xennon

Cześć. Przepraszam za późną odpowiedź, w natłoku obowiązków zapomniałem odpisać. Problem zniknął, temat można zamknąć (a w logach bitdefendra nie znalazłem wpisu o tym, że się nie udało usunąć zagrożenia) Dzięki!

Ściągnąłem jakiś syf z internetu i Bitdefender wykrył trojana. Chciałem wylogować się i zalogować, ale po wylogowaniu zamiast włączenia konta miałem po dłuższym czasie komunikat "Preparing your desktop" czy coś. Ponieważ mi to śmierdziało i długo nic sie nie działo, to zrestartowałem na twardo komputer. Przy uruchamianiu komputera wpierw miałem okno Bitdefendera zanim się system uruchomił, że usuwa infekcje, a na końcu komunikat, że nie mógł usunąć wszystkich infekcji. Potem przy uruchamianiu Windowsa zamiast wczytać się moje konto to mi się uruchomiło jakieś konto tymczasowe, które bardzo długo się uruchamiało. Zrestartowałem jeszcze raz (już normalnie z menu start), znów się długo uruchamiało, ale tym razem na szczęście wczytało się wszystko jak trzeba. Ponieważ wydaje mi się, że wszystko chodzi wolniej i miałem ten komunikat Bitdefendera, że nie usunął wszystkiego, to proszę o sprawdzenie logów. Dzięki! Extras.Txt OTL.Txt Addition.txt FRST.txt Shortcut.txt gmer.txt

Dziękuję bardzo Zaupdate'uję w wolnej chwili soft. Lapek jest bardzo stary, używany tylko do przeglądania sieci oraz office'a przez laika, stąd trochę zaniedbany. Powinienem go raz na jakiś czas wziąć, poinstalować łatki itp Pozdrawiam i życzę milego dnia!

Załączam log z OTL i wyeksportowany events log z NOD32. Chodzilo mi pewnie o to, że to "startup scanner" wykrył tego trojana (pierwsza pozycja). Chyba już jest ok, bo dzisiaj jak uruchamiam już to żadnych ostrzeżeń. Przeklejam fragment loga z NODa: <ESET> - <LOG> - <RECORD> - <COLUMN NAME="Time"> <DATE>2013-02-23</DATE> <TIME>23:48:41</TIME> </COLUMN> <COLUMN NAME="Scanner">Startup scanner</COLUMN> <COLUMN NAME="Object">file</COLUMN> <COLUMN NAME="Name">C:\WINDOWS\System32\Drivers\328283668ce358b1.sys</COLUMN> <COLUMN NAME="Threat">a variant of Win32/Rootkit.Kryptik.SO trojan</COLUMN> <COLUMN NAME="Action">cleaned by deleting - quarantined</COLUMN> <COLUMN NAME="User" /> <COLUMN NAME="Information" /> </RECORD> - <RECORD> - <COLUMN NAME="Time"> <DATE>2013-02-23</DATE> <TIME>18:30:41</TIME> </COLUMN> <COLUMN NAME="Scanner">Real-time file system protection</COLUMN> <COLUMN NAME="Object">file</COLUMN> <COLUMN NAME="Name">C:\System Volume Information\_restore{38427997-5773-4E21-8FD7-5F2325D63EF5}\RP447\A0142986.exe</COLUMN> <COLUMN NAME="Threat">a variant of Win32/Kryptik.ATEG trojan</COLUMN> <COLUMN NAME="Action">cleaned by deleting - quarantined</COLUMN> <COLUMN NAME="User">ZARZĄDZANIE NT\SYSTEM</COLUMN> <COLUMN NAME="Information">Event occurred on a file modified by the application: C:\WINDOWS\system32\svchost.exe.</COLUMN> </RECORD> OTL-02242013_153114.txt

Załączam nowe logi. Tym razem GMER już miał wszystko zaptaszkowane. ESET wykrywa mi jeszcze trojany w system restore (rozumiem, że mam usunąć punkty przywracania systemu?) oraz w system startup (inne trojany). OTL - 02232013_171829.txt OTL.Txt gmer2.txt

Witam drogich specjalistów. Przedstawiam dolegliwości kompa: ESET NOD32 jest wyłączony i raportuje, że ma uszkodzony moduł i żeby przeinstalować go. Wykrywa też rootkita w pamięci. Przy próbie naprawy antywirusa wyskakuje błąd systemowy i nie idzie naprawić. Wszelkie zabezpieczenia systemowe i aktualizacje są wyłączone. Załączam wymagane logi. Przy uruchomieniu gmera wyskoczył dodatkowo błąd, stąd załączam zrzut błędu. Kolejny zrzut już z wynikiem pokazuje opcje, które mogłem zaptaszkować dla pełnego skanu (nie dało się wszystkich). Pozdrawiam! gmer_log.txt gmer_log_quick.txt OTL.Txt Extras.Txt

Wygląda na to, że znalazłem przyczynę - winne są sterowniki Asio4All (http://www.asio4all.com/). Jak tylko przełączę sterownik z Asio4All na natywny od ESI, to pamięć przestaje wyciekać i jak zmienię na ten pierwszy to od razu zaczyna się. Napiszę do nich.

Monitoruję sprawę od tamtego czasu i na 95% wina nie leży po stronie Cubase. Zauważyłem ostatnio ten sam wyciek pamięci używając aplikacji Native Instruments Traktor Pro w ostatniej wersji. Obie te aplikacje są producentów renomowanych marek i istnieją od miesięcy, od miesięcy też ich używałem bez problemów. Zastanawiam się, czy wina może leżeć po stronie wadliwych sterowników do karty dźwiękowej? (ESI Juli@) Mniej więcej w tym samym czasie zaczęły się problemy, co je zaktualizowałem. W skrócie, to jak siedziałem na WinXp 32 bit, to wszystko śmigało ok. Jak się w końcu pojawiły sterowniki pod Win7 64bit, to pojawił się problem, gdy używałem dwóch aplikacji dźwiękowych (np Cubase i Winamp) jednocześnie - częstotliwość próbkowania nie była automatycznie zmieniana i np w Winampie wszystko grało szybciej/wolniej w zależności od ustawień w Cubase (pod Win Xp 32bit automatyczna zmiana próbkowania działała b. dobrze). Na tych samych sterownikach, mając 2 aplikacje dźwiękowe korzystające z ASIO (np Cubase i Traktor) przy próbie odtworzenia dźwięku w jednej z aplikacji lub przy zamykaniu jednej z nich pojawiał się BSOD z info, że fault module to Jula.sys. W kooońcu po wieeeelu miesiącach wstawili nową wersję sterowników, która w "sprytny" sposób omija problem, bo po prostu blokuje dostęp do karty drugiej aplikacji (niezbyt eleganckie, ale przynajmniej nie ma BSODów...). Zanim pojawiła się ta "elegancka" wersja sterowników zainstalowałem sobie ASIO4All, które nie ma problemów ze stabilnością (choć też są mniej wydajne i nie radzą sobie z nagrywaniem dźwięku z zewnątrz). Podsumowując mam najnowszą wersję sterowników z http://download.esi-audio.com/?w=esi&p=6&g=1&l=en (http://download.esi-audio.com/?w=esi&p=6&g=1&l=en), sterowniki z BSODem to Juli@-x2v-v1_07.zip. Jest jeszcze wersja Juli@-x2v-v1_11.zip, której nie próbowałem jeszcze. Nie chcę narazie nic mieszać, póki nie mam pewności, że to jest problemem. Z drugiej strony pisałem wcześniej do supportu w sprawie wadliwych sterowników z BSODem, ale feedback supportu był... niezbyt pomocny. Powracajac jeszcze do wycieków w Traktorze, to chyba było tak, że miałem wpeirw odpalonego Cubase (bez wycieków), potem jednocześnie Traktora i Cubase, potem samego Traktora (tu zauważyłem wyciek, który znikał po wyłączeniu Traktora i po jego włączeniu). Komplikując sprawę jeszcze bardziej opiszę inną rzecz, która być może ma z tym związek, bo mniej więcej w tym samym czasie się pojawiła. Mianowicie mniej więcej od tego samego czasu pojawił się problem ze "świecącymi pikselami" na ekranie. Efekt jest taki, jakby piksele reprezentujące dany kolor migały (jak bad piksele), ale nie są to bad piksele, bo przesuwanie obrazka powoduje przesuwanie migających pikseli. Nie dzieje się to zawsze, samo się "naprawia" w losowy sposób. Raz np zauwazyłem mając ten defekt ekranu, że chłodzenie GPU zaczęło głośno chodzić, po czym pasek zadań przestał być przezroczysty (zrobił się szary), po czym znów przezroczysty i migające piksele wtedy znikły. Działo się to też chyba tylko wewnątrz okna Opery (teraz się nie dzieje, więc nie sprawdzę). Ciężko to dobrze opisać wszystko, bo za dużo zmiennych... Pozdrawiam.

Cześć, Od kilku dni mam problem wycieków pamięci. Wszystko zaczęło się bodajże wtedy, gdy zainstalowałem wtyczkę "try before buy" do programu Cubase 6 (legalny). Po 30-60 minutach używania Cubase, komputer zaczyna bardzo wolno chodzić, a dysk pracuje non stop. Okazuje się po spojrzeniu na menadżer zadań, że całą pamięć jest zjedzona. Na liście procesów nie ma żadnego, który wskazywał by na tak duże zużycie pamięci. Wszystko trafia do sekcji Kernel/nonpaged. Cubase (a mam go od kilku miesięcy i do tej pory nie sprawiał problemów) potrafi się zawiesić na dobre, a strony mogą się nie chcieć otworzyć. Jedynym rozwiązaniem jest restart systemu (czasem po zjedzeniu pamięci trwa to tak długo, że resetuję na sztywno przyciskiem). Prawie bankowo chodzi tu o samego Cubase, ale nie jestem pewien czy to wtyczka sama w sobie jest problemem czy może coś co chodzi przez nią w tle, a zostało poza nią doinstalowane. Odpaliłem Cubase teraz zaraz po świeżym uruchomieniu komputera i tez mi zaczęło zżerać pamieć (co 1 sekundę trafia 1 MB do kernela, mimo, że zupełnie nic nie robię w samym Cubase). Jeżeli to coś pomoże: pierwsza wersja try before buy, którą próbowałem zainstalować działała na bazie emulacji softu licencyjnego Syncrosoft, który jednak nie chciał działać (error przy próbie jego uruchomienia), więc odinstalowałem emulację + wtyczkę i zainstalowałem nowszą wersję tej wtyczki, która wspomnianej emulacji nie wymaga. U mnie z kolei chodzi soft licencyjny cały czas (eLicenser Control Center potrzebny do Cubase). Załączam dwa zestawy logów: jeden z włączonym Cubasem (w momencie, gdy pamięć jest zżerana, z dopiskiem _Cubase), drugi bez niego. Z góry dziękuję za poświęcony czas. OTL_Cubase.Txt Extras_Cubase.Txt

Ok, dziękuję, wyczyszczone. W razie problemów będę się odzywał Pozdrawiam i życzę miłego dnia!

Uruchomiłem skanowanie raz jeszcze (bez reinstalacji), tym razem z opcją jako administrator (czego do tej pory nigdy nie musiałem robić, zresztą na tym komputerze jest tylko 1 konto i to z uprawnieniami administratora). Coś wykryło tym razem. Załączam logi. Pozdrawiam! AVSCAN-20120709-121650-F731D249.txt

Dzięki za cynk z Gmerem i HjT. W oknie skanowania wygląda to tak, że pokazuje mi ostatnią przeskanowaną rzecz (C:\Program Files (x86)\Avira\Antivir Desktop\sched.exe) oraz, że obecnie skanuje rejestr. O ile po pokazaniu info, że skanuje rejestr wciąż dysk mieli, to po paru minutach przestaje i nic się więcej nie dzieje. Załączyłem dziennik, który się pokazuje po tym, jak w końcu wcisnę Stop. Edit: MBAMem bez problemu przeskanował rejestr (nic nie wykrył). AVSCAN-20120704-124505-9DEB05A4.txt

Cześć, Ponieważ miałem problemy z odtworzeniem DVD, zainstalowałem na próbę AnyDVD w wersji z torrentów. Ponieważ główny plik exe otwierał customowy instalator grupy crackerskiej i działo się to dość długo, postanowiłem po instalacji przeskanować antywirusem na wszelki wypadek system. Niestety nie idzie tego zrobić, na etapie "skanowanie rejestru" skan się zawiesza (tzn nic się nie dzieje, mogę zatrzymać skanowanie z poziomu antywirusa choć samo zatrzymanie też długo trwa). Do tej pory działał skaner bez zarzutów. Prewencyjnie zrobiłem logi z OTL. Proszę o sprawdzenie. Dziękuję z góry. OTL.Txt Extras.Txt

Poinstalowane. Teraz trochę zabawy w zmiany haseł, bo trochę ich jest, w tym do banku... Jeszcze raz dzięki. Życzę miłego dnia i samych sukcesów w potyczkach z infekcjami. Bylem tylko nie musiał być sekundantem

Kaspersky nie wykrył zagrożeń. Rozumiem, że to finito. Dziękuję serdecznie, wiszę Ci nieeezłe piwo :-)

Wygląda na to, że działają. Swoją drogą muszę włączyć przywracanie systemu, nie chce mi się wierzyć, że świadomie wyłączyłem kiedyś :-) Edit, a nie jednak jest włączony system restore... Edit2: nie wiem, czy to zamyka sprawę, więc nie mówię "hop". póki co jednak zwijam się, bo za 5.5 godz pobudka. Zajrzę tu przed południem pewnie. :-) FSS.txt

Tak. Usunąłem ręcznie ten plik i katalog. Sprawdziłem po zalogowaniu się i ani widu ani słychu po nich (w sensie "fizycznie" odwiedziłem lokacje na dysku szukając ich).

W sensie jak odpaliłem notepada i chciałem niby otworzyć jakiś plik, to partycja z systemem Windows 7 pokazała się jako G. Mam jeszcze Windows XP 64bit i to partycja z tym systemem pokazała się jako C. Chyba więc FRST zostało wprowadzone w błąd :-) Dokładnie rzecz biorąd to FRST nagrane jest na kartę pamięci microSD, która siedzi w adapterze podpinanym pod USB. Typowego pendrive'a nie mam w tej chwili pod ręką. Btw, od razu pokazała mi się EULA, nie było żadnych ukrytych partycji.

partycja systemowa została zmapowana na G. podejrzałem log działania programu jeszcze w WinRe i zobaczyłem, że nie znaleziono plików do usunięcia. Podmieniłem więc w fixlist.txt ścieżki zmieniając dysk z C na G, ale wynik jest ten sam (dalej szuka na C) Fixlog.txt

Przy pierwszym skanie Combofixem po wciśnięciu OK (że Avira chodzi) miałem "niewiele" mówiący komunikat błędu. Po wciśnięciu OK Combofix ruszył dalej. Sądziłem, że to wina Aviry. Tym razem jednak znów ten sam błąd był. Wrzucam screenshota, choć niewiele jest do pokazania... http://www.fotosik.p...54ff97f9cd.html ComboFix.txt

Sorki. Dziwna sprawa, odfaktowałem wszystkie komponenty Aviry poza samą Avirą a Combofix dalej pokazuje, że ochrona rezydentna jest aktywna

Kliknąłem prawym na trayu aviry i odhaczyłem "Realtime protection enable", parasol się złożył. Niemniej Combofix faktycznie wskazał, że Avira jest włączona. Przejrzałem opcje Aviry, ale nie znalazłem jeszcze jakiejś innej, więc odpaliłem ComboFixa mimo to. Teraz jak daję podwójny klik na traya to mam komunikat OnDblClick() failed. Jednak odpalone z menu start działa i tam wyłączyłem Avirę - efekt taki sam - parasol się złożył. Mimo to dalej Combofix pokazuje, że Avira jest włączona. Nie wciskam OK jednak i pozostawiam dialog otwarty w międzyczasie szukając jak to ustrojstwo jeszcze można wyłączyć "bardziej" :-) Aha - po restarcie Avira się faktycznie włączyła sama (parasol otwarty). Może ją odinstaluję i wtedy uruchomię Combofixa? update: restart nie pomógł, jedyna zmiana, to że dwuklik na trayu już działa :/ dodam też, że sprawdziłem i ten consrv.dll siedzi dalej w system32. może go ręcznie usunąć? nie odpalałem combofixa raz jeszcze przez ten komunikat o Avirze :/

Oto i on. ComboFix.txt

Proszę, o to i logi. FSS.txt OTL4.Txt

Cześć, Oryginalny wątek znajduje się pod linkiem http://forum.pcformat.pl/Przekierowania-na-mediashifting-com-t Wygląda na to, że stałem się kolejną ofiarą ZeroAccess. Po przeczytaniu zasad forum, odinstalowałem DaemonTools wraz ze sterownikiem. Niestety nie udało mi się usunąć go z rejestru do końca. RegDelNull nie wykrył żadnych kluczy zerowych. SWReg po wskazaniu ścieżki stwierdził, że nie jest to klucz zerowy. Metoda zmiany uprawnień również zawiodła - w kroku 4tym dostałem komunikat, że nie udało się podmienić właściciela dla części z podkluczy (nie próbowałem każdego z osobna ustawiać, tylko na folderze stpd). Załączam najświeższe logi z OTL, po odinstalowaniu częściowym sterowników. Extras3.Txt OTL.3Txt.txt