Anonim

Problem rozwiązany , wystarczyło odinstalować Wise Disk Cleaner, i Wise Registry Cleaner. Dziękuję za sprawdzenie logów, można oczywiście zamknąć.

Przy okazji: nie manipulowałeś nic na UAC?

Jedynie zmieniałem aby nie przyciemniało mi ekranu, ale zawsze to robię po instalacji Windows i nic się nie dzieje, obecnie mam tak ustawione:

Edit:

a przypadkiem tu nie ma coś do rzeczy oprogramowanie zabezpieczające?

Też nad tym myślę, odinstaluje na razie Immunet

Edit 2:

To samo jest niestety

Nie pomoże czasem wyłączenie UAC?

Edit 3:

To samo, wyłączenie Malwarebytes Pro też nie pomaga,

Plik mam jest w EXE, ale dzieje się to w wielu programach

Jeszcze nie reinstaluje, bo może jednak coś da się zrobić?

Wyczyszczę później foldery przywracania systemu (chyba że teraz muszę to zrobić), bo mam inny problem, nie mogę instalować części programów, np. to się pokazuję przy instalacji VirtualBox

Po kliknięciu OK

Po ponownym kliknięciu OK:

I gdy teraz kliknę OK okno znika

Po kilku próbach czasami udaje się zainstalować.

Poczytam trochę w Googlach na temat tego błędu 2869

Może mieć to jakiś związek z infekcją?

Edit:

Jednak będę reinstalował Windows, nie mam nic ważnego w komputerze, wystarczy że zapisze jakie mam programy zainstalowane i po formacie je zainstaluje.

Dziękuję za sprawdzenie logów, można zamknąć

Raport po wykonaniu skryptu:

http://wklej.org/id/578988/

A "C:\Windows\SysWOW64\drivers\odvilq.sys" nie przeniósł się bo Immunet dodał go do kwarantanny w czasie wykonywania skryptu.

File move failed. C:\Windows\SysWOW64\drivers\odvilq.sys scheduled to be moved on reboot.

i dlatego też po restarcie nie przeniósł się.

Files\Folders moved on Reboot...File\Folder C:\Windows\SysWOW64\drivers\odvilq.sys not found!

Przypomniało mi się że Hitman Pro wykrył Backdoor.MSIL!IK

Nowy log:

http://wklej.org/id/578989/

(nie wiem czy dobrze zrobiłem, bo nie zaznaczałem pod rejestrem "Użyj filtrowania", oraz nie zaznaczyłem Infekcji LOP i PURITY)

Jest czysto?

Dobry wieczór,

Ściągnąłem dziś jednego keygena z internetu, i niestety w nim było coś szkodliwego. Ściągnąłem to z hxxp://www.mediafire.com/?e4m0efrzo5r7bx9 Po uruchomieniu tego pliku, pokazał się komunikat SpyShelter Premium, o próbie przechwycenia klawiszy (keylogger). Kliknąłem na Zezwól, bo to według mnie było normalne, w keygenach i crackach często są wykrywane wirusy. Za chwilkę Malwarebytes' Anti-Malware Pro, wykrył trojana agenta, nie pamiętam w jakiej lokalizacji. Jednak tutaj chyba naprawdę był wirus (a raczej keylogger), bo po chwili SpyShelter znowu wyświetlił komunikat o przechwyceniu klawiszy, tym razem kliknąłem Blokuj, bo lokalizacja pliku była taka: C:\Users\Adam\AppData\Roaming\kernel32.exe

Od razu zeskanowałem komputer Hitmanem Pro, który wykrył Tracking Cookies, oraz

Dokładnie nie pamiętam jakie to zagrożenie było, jednak pamiętam że to wykrył silnik IKARUS, a to był Backdoor (wiem że robi on fałszywe alarmy, ale w dziwnej lokalizacji był ten plik, Hitman w historii i kwarantannie nie pokazuje jakie zagrożenie było wykryte)

Szkodliwy plik usunąłem nim, i zeskanowałem komputer programem Malwarebytes' Anti-Malware, który nic nie wykrył.

Dlatego proszę o sprawdzenie logów, chcę wiedzieć czy infekcja nadal jest:

OTL.txt: http://wklej.org/id/578815/

Extras.txt: http://wklej.org/id/578816/

(wpisy w pliku HOSTS zostały dodane przeze mnie)

Pozdrawiam

Ja też kiedyś miałem Spyware Doctora, i też to wykrywał. To jest coś w stylu Tracking Cookies, jednak nie jestem tego pewny.

Najlepiej wykonaj logi z OTL: https://www.fixitpc.pl/topic/61-diagnostyka-ogolne-raporty-systemowe/#1 , jeśli masz 32-bitowy system to także z GMER: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/page__p__318#entry318

i poczekaj aż pani picasso sprawdzi logi.

Domyślam się, że instalacja sterowników do pytajników nie wpłynęła wcale na mozolny start?

Nie wpłynęła.

W załączniku logi z podglądu zdarzeń, trzeba zmienić rozszerzenie na RAR i rozpakować.

Użyłem tej instrukcji:

Wklejamy zawartość dowolnej części Podglądu Zdarzeń na forum.

 

Jeżeli chcemy dać zrzut wszystkich wpisów Podglądu Zdarzeń postępujemy następująco:

1. Otwieramy Podglad zdarzeń.

2. Klikamy prawym przyciskiem myszy na interesującą nas część PZ.

3. Z menu kontekstowego wybieramy Zapisz plik dziennika jako...

4. Wybieramy miejsce na zapis pliku i zmieniamy format zapisywanego loga na *.EVT

5. Podobnie postępujemy z pozostałymi zakładkami w Podglądzie Zdarzeń

7. Na koniec warto wszystkie pliki *.EVT spakować do archiwum (np. RAR, ZIP, 7Zip).

 

Uwaga ! Jeśli na forum padnie prośba o podanie logów z podglądu zdarzeń - proszę wyeksportować wszystkie zakładki z Podglądu Zdarzeń (lewa strona okna)do formatu *.EVT. Proszę nie używać formatu *.txt - zawiera on tylko listę zdarzeń z danej zakładki, lecz nie zawiera opisów poszczególnych zdarzeń.

 

Taki plik załączamy na forum lub inny serwer.

z http://forum.pcformat.pl/Logi-z-Podgladu-zdarzen-format-EVT-t

logi z podgladu zdarzen.txt

Dzięki, już pobrałem teraz instaluje.

Pytajniki znikneły

Sorry nie do końca się zrozumieliśmy.

W czystym rozruchu problem istnieje, teraz wyłączyłem TuneUp i Ad Muncher jedynie i to samo.

I model laptopa spisz.

Fujitsu Esprimo Mobile v5535

a powiesz do czego są te sterowniki co chcesz pobrać?

Znaczy wiedziałem jak działa to "czysty rozruch", ale nie ważne. Wywalę TuneUp i sprawdzę czy będzie ok

Proszę

to pierwszy z pytajnikiem:

PCI\VEN_1039&DEV_6351&SUBSYS_11251734&REV_10

PCI\VEN_1039&DEV_6351&SUBSYS_11251734

PCI\VEN_1039&DEV_6351&CC_030000

PCI\VEN_1039&DEV_6351&CC_0300

drugi z pytajnikiem:

HDAUDIO\FUNC_02&VEN_1057&DEV_3055&SUBSYS_10573055&REV_1007

HDAUDIO\FUNC_02&VEN_1057&DEV_3055&SUBSYS_10573055

trzeci z krzyżykiem:

PCI\VEN_1039&DEV_0191&SUBSYS_11251734&REV_02

PCI\VEN_1039&DEV_0191&SUBSYS_11251734

PCI\VEN_1039&DEV_0191&CC_020000

PCI\VEN_1039&DEV_0191&CC_0200

A ten czysty rozruch zaraz wykonam

Edit:

Teraz to nie wiem czy problem występuje, ta instrukcja wyłączyła programy z auto-startu. (zaraz wytłumaczę dokładniej, bo pewnie nie rozumiesz)

Edit 2:

Problem od początku był taki że po prostu wszystkie programu w auto-starcie uruchamiały się z opóźnieniem, a teraz wyłączyliśmy je i nie wiem czy problem występuje.

Edit 3:

Problem występuje także w czystym rozruchu, ikona połączenia z internetem pojawia się dopiero po jakimś czasie.

Jeśli deinstalacja na pewno była kompletna (porównaj nowy log z OTL czy zniknęły wszystkie wpisy VIPRE w sekcjach SRV i DRV):

Ja nic nie widzę, ale Ty też sprawdź, może się mylę (log w załączniku).

1. Test z czystym rozruchem: KB331796 (w zakres wyłączonych wejdą Ad-Muncher oraz TuneUp za wyjątkiem jego sterownika = sterowniki nie są wyłączane w tym stadium). Podaj rezultaty czy wyłączenie usług niedomyślnych ma skutki pozytywne.

Mam to wykonać?

Krok 1. Uruchamianie narzędzia konfiguracji systemu

Kliknij przycisk Start

Przycisk Start

, wpisz polecenie msconfig w polu Rozpocznij wyszukiwanie i naciśnij klawisz ENTER.

 

Kontrola konta użytkownika — zgoda na uruchomienie programu

Jeśli zostanie wyświetlony monit o podanie hasła administratora lub potwierdzenie, wpisz hasło lub potwierdź.

Powrót na górę

Krok 2. Konfigurowanie opcji uruchamiania selektywnego

 

W oknie dialogowym Narzędzie konfiguracji systemu kliknij pozycję Uruchamianie selektywne na karcie Ogólne.

Kliknij, aby wyczyścić pole wyboru Załaduj elementy startowe.

Uwaga Pole wyboru Użyj oryginalnego pliku Boot.ini jest niedostępne.

Kliknij kartę Usługi.

Kliknij, aby zaznaczyć pole wyboru Ukryj wszystkie usługi firmy Microsoft.

Kliknij pozycję Wyłącz wszystko, a następnie kliknij przycisk OK.

Gdy zostanie wyświetlony monit, kliknij przycisk Uruchom ponownie.

 

Powrót na górę

Krok 3. Sprawdzanie, czy problem został rozwiązany

 

Po uruchomieniu komputera spróbuj uruchomić grę lub program, których dotyczył problem, aby sprawdzić, czy problem został rozwiązany.

Jeśli po ponownym uruchomieniu komputera problem nie będzie występować, oznacza to, że zakłócenia były spowodowane przez program lub usługę działające w tle. W takiej sytuacji należy przejść do sekcji "Ustalanie przyczyny problemu".

Jeśli po wykonaniu czystego rozruchu problem będzie nadal występować, oznacza to, że przyczyną zakłóceń nie jest program lub usługa działające w tle. W takiej sytuacji ten artykuł nie umożliwia rozwiązania problemu. Aby dowiedzieć się, jak wrócić do pierwotnego trybu uruchamiania komputera, należy przejść do sekcji "Jak wrócić do trybu normalnego uruchamiania systemu Windows". Następnie należy przejść do sekcji "Następne kroki", aby uzyskać inne zasoby, które mogą ułatwić rozwiązanie tego problemu.

2. Start > Uruchom > devmgmt.msc > w menu Widok włącz pokazywanie ukrytych > czy widać jakieś wykrzykniki lub pytajniki?

Wywaliłem ctfmon.exe z autostartu za pomocą XP AntiSpy, normalnie odznaczając pozycję, pojawia się ona znowu po restarcie

OTL.Txt

Póki co, o zamianie tu nie ma jeszcze mowy. Test z deinstalacją jest po to, by się upewnić czy jest sens dalszej analizy wolnego startu. Jeśli to VIPRE stawia opór, z tym oczywiście nie jestem w stanie nic zrobić.

Za chwilkę odinstaluje, i powiem czy jest ok.

Edit:

Dokładnie to samo, ciekawe co jest winą tego problemu. Może TuneUp, albo Ad Muncher?

Czy VIPRE aktualizował swoje składniki (pod tym pojęciem rozumiem jego sterowniki a nie bazy sygnatur)?

Ja nawet sam nie wiem, kiedy problem zaczął występować, najczęściej po prostu włączam laptop, i nie patrze na niego, po prostu gdzieś na chwile idę, i wtedy gdy wrócę jest wszystko włączone, jednak aktualizowałem cały program ostatnio do nowej wersji (gdzieś tydzień temu).

To BAT, jeśli pliku nie znasz, w Notatniku podglądnij co jest w środku.

Wpisałem w Windows + R "notepad.exe C:\Documents and Settings\x\Dane aplikacji\netstat.bat" i pojawiło się:

"C:\WINDOWS\system32\netstat.exe" -a -o -n > "C:\Documents and Settings\x\Dane aplikacji\netstat.txt" [/Code]

(razem z cudzysłowami)

http://www.sevenforums.com/general-discussion/151278-netstat-exe-running-every-minute-60-seconds.html

Może to coś podobnego

Dziękuję za zainteresowanie się tematem.

Czy masz powody dla założeniu tematu w dziale Malware (diagnostyka infekcji)?

Być może to jakiś wirus cy coś podobnego, ale nie sądzę aby coś było. Zrobie zaraz skanowanie MBAM i Hitman Pro (podam wyniki).

Hitman Pro wykrył Fliqlo.scr w C:\Windows\System32, ale to tylko bezpieczny wygaszacz ekranu, więc go nie usuwam

MBAM jeszcze skanuje, ale chyba to przerwę bo ja zaraz muszę wyłączyć laptopa

Raport dość goły, czytaj: nie mam tu co deaktywować bez uszczerbku dla zainstalowanych aplikacji, które mają działać. Na tym tle w oczy rzuca się rozbudowany serwisowo VIPRE.

Problem wystąpił nagle, jeszcze nie dawno było ok.

Jeśli start systemu jest mozolny, w pierwszej kolejności pod młotek idzie niestety oprogramowanie zabezpieczające, mające silne predyspozycje, by się skłócić z systemem. Aplikacja tego rodzaju nie może być sprawdzona przez proste wyłączenie, gdyż jest to awykonalne = dostępne opcje nie wstrzymują wszystkich aktywności, a ręczna robota jest zupełnie nieopłacalna (szybciej i poprawniej pójdzie de/reinstalacja). Czyli sprawdź wariant z testową deinstalacją.....

Raczej programu nie będę zmieniał, ale może sprawdzę jak będzie przy odinstalowanym.

PS. Co to za pliki (i czy ten "crack" to aby na pewno bezpieczne?):

crack to mój plik, (spakowane przeze mnie archiwum SFX) i nie jest on crackiem, tylko go tak nazwałem

netstat jest czysty: http://www.virustotal.com/file-scan/report.html?id=94516dfba232b3ee06ab9dfc94804e2280993101643c23d90b587a9be0e2c64f-1308808019

Mam jeszcze pytanie, czy to normalne że ESET NOD32 Antivirus 4.2 robi problemy z połaczeniem z internetem na Windows XP? Miałem tak na jednym kompie, a u sąsiada który też go miał spowalniał łączenie z internetem (dopiero po kilku minutach wszystko działało)

Dobry wieczór.

Ostatnio Windows XP, wolno się uruchamia, na początku w tray'u pokazuje się tylko ikonka głośniczka (), a dopiero po jakimś czasie antywirus i TuneUp.

Logi dodałem jako załączniki.

Jeśli nie będę odpowiadał w temacie, proszę go nie zamykać, jestem na wakacjach i nie zawsze mam dostęp do internetu , ale na pewno odpowiem na ten temat .

Pozdrawiam

gmer.txt

OTL.Txt

OTL Extras.Txt

security check - checkup.txt