kasper93

Pozwolę sobie zapytać, bo ostatnio się zastanawiałem. Jakim kanałem rozprzestrzenia się ten ukash? Ogromna fala jest aktualnie, a z powietrza się to nie bierze... Z internetu, ale skąd? Wiem naiwne pytanie

Dziękuje. Oczywiście hasła zmienię, ale mam też nadzieje, że dużo danych nie wyszło "na zewnątrz".

Temat można zamknąć.

Pozdrawiam

EDIT:

Jeżeli chodzi o ten plik

[2012-03-02 20:18:55 | 000,005,046 | ---- | M] () -- C:\ProgramData\mxnhytee.feu

jest on tworzony podczas uruchamiania wersji testowej ProgDVB Pro i najprawdopodobniej ma związek właśnie z okresem testowym. W każdym bądź razie można uznać ten plik jako bezpieczny i jeżeli używamy ProgDVB to nie trzeba się nim przejmować.

Logi:

OTL.Txt

Extras.Txt

Przy okazji, sprawdź czy cały katalog C:\Windows\SysWOW64\windir jest na pewno skasowany.

Dzięki wielkie za pomoc, bo chyba już tylko pozostało sprzątanie po OTL

Szczerze mówią nie kojarzę tych plików, ale najprawdopodobniej sam jest stworzyłem wklepując coś tam w konsole. Natomiast dziwne, że są puste, tak samo jak te .mkv bo pewnie chciałem coś tam zapisać, ale widocznie to wyniki literówek w komendzie. Usunąłem te pliki.

Proszę oto logi:

03022012_180857.log

OTL.Txt

Extras.Txt

EDIT:

Mam jeszcze pytanie, od czego jest ten driver?

DRV - [2007-12-22 15:41:18 | 000,013,880 | ---- | M] (Zeal SoftStudio) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\zntport.sys -- (zntport)

Wczoraj, a właściwie dzisiaj w nocy zauważyłem dziwny proces, mianowicie svchost.exe, ale w złym folderze i uruchamiający proces firefoxa, ale okno się nie pojawiało. O dziwo pierwszy raz pojawił się w C:\Windows\SysWOW64\windir\ (lub coś obok, bo nie pamiętam ) i spróbowałem go ręcznie usunąć to oczywiście się odtworzył po chwili. Zainstalowałem kasperskiego jako, że akurat nie miałem antivirusa :| I nawet po przeskanowaniu nie wykrył tego pliku jako zagrożenie, ale sam plik po usunięciu już się nie odtworzył, było późno to poszedłem spać i dzisiaj po włączeniu komputera wszystko wyglądało ok, ale kaspersky po ok 40 minutach znalazł %appdata%\windir\svchost.exe i tym razem wykrył go jako Net-Worm.Win32.Kolad.azgu (wczoraj pewnie też już tam był). Koniec historyjki.

No i teraz prośba do was o sprawdzenie logów na wypadek, gdyby te pliki były tylko czubkiem góry lodowej, bo jest bardzo możliwe, że coś głębiej siedzi i tylko tworzy te pliki.

OTL.Txt

Extras.Txt

Niestety nie mogę stworzyć loga z tej aplikacji, po chwili od uruchomienia wyskoczył błąd:

Szczegółowe informacje na temat wywoływania debugowania w trybie JIT (just in time)

Podobny błąd "Interfacje: klasa niezarejestrowana" wyskakuje gdy próbuje sprawdzić zależności usług...

Niestety http://support.microsoft.com/kb/899965 nie ma u mnie zastosowania bo w dcomcnfg nie ma tej klasy (może to jest problem):

screen z dcomcnfg

HKEY_CLASSES_ROOT\CLSID\{89115307-8248-448f-ADA0-F3F3718A9B2A}

HKEY_CLASSES_ROOT\Wow6432Node\CLSID\{89115307-8248-448f-ADA0-F3F3718A9B2A}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{89115307-8248-448f-ADA0-F3F3718A9B2A}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{89115307-8248-448f-ADA0-F3F3718A9B2A}

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{89115307-8248-448f-ADA0-F3F3718A9B2A}

APPID = {F135BE18-BF34-4CBD-B1D5-55D49F0DEDCC} według resetru, ale w błędzie jest "niedostępny". Zmierzam do tego, że ani w dcomcnfg ani w screen z HKEY_CLASSES_ROOT\AppID nie ma takiej klasy, zresztą nic tu nie ma, a wydaj mi się, że powinno być trochę więcej... W między czasie doszedł błąd taki sam, tylko z klasą {1BE1F766-5536-11D1-B726-00C04FB926AF} , ale sytuacja wygląda tak samo jak z tą wcześniej...

EDIT:

Przeanalizowałem cały wczorajszy dzień i co robiłem itd. Po jakimś czasie mnie olśniło i przypomniałem sobie, że usuwałem PDVD w revo uninastaller i to właśnie ten program był winowajcą. Kurcze przeglądałem co usuwam, ale chyba za słabo (zmęczenie) bo wywaliłem 2000 wpisów z rejestru ;/ No cóż na szczęście autorzy programu przewidzieli, że pojawią się tacy pacani jak ja i usuwane klucze są backupowane. Przywróciłem i wszystko wróciło do normy. Dziękuje Flavius za pomoc, bo bez niej nie doszedłbym czego brakuje i czym mogło się to usunąć A ja muszę bardziej uważać na przyszłość.

Niestety coś namieszałem i musicie mi pomóc odkręcić. Zaczęło się od odinstalowania powerdvd10, później zobaczyłem, że pełno filtrów directshow zostało po nim (oczywiście nie działające, ale w MPC-HC były widoczne.) Odpaliłem jakąś aplikacje do przeglądania tych filtrów (nic nie robiłem w niej...) i teraz największy pech, o ile można to tak nazwać. Pisałem coś w przeglądarce i po zakończeniu kliknąłem enter równocześnie spoglądając na ekran (przy pisaniu nie patrzyłem) i zobaczyłem jakieś znikające okienku, pewnie cholera coś zaakceptowałem i usunąłem... Wydaje mi się, że to jest przyczyną, ale może to coś zupełnie innego.

W dzienniki sypie takimi błędami, nie działa dźwięk, i cały system zachowuje się "niepoprawnie" wyświetla się ikonka o braku połączenia sieciowego, mimo, że ono działa, nie dział sfc /scannow i pewnie jest tego więcej, ale nie chcę się denerwować. Mój system to windows 7 64bit. Pewnie powiecie po co grzebałem i racja, ale to był wypadek przy pracy...

Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury CoCreateInstance.  hr = 0x80040154, Klasa niezarejestrowana.
. 

Operacja:
  Subskrybowanie modułu zapisującego

Kontekst:
  Identyfikator klasy modułu zapisującego: {a6ad56c2-b509-4e6c-bb19-49d8f43532f0}
  Nazwa modułu zapisującego: WMI Writer
  Identyfikator wystąpienia modułu zapisującego: {061ca4ca-6c19-4c91-a8fe-5a09715baa9c}

Podczas wewnętrznego przetwarzania system zdarzeń modelu COM+ wykrył zły kod powrotny. Wynik HRESULT: 80070005 z wiersza 200 z d:\w7rtm\com\complus\src\events\tier2\service.cpp. Tego ostrzeżenia można się spodziewać, jeśli komputer ma mało zasobów. Jeśli komputer nie ma małej ilości zasobów, a te ostrzeżenia się powtarzają, może to wskazywać na problem obecny w systemie zdarzeń modelu COM+.

Usługa Usługa powiadamiania o zdarzeniach systemowych zależy od usługi System zdarzeń COM+, której nie można uruchomić z powodu następującego błędu: 

Operacja ukończona pomyślnie.[/codeplain]

Znalazłem http://akadmin.blogspot.com/2011/02/event-id-4609-com-event-system-unable.html ale nie wiem jak to się ma do mojego systemu, po za tym nie mam zdrowego systemu żeby porównać... Mam nadzieję, że mi pomożecie, bo to nie wygląda na skomplikowany problem, a bardzo bym nie chciał reinstalować systemu ;/

Witam,

Tak jak w temacie mam problem z defragmentacją $MFT. Zabrałem się za defragmentacje partycji systemowej, cóż czasem trzeba. Całą operacje przeprowadziłem w oo defrag 14 pro. Po zakończeniu wszystko było ładnie tylko pagefile i $mft był nadal pofragmentowany, ustawiłem defragmentacje podczas startu systemu, ale oo defrag nie zrobił nic. Nadal pofragmentowane. pagefile chwilowo usunąłem, po przywróceniu jest w całości, lecz nadal pozostaje sprawa $mft. Ściągnąłem darmowy defragmentator puran i on z pięciu fragmentów zrobił dwa i bardziej się nie da.

Analiza w dafragu systemowym:

Główna tabela plików (MFT):
       Rozmiar MFT                    = 306,50 MB
       Licznik rekordów MFT            = 313855
       Użycie MFT                   = 100%
       Całkowita liczba fragmentów MFT         = 2

Ogólnie w "clusters view" wygląda tak:

http://dl.dropbox.com/u/16282309/fixitpc/oo.png

na początku widzimy reserved for mft i na środku to pofragmentowane pole(czerwone) to $MFT.

Sprawdzałem partycje i nie było żadnych błędów w chkdsk.

Wszystkie wskazówki mile widziane.

EDIT

Stworzyłem kilkaset małych plików co rozszerzyło trochę MFT i przy następnej próbie defragmentacji udało się.

Przepraszam za temat...

Witam,

Mam problem instalacją SP1. Kod błędu 80070570. Zastosowałem to http://support.microsoft.com/kb/971058 narzędzie w trybie agresywnym oraz http://www.thewindowsclub.com/repair-fix-windows-updates-with-fix-wu-utility . Niestety nie pomogło.

Przeglądając inne tematy widziałem, że prosicie o cbs.log, za chwilę go zamieszczę.

EDIT:

Za którymś razem z kolei, zadziałało. Przepraszam za przedwczesne napisanie tematu.

Jedyne co zauważyłem dziwnego to po zastosowaniu msfix system się dłużej ładuje, ale będzie trzeba z tym żyć.

Pozdrawiam.

Ps. Temat do kosza...

Dobra, zrobione w trybie awaryjnym, ale niestety nie rozwiązało to problemu. Zdaje sobie sprawę, że wyłączenie usługi pomoże, ale przydaje się indeksowanie, bo często czegoś szukam. Jakieś inne propozycje?

Chodzi o pod punkt "RESET METADANYCH TRANSAKCJI"? Już się zabieram...

W podglądzie zdarzeń pojawiły się trzy występujące razem błędy usługi wyszukiwania.

Nazwa dziennika:Application
Źródło:        Microsoft-Windows-Search
Data:          2010-10-28 23:04:29
Identyfikator zdarzenia:3006
Kategoria zadania:Program zbierający
Poziom:        Błędy
Słowa kluczowe:Klasyczny
Użytkownik:    Nie dotyczy
Komputer:      Domek
Opis:
Nie można zainicjować monitorowania wydajności dla usługi zbierającej, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.

Kod XML zdarzenia:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
   <Provider Name="Microsoft-Windows-Search" Guid="{CA4E628D-8567-4896-AB6B-835B221F373F}" EventSourceName="Windows Search Service" />
   <EventID Qualifiers="49152">3006</EventID>
   <Version>0</Version>
   <Level>2</Level>
   <Task>3</Task>
   <Opcode>0</Opcode>
   <Keywords>0x80000000000000</Keywords>
   <TimeCreated SystemTime="2010-10-28T21:04:29.000000000Z" />
   <EventRecordID>40546</EventRecordID>
   <Correlation />
   <Execution ProcessID="0" ThreadID="0" />
   <Channel>Application</Channel>
   <Computer>Domek</Computer>
   <Security />
 </System>
 <EventData>
   <Data Name="ExtraInfo">
   </Data>
 </EventData>
</Event>

Nazwa dziennika:Application
Źródło:        Microsoft-Windows-Search
Data:          2010-10-28 23:04:29
Identyfikator zdarzenia:3007
Kategoria zadania:Program zbierający
Poziom:        Błędy
Słowa kluczowe:Klasyczny
Użytkownik:    Nie dotyczy
Komputer:      Domek
Opis:
Nie można zainicjować monitorowania wydajności dla obiektu programu zbierającego, ponieważ liczniki nie są załadowane lub nie można otworzyć obiektu pamięci współużytkowanej. Wpływa to tylko na dostępność liczników monitora wydajności. Uruchom ponownie komputer.

Kontekst: aplikacja , wykaz SystemIndex

Kod XML zdarzenia:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
   <Provider Name="Microsoft-Windows-Search" Guid="{CA4E628D-8567-4896-AB6B-835B221F373F}" EventSourceName="Windows Search Service" />
   <EventID Qualifiers="49152">3007</EventID>
   <Version>0</Version>
   <Level>2</Level>
   <Task>3</Task>
   <Opcode>0</Opcode>
   <Keywords>0x80000000000000</Keywords>
   <TimeCreated SystemTime="2010-10-28T21:04:29.000000000Z" />
   <EventRecordID>40547</EventRecordID>
   <Correlation />
   <Execution ProcessID="0" ThreadID="0" />
   <Channel>Application</Channel>
   <Computer>Domek</Computer>
   <Security />
 </System>
 <EventData>
   <Data Name="ExtraInfo">

Kontekst: aplikacja , wykaz SystemIndex
</Data>
 </EventData>
</Event>

Nazwa dziennika:Application
Źródło:        Microsoft-Windows-Search
Data:          2010-10-28 23:04:31
Identyfikator zdarzenia:10021
Kategoria zadania:Usługa wyszukiwania
Poziom:        Błędy
Słowa kluczowe:Klasyczny
Użytkownik:    Nie dotyczy
Komputer:      Domek
Opis:
Nie można uzyskać informacji rejestru licznika wydajności dla elementu WSearchIdxPi w wystąpieniu   z powodu następującego błędu: Operacja ukończona pomyślnie.   0x0.
Kod XML zdarzenia:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
 <System>
   <Provider Name="Microsoft-Windows-Search" Guid="{CA4E628D-8567-4896-AB6B-835B221F373F}" EventSourceName="Windows Search Service" />
   <EventID Qualifiers="32768">10021</EventID>
   <Version>0</Version>
   <Level>2</Level>
   <Task>1</Task>
   <Opcode>0</Opcode>
   <Keywords>0x80000000000000</Keywords>
   <TimeCreated SystemTime="2010-10-28T21:04:31.000000000Z" />
   <EventRecordID>40553</EventRecordID>
   <Correlation />
   <Execution ProcessID="0" ThreadID="0" />
   <Channel>Application</Channel>
   <Computer>Domek</Computer>
   <Security />
 </System>
 <EventData>
   <Data Name="Driver">WSearchIdxPi</Data>
   <Data Name="InstanceName">
   </Data>
   <Data Name="InstanceNum">
   </Data>
   <Data Name="ErrorMessage">Operacja ukończona pomyślnie.   0x0</Data>
 </EventData>
</Event>

Co można z tym zrobić? Znalaźłem to na stronie Microsoftu, ale niestety dużo nie pomogło. Mam wstawić ten raport z prefmon'u, o którym piszą w linku? A i sorry za taki tytuł, ale nie mogłem bardziej odpowiedniego wymyślić.

Pozdro

Tego to akurat nie powinieneś ruszać bo to nie ma związku z infekcją.

Ach, bo ja czasem nie przemyśle co robię. Zmyliło mnie, że autoruns nie zweryfikował podpisu i było dwa razy wpisane z różnymi opisami. Od czego to dll? I jakie powinny być prawidłowe wpisy i skąd pobrać to dll. (dużo w google, ale nie wiem czemu ufać)

Logi wyglądają na czyste, ale trzeba jeszcze wykonać parę rzeczy dla pewności.

 

1. Start > Uruchom > regedit i w kluczu:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

Dwuklik na wartość Startup i zamieniasz ciągi wklepując %USERPROFILE%\Menu Start\Programy\Autostart

Już wcześniej wykonałem tę operację, przy pozbywaniu się foldery "My Application"

2. Sporządź log z Gmer na takim ustawieniu:

 

Rootkit >>> zaznaczyć tylko Usługi >>> zaznaczyć Pokaż wszystko >>> Szukaj >>> Zapisz

W załączniku.

u-gmer.txt

Witam,

Dorwałem komputer na którym jestem średnio co kilka miesięcy i zabrałem się za czyszczenie itp... I zamiast usunąć jeden pliczek, odpaliłem go. ;/ No nieważne...

Złapałem i pozbyłem się pliku "Windows Defender Apps Control.exe" i folderu w którym był, który się opierał podobnie jak w temacie [sE]/Rootkit-Windows-Defender-Apps-Controlexe-t136845.html

Myślałem, że to wszystko, ale przy przeglądaniu autoruns'a zauważyłem c:\windows\system32\LMRTREND.dll usunąłem plik i wywaliłem z

HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance

No i teraz chciałbym, abyście zidentyfikowali czy coś jeszcze "niedobrego" siedzi.

Chwilowo nie ma AV bo się licencja skończyła, więc nie krzyczeć, najpierw chce się pozbyć infekcji, później zainstaluje AV.

gmer.txt

Extras.Txt

OTL.Txt

Dzięki, za pomoc. Zobaczymy jeżeli się powtórzy to będziemy walczyć. Na razie jest dobrze. Temperatury mam w normie. Wszystko jest dobrze wietrzone, a temperatury są na bieżąco monitorowane coretemp+smartgurdian+msi afterburner. Zobaczymy, myślałem, że to dysk, ale przetestowałem całą macierz i żadnych błędów.

Jednak szczerze wydaje mi się, że problemem była myszka i źle wciśnięte USB. Bo po BSOD jak pisałem tego posta myszka mi się "zacięła", ale komputer działał bo migał kursor, poprawiłem kabel i wygląda na to, że jest dobrze. Ale nie chce zapeszać.

Kurcze mały gryzoń, a tyle problemów

BTW: Jest jakiś szybko sposób na sprawdzenie S.M.A.R.T w dyskach spiętych w RAID0? Jakiś BOOT CD, który to olewa? Czy trzeba rozpiąć RAID'a?

@deFco247 Zawiera krzaczki bo trzeba rozszerzenie zmienić... No chyba, że coś się źle wgrało...

Ale mniejsza, zrobiłem tak jak pisałeś - pliczek był jeden i log b=jest krótki to wstawiam:

==================================================
Dump File         : 070910-16988-01.dmp
Crash Time        : 2010-07-09 13:13:00
Bug Check String  : MACHINE_CHECK_EXCEPTION
Bug Check Code    : 0x0000009c
Parameter 1       : 00000000`00000000
Parameter 2       : fffff880`0396cb70
Parameter 3       : 00000000`00000000
Parameter 4       : 00000000`00000000
Caused By Driver  : hal.dll
Caused By Address : hal.dll+126e0
File Description  : 
Product Name      : 
Company           : 
File Version      : 
Processor         : x64
Computer Name     : 
Full Path         : C:\Windows\Minidump\070910-16988-01.dmp
Processors Count  : 4
Major Version     : 15
Minor Version     : 7600
==================================================

hal.dll jest od pamięci RAM, tak? Mam gdzieś na płycie memtesta to mogę przelecieć...

Witam,

Niestety dzisiaj wywaliło mi BSOD'a i chciał bym się upewnić co jest powodem.

Podpis problemu:
 Nazwa zdarzenia problemu:	BlueScreen
 Wersja systemu operacyjnego:	6.1.7600.2.0.0.256.1
 Identyfikator ustawień regionalnych:	1045

Dodatkowe informacje o problemie:
 BCCode:	9c
 BCP1:	0000000000000000
 BCP2:	FFFFF8800396CB70
 BCP3:	0000000000000000
 BCP4:	0000000000000000
 OS Version:	6_1_7600
 Service Pack:	0_0
 Product:	256_1

Pliki pomagające opisać problem:
 C:\Windows\Minidump\070910-16988-01.dmp
 C:\Tmp\WER-26176-0.sysdata.xml

Przeczytaj w trybie online nasze zasady zachowania poufności informacji:
 http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0415

Jeśli zasady zachowania poufności informacji w trybie online nie są dostępne, przeczytaj nasze zasady zachowania poufności informacji w trybie offline:
 C:\Windows\system32\pl-PL\erofflps.txt

Wiem, że "9c" to hardware problem czyli coś ze sprzętem, tylko pomóżcie zidentyfikować z czym dokładnie. No mam jednego kandydata, ale BARDZO bym nie chciał, żeby to było to co myślę...

Jeszcze tylko mój sprzęt:

Płyta główna: DFI LanParty UT X58-T3eH8 
Procesor: i7 920 
Pamięć RAM: DDR3 G.SKILL TRIDENT 3x2 GB 1600MHZ CL6 
Karta graficzna: Szafirek HD5870 
Zasilacz: Corsair HX750 
Dysk twardy: 2xSamsung SpinPoint F3 HD502HJ (RAID0) 
Napęd optyczny: NEC AD-7240S 
System operacyjny: Windows 7 64bit

Pozdro

EDIT

Zapomniałem napisać: BSOD wyskoczył podczas słuchania muzyki, przeglądania internetu i pobierania jakiegoś pliku. Czyli praktycznie w IDLU - tylko dysk się mógł męczyć, ale one muszą być sprawne!! (oby)

EDIT2

Załączniki usuwam, bo i tak są ze zmienionym rozszerzeniem. Jeżeli się powtórzy problem zamieszczę świeże pliki na jakiś hosting plików.

Nie ma co instalować starego, nie wspieranego systemu jakim jest win 98. Większość gier, odpalisz na XP, tryb zgodności jest pomocny. Jeżeli jakieś tytuły nie będą działać to można, tak jak kolega wyżej mówił, użyć DOSbox'a. Jest też drugie rozwiązanie (lepsze moim zdaniem), jako że gry niedziałające na XP będą raczej mało wymagające sprzętowo można postawić 98 na maszynie wirtualnej. http://www.microsoft.com/windows/virtual-pc/ od M$, będzie działać nawet na CPU nie obsługującym wirtualizacji.