - 4.66.0 - 2011.06.19 - W32/Sality-AM
SUPERAntiSpyware - 4.40.0.1006 - 2011.06.19 - -
Symantec - 20111.1.0.186 - 2011.06.19 - W32.Sality.AE
TheHacker - 6.7.0.1.233 - 2011.06.18 - W32/Sality.gen
TrendMicro - 9.200.0.1012 - 2011.06.19 - PE_SALITY.JER
TrendMicro-HouseCall - 9.200.0.1012 - 2011.06.19 - PE_SALITY.JER
VBA32 - 3.12.16.2 - 2011.06.17 - Virus.Win32.Sality.baka
VIPRE - 9628 - 2011.06.19 - Virus.Win32.Sality.ah (v)
ViRobot - 2011.6.18.4521 - 2011.06.19 - Win32.Sality.L
VirusBuster - 14.0.86.0 - 2011.06.19 - Win32.Sality.AP.Gen
File info:
MD5: 19389c461e3a913f56774e662ce261c2
SHA1: 406de9803e9d864115152b58d35071e950a9908d
SHA256: 46b4951707fdf391ebbaedbab19265669d99ad3435b0a299de88a18bcb111137
File size: 7786496 bytes
Scan date: 2011-06-19 14:50:17 (UTC)
-
-
Witam. Pożyczyłem koledze mój dysk przenośny. Dziś do podłączam pod komputer a tu niespodzianka. Wirus Sality.Y. Antywirus zablokował wirusa ale nie wiem czy nie przedostał się na komputer. NA dysku są dwa losowe pliki. Obydwa są zarażone owym wirusem. Zamieszczam obowiązkowe logi i pomoc w usunięciu tego wirusa/
Zaraz dorzucę log z Gmera
-
AVG 2011 Jest odinstalowany. Nie wiem czemu jest na liscie
-
Polecenie wykonane. Jako załącznik daje logi z OTL. Niestety drukarka dalej nie chce drukować.
-
Tak. Zgadza się. Na XP jest dobrze a na Win 7 jest problem chociaż żaden komunikat się nie wyświetla. I żadne błędy nie pojawiają się. Log z Net Log zamieszam w linku
-
Epson Stylus C62. Drukarka dosyć stara ale spełnia swoją role bardzo dobrze.
-
Witam. Mam problem z podłączeniem drukarki do livebox 2.0. Mój system to Windows 7. Na drugim komputerze na którym jest Windows XP podłączyłem drukarkę i wszystko działa jak należy. Natomiast na Windows 7 mam problem. Postępuję wg porady TP Link do porady I niby wszystko ładnie się instaluję ale niestety nie ma możliwości drukowania. Dodam, że posiadam nowy Livebox 2.0 który umożliwia podłączenie i udostępnienie drukarki.
-
Microsoft ® Windows Debugger Version 6.11.0001.404 X86
Copyright © Microsoft Corporation. All rights reserved.
Loading Dump File [C:\Documents and Settings\admin\Pulpit\minidump\Mini121310-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available
Symbol search path is: SRV*c:\symbole*http://msdl.microsoft.com/download/symbols
Executable search path is:
Windows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS Personal
Built by: 2600.xpsp_sp3_gdr.100427-1636
Machine Name:
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055b1c0
Debug session time: Mon Dec 13 08:17:46.781 2010 (GMT+1)
System Uptime: 0 days 0:02:44.384
Loading Kernel Symbols
...............................................................
...............................................
Loading User Symbols
Loading unloaded module list
..........
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
Use !analyze -v to get detailed debugging information.
BugCheck 100000EA, {823abc10, 825be560, f9f5ccb4, 1}
Unable to load image nv4_disp.dll, Win32 error 0n2
*** WARNING: Unable to verify timestamp for nv4_disp.dll
*** ERROR: Module load completed but symbols could not be loaded for nv4_disp.dll
ERROR - could not read driver name for bugcheck parameter 3
Probably caused by : nv4_disp.dll ( nv4_disp+1f0c6 )
Followup: MachineOwner
---------
kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
THREAD_STUCK_IN_DEVICE_DRIVER_M (100000ea)
The device driver is spinning in an infinite loop, most likely waiting for
hardware to become idle. This usually indicates problem with the hardware
itself or with the device driver programming the hardware incorrectly.
If the kernel debugger is connected and running when watchdog detects a
timeout condition then DbgBreakPoint() will be called instead of KeBugCheckEx()
and detailed message including bugcheck arguments will be printed to the
debugger. This way we can identify an offending thread, set breakpoints in it,
and hit go to return to the spinning code to debug it further. Because
KeBugCheckEx() is not called the .bugcheck directive will not return bugcheck
information in this case. The arguments are already printed out to the kernel
debugger. You can also retrieve them from a global variable via
"dd watchdog!g_WdBugCheckData l5" (use dq on NT64).
On MP machines it is possible to hit a timeout when the spinning thread is
interrupted by hardware interrupt and ISR or DPC routine is running at the time
of the bugcheck (this is because the timeout's work item can be delivered and
handled on the second CPU and the same time). If this is the case you will have
to look deeper at the offending thread's stack (e.g. using dds) to determine
spinning code which caused the timeout to occur.
Arguments:
Arg1: 823abc10, Pointer to a stuck thread object. Do .thread then kb on it to find
the hung location.
Arg2: 825be560, Pointer to a DEFERRED_WATCHDOG object.
Arg3: f9f5ccb4, Pointer to offending driver name.
Arg4: 00000001, Number of times "intercepted" bugcheck 0xEA was hit (see notes).
Debugging Details:
------------------
ERROR - could not read driver name for bugcheck parameter 3
FAULTING_THREAD: 823abc10
FAULTING_IP:
nv4_disp+1f0c6
bf0310c6 ?? ???
IMAGE_NAME: nv4_disp.dll
DEBUG_FLR_IMAGE_TIMESTAMP: 453bdc7a
MODULE_NAME: nv4_disp
FAULTING_MODULE: bf012000 nv4_disp
DEFAULT_BUCKET_ID: GRAPHICS_DRIVER_FAULT
CUSTOMER_CRASH_COUNT: 1
BUGCHECK_STR: 0xEA
PROCESS_NAME: explorer.exe
LAST_CONTROL_TRANSFER: from 806f0ca4 to 804db8f3
STACK_TEXT:
f6438540 806f0ca4 00000000 00000082 804da925 nt!KiDispatchInterrupt+0x7f
f643854c 804da925 00f8f800 00000162 00000082 hal!HalEndSystemInterrupt+0x54
f643854c bf0310c6 00f8f800 00000162 00000082 nt!KiInterruptDispatch+0x4d
WARNING: Stack unwind information not available. Following frames may be wrong.
f64385cc 00000000 00000107 f787c000 00000089 nv4_disp+0x1f0c6
STACK_COMMAND: .thread 0xffffffff823abc10 ; kb
FOLLOWUP_IP:
nv4_disp+1f0c6
bf0310c6 ?? ???
SYMBOL_STACK_INDEX: 3
SYMBOL_NAME: nv4_disp+1f0c6
FOLLOWUP_NAME: MachineOwner
FAILURE_BUCKET_ID: 0xEA_IMAGE_nv4_disp.dll_DATE_2006_10_22
BUCKET_ID: 0xEA_IMAGE_nv4_disp.dll_DATE_2006_10_22
Followup: MachineOwner
---------
Czyli za BSOD winny jest sterownik karty graficznej. Jutro użyję programu driver sweeper i ponownie zainstaluje na nowo stery.
EDIT
Po odinstalowaniu sterowników i użyciu programu driver sweeper i ponownej instalacji oprogramowania dalej komputer się zawiesza i po restarcie następuje BSOD. Po usunięciu w programie reszek i ponownym uruchomieniu komputera pliki znowu pojawiały się na dysku. Nawet po ręcznym usuwaniu pliku nv4_disp.dl zaraz się odbudowywał.
-
Dokładna nazwa karty graficznej to
NIVIDA GeForce 4 MX with AGP8X więc sterownik wg. Nivida jest najnowszy.
Error - 2010-12-08 06:20:17 | Computer Name = MONIKA | Source = System Error | ID = 1003
Description = Kod błędu 100000ea, parametr 1 8268a020, parametr 2 82452230, parametr
3 f9f68cb4, parametr 4 00000001.
Error - 2010-12-09 03:19:56 | Computer Name = MONIKA | Source = System Error | ID = 1003
Description = Kod błędu 100000ea, parametr 1 825a4da8, parametr 2 824f3528, parametr
3 f9f5ccb4, parametr 4 00000001.
Error - 2010-12-10 03:44:19 | Computer Name = MONIKA | Source = System Error | ID = 1003
Description = Kod błędu 100000ea, parametr 1 82414980, parametr 2 8274bd98, parametr
3 f9f5ccb4, parametr 4 00000001.
Error - 2010-12-13 03:19:33 | Computer Name = MONIKA | Source = System Error | ID = 1003
Description = Kod błędu 100000ea, parametr 1 823abc10, parametr 2 825be560, parametr
3 f9f5ccb4, parametr 4 00000001.
Zauważyłem ze pojawiły sie takie oto błędy. Może one są przyczyną zawieszeń.?? Po restarcie wyskakuje BSOD. Postaram się załączyć katalog Minidump.
Podaje link do MInidump
-
Właśnie z tej strony wgrywałem stery i do tej karty są sterowniki z 2006 roku.
Wersja: 93.71
Data publikacji: 2.11.2006
System operacyjny: Windows XP/2000 32-bit
Język: Polski
Rozmiar pliku: 60.8 MB
-
AD1 Wgrane sterowniki ze strony producenta z roku 2006 (nowszych nie ma
)AD2 NOD musi zostać. Program jest licencjonowany a osoba użytkująca komputer może nie podołać z reinstalacją programu.
AD3 Wszystkie zbędne aplikacje zostały wyłączone z autostartu.
AD4 ACE Mega CoDecS Pack Odinstalowane (DiviX bundle nie można znaleźć deinstalatora)
[1999-05-17 13:58:52 | 000,099,840 | ---- | C] (Symantec Corp.) -- C:\Program Files\Common Files\IRAABOUT.DLL
[1998-12-09 02:53:54 | 000,186,368 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Program Files\Common Files\IRAREG.DLL
[1998-12-09 02:53:54 | 000,070,144 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Program Files\Common Files\IRAMDMTR.DLL
[1998-12-09 02:53:54 | 000,048,640 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Program Files\Common Files\IRALPTTR.DLL
[1998-12-09 02:53:54 | 000,031,744 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Program Files\Common Files\IRAWEBTR.DLL
[1998-12-09 02:53:54 | 000,017,920 | ---- | C] (Symantec Corp.) -- C:\Program Files\Common Files\IRASRIAL.DLL
Co do tych plików to nie mam pojęcia skąd się wzięły na komputerze. Co widać są bardzo stare. Może to od programu Symantec do naprawy komputera choć pewny nie jestem.
Internet Explorer 8 zainstalowany.
Podsumowując: Komputer znacznie przyśpieszył po tych zabiegach. Ale zawieszanie komputer występuje nadal. Zawieszenie występuje przy normalnej pracy.
-
Witam. Mam problem z komputerem. Mianowicie podczas pracy tak jakby następuje zamrożenie i pomaga reset komputera. Do tego dochodzi bardzo wolna praca komputera. Wszystkie aplikacje chodzą jak o dwóch kulach. Załączam logi z programu OTL. Log z programu GMER podam później bo robi się już ponad 2 godziny i końca nie widać.
Proszę o sprawdzenie logów i pomoc w usunięciu tego bałaganu. Pozdrawiam eto
Dodaje wspomniany log z GMER
-
PhatDerick
Co do nicku, widziałem gdzieś w sieci (pewnie nie tylko ja, bo to popularny serwis
) screen ze statystyki jakiegoś forum:"Użytkowników: 300
Najnowszy użytkownik: Leonidas"
Ktoś wiedział że będzie tym trzysetnym
Grunt to dobre wejście i wrażenie
I to jest najważniejsze
-
Dodam ze dziś odinstalowałem poprawkę KB971033.
Tą poprawkę odinstalowałem bo zaczęło mi wyskakiwać że używana kopia może nie być oryginalna co mnie zdziwiło. Dlatego postanowiłem ją odinstalować. Już wtedy musiała ta usługa nie działać skoro pojawił się taki komunikat. Ważne, że już wszystko jest ok. skrypt z OTL wykonał się prawidłowo. Jeszcze raz dzięki wielkie za pomoc i jak pisałem temat do zamknięcia.
Pozdrawiam eto
-
picasso jesteś Wielka. Usługa się uruchomiła. Stan licencji się pojawił i co najważniejsze działa Windows Update. Wielkie dzięki za pomoc wszystkim co pomagali.. Wiszę zimne piwo
od czego ta usługa mogła zniknąć? Temat można zamknąć jak narazie Podaje jeszcze logi z OTL do sprawdzenia na ewentualne śmieci po próbach naprawy usług. -
Chyba po raz setny odpowiadam tym co szukają tu dziury w całym - część modułów w tej procedurze jest nieprzerejestrowalna - jest to nieszkodliwy bład w procedurze.Wszyscy przepisują formułkę jeden za drugim i nikt tego nie sprawdza.
Spróbuj tego:
Uruchom cmd.exe w trybie admina i wklep
del C:\Windows\Tasks\*
+restart
C:\Windows\system32>del C:\Windows\Tasks\*
C:\Windows\Tasks\*, Czy na pewno (T/N)? t
C:\Windows\Tasks\SCHEDLGU.TXT
Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces.
To mi wyskoczyło w oknie cmd. W pliku Schedlgu.txt są zapisany dotyczące tylko Harmonogramu zadań.
Dziś dopiero zauważyłem, że w właściwościach Mój komputer wyświetla mi się Aktywacja systemu Windows : stan jest niedostępny chociaż wcześniej było dobrze.Klik Dodam jeszcze, że jak otwieram plik slui.exe to wyskakuje błąd ten sam co w Windows Update. Klik Może to ma wpływ?? Do tego brak usługi ochrony oprogramowania.
-
wucltui.dll qmgr.dll
Przy próbie rejestracji tych dwóch bibliotek występuje dwa błędy. Może to one mają wpływ na problem z usługą Windows Update. Podaje niżej linki do screenów z tymi błędami.
-
regsvr32.exe wuapi.dll regsvr32.exe wups.dll regsvr32.exe wuaueng.dll regsvr32.exe wucltui.dll regsvr32.exe MSXML3.dll regsvr32.exe qmgr.dll regsvr32.exe qmgrprxy.dll net.exe start wuauserv
To są biblioteki z Windows Vista. Czy w Windows 7 te biblioteki rowież są odpowiedzialne za ta usługę Windows Update?
) screen ze statystyki jakiegoś forum:
od czego ta usługa mogła zniknąć? Temat można zamknąć jak narazie 
Podaje jeszcze logi z OTL do sprawdzenia na ewentualne śmieci po próbach naprawy usług.
Trojan TR/Graftor
w Dział pomocy doraźnej
Opublikowano
Czy OTL usuwa Combo Fixa? Czy odzielnie go odinstalować przez przełącznik / uninstall?