numlock Opublikowano 5 Września 2012 Zgłoś Udostępnij Opublikowano 5 Września 2012 Komputer stacjonarny na którym system chodzi tragicznie, przeskanowałem go malwarebyte i Nodem, wrzucam loga z malware, niestety system tragicznie chodzi i wyskakuje wiele błędów nie wiem jakiego pochodzenia. Logi Extras.Txt OTL.Txt mbam-log-2012-09-05 (12-39-36).txt Odnośnik do komentarza
picasso Opublikowano 5 Września 2012 Zgłoś Udostępnij Opublikowano 5 Września 2012 W OTL brak oznak infekcji czynnej, są tylko odpadki bez znaczenia dla wydajności. Zabrakło obowiązkowego raportu z GMER. Przed skanem należy zdjąć sterownik emulacji napędów wirtualnych (KLIK): DRV - [2007-12-05 21:52:10 | 000,685,816 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) 1. Doczyść nieprawidłowo usuniętego Kasperskiego posługując się narzędziem Kaspersky Remover. Następnie usuń wszystkie strumienie ADS KAVICHS doklejone przez archaicznego Kasperskiego do plików, np. używając do tego StreamArmor. 2. Odinstaluj adware Conduit Engine, Vuze Remote Toolbar. Powtórz usuwanie Vuze w Firefox w Dodatkach. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2E608F70-C430-4BC5-96F6-608E02EBA5B2} - No CLSID value found. O4 - Startup: C:\Documents and Settings\iza\Menu Start\Programy\Autostart\PowerReg Scheduler.exe () F3 - HKCU WinNT: Run - (Ǜ粑ᒬ) - File not found O8 - Extra context menu item: ÓñČĚŘľ«ÁéĎÂÔŘ(& - Reg Error: Value error. File not found DRV - File not found [Kernel | On_Demand | Stopped] -- c:\Temp\S3chipid.sys -- (S3chipid) DRV - File not found [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\av5flt.sys -- (AvFlt) :Files C:\Documents and Settings\All Users\Dane aplikacji\6F638BCC0001550418D778904A174311 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER. Dołącz log z usuwania OTL z punktu 3 oraz AdwCleaner z punktu 2. Komputer stacjonarny na którym system chodzi tragicznie W takich przypadkach podejrzane jest zawsze oprogramowanie zabezpieczające, tu: ESET NOD32 Antivirus. wyskakuje wiele błędów nie wiem jakiego pochodzenia Jakich? Czy chodzi o BSODy? Sugeruje to Dziennik zdarzeń: [ System Events ] Error - 2012-09-05 05:42:22 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003 Description = Kod błędu 0000007a, parametr 1 c03e9290, parametr 2 c000000e, parametr 3 fa4a45ab, parametr 4 03458860. Error - 2012-09-05 05:42:29 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003 Description = Kod błędu 0000007a, parametr 1 c038428c, parametr 2 c000000e, parametr 3 e10a3250, parametr 4 0b884880. Error - 2012-09-05 05:42:34 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003 Description = Kod błędu 100000d1, parametr 1 fa496328, parametr 2 00000002, parametr 3 00000000, parametr 4 fa496328. Error - 2012-09-05 05:42:40 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003 Description = Kod błędu 0000007a, parametr 1 c02016d0, parametr 2 c000000e, parametr 3 805b4e13, parametr 4 06d73860. Error - 2012-09-05 05:42:45 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003 Description = Kod błędu 1000008e, parametr 1 c0000006, parametr 2 bf806279, parametr 3 f7185b48, parametr 4 00000000. Error - 2012-09-05 05:42:50 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003 Description = Kod błędu 0000007a, parametr 1 c03ea480, parametr 2 c000000e, parametr 3 fa920d48, parametr 4 04ab5860. Error - 2012-09-05 05:42:56 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003 Description = Kod błędu 0000007a, parametr 1 c03858e8, parametr 2 c000000e, parametr 3 e163a004, parametr 4 07703880. Error - 2012-09-05 05:43:04 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003 Description = Kod błędu 100000d1, parametr 1 fa496328, parametr 2 00000002, parametr 3 00000000, parametr 4 fa496328. Error - 2012-09-05 05:43:12 | Computer Name = UBISOFT-BF33B5B | Source = System Error | ID = 1003 Description = Kod błędu 100000d1, parametr 1 fa496328, parametr 2 00000002, parametr 3 00000000, parametr 4 fa496328. . Odnośnik do komentarza
numlock Opublikowano 6 Września 2012 Autor Zgłoś Udostępnij Opublikowano 6 Września 2012 Zamieszczam wszystkie powstałe logi, niestety stream armor mi się wykrzaczał i nie dało nim rady nic zrobić, popróbuje jeszcze z innymi programami bo ten znajdywał oko 2600 w przeciągu 10 sec tych streamów. AdwCleanerS1.txt OTL.Txt 09062012_113059.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 6 Września 2012 Zgłoś Udostępnij Opublikowano 6 Września 2012 Czy to na pewno skan pełny GMER a nie ekspresowy? I skan zrobiony w złym środowisku, widzialny czynny sterownik SPTD, a miał być usunięy. Zamieszczam wszystkie powstałe logi, niestety stream armor mi się wykrzaczał i nie dało nim rady nic zrobić, popróbuje jeszcze z innymi programami bo ten znajdywał oko 2600 w przeciągu 10 sec tych streamów. Strumieni KAVICHS będzie ogromna ilość. Stary Kaspersky doklejał to masowo. 1. Log z Kaspersky Remover kompletnie nieczytelny, wszystko razem sklejone, usuwam wadliwy załącznik. I w logu bez zmian, nadal widać szczątki Kasperskiego, w tym pracujący w tle sterownik: SRV - File not found [Auto | Stopped] -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe -- (kavsvc) DRV - [2005-08-04 16:01:36 | 000,010,995 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\klmc.sys -- (Klmc) Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych urzązeń. Pojawi się sekcja Sterowniki niezgodne z Plug and Play. Na liście szukaj sterownika Kasperskiego do deinstalacji. Po wykonaniu akcji zresetuj system. 2. Poprawkowy skrypt do OTL: :OTL [2011-02-27 16:54:39 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\iza\Dane aplikacji\Mozilla\Firefox\Profiles\424wf5hm.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011-02-27 16:54:42 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\iza\Dane aplikacji\Mozilla\Firefox\Profiles\qih2z3oz.Dorota\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011-02-27 16:54:45 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\iza\Dane aplikacji\Mozilla\Firefox\Profiles\x6hczsyi.Domyślny użytkownik\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} F3 - HKCU WinNT: Run - (Ǜ粑ᒬ) - File not found :Services kavsvc Klmc 3. Zrób nowy log OTL, ale ogranicz go (nie chcę po raz enty oglądać KAVICHSÓW): opcje Usługi + Sterowniki + Rejestr ustaw na Użyj filtrowania, ale wszystkie pozostałe sekcje na Brak oraz wyszukiwanie plików na Żadne. . Odnośnik do komentarza
numlock Opublikowano 7 Września 2012 Autor Zgłoś Udostępnij Opublikowano 7 Września 2012 Dodaje (mam nadzieję że poprawnie wykonane) logi, niestety w dvimgmt.msc (sterowniki nie zgodne z plug and play) nie znalazłem nic dotyczącego kasperskiego więc ręcznie wyrzuciłem jego klucze z rejestru nowe logi: 09072012_143155.txt gmer.txt otl.txt Odnośnik do komentarza
picasso Opublikowano 7 Września 2012 Zgłoś Udostępnij Opublikowano 7 Września 2012 Konsekwentnie podsuwasz mi log z GMER robiony przy czynnym sterowniku SPTD. Ale to już zostaw. Nasuwają się pytania: 1. Co ze strumieniami KAVICHS? Nadal w logu OTL widać detekcję tych staroci. Wszystkie strumienie tego rodzaju należy usunąć. 2. Jaka aktualnie jest kondycja systemu. Czy to nadal ma miejsce: "system tragicznie chodzi i wyskakuje wiele błędów nie wiem jakiego pochodzenia"? niestety w dvimgmt.msc (sterowniki nie zgodne z plug and play) nie znalazłem nic dotyczącego kasperskiego więc ręcznie wyrzuciłem jego klucze z rejestru Akurat część, o którą tu chodziło (sterownik Kasperskiego), wykonał mój skrypt do OTL, w którym zaplanowałam usuwanie obu usług: ========== SERVICES/DRIVERS ==========Service kavsvc stopped successfully!Service kavsvc deleted successfully!Error: Unable to stop service Klmc!Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Klmc deleted successfully. I na dysku nadal jest plik C:\WINDOWS\system32\drivers\klmc.sys. . Odnośnik do komentarza
numlock Opublikowano 8 Września 2012 Autor Zgłoś Udostępnij Opublikowano 8 Września 2012 (edytowane) Wyskakują mi błędy typu "system windows nie może odnaleźć pliku "(w tym miejscu pojawia się kwadracik)" upewnij się czy poprawna nazwa jest poprawna i spróbuj ponownie. Aby sprawdzić bla bla bla" kolejny błąd "nie można załadować lub uruchomić podanego w rejsetrze pliku "(znowu kwadracik)" bla bla" Jest widoczna poprawa w pracowaniu systemu i podejrzewam ze jak na intel pentium III 792mHz i 192 mb ram lepiej już nie będzie, Plik o którym wspomniałeś usunąłem ręcznie, a co do tych strumieni to jeszcze z nimi powalcze Dzięki wielkie za pomoc !! Edit: Wyłączywszy te kwadraciki w msconfigu przestały się pojawiać ich scieżki to software\microsoft\windows nt\currentversion\windows kliknąłem sprzątanie w otl'u na koniec, jeszcze raz wielkie dzięki za pomoc!!! Edytowane 8 Września 2012 przez numlock Odnośnik do komentarza
picasso Opublikowano 8 Września 2012 Zgłoś Udostępnij Opublikowano 8 Września 2012 Apropos "wspomniałeś" = jestem kobietą. Wyskakują mi błędy typu "system windows nie może odnaleźć pliku "(w tym miejscu pojawia się kwadracik)" upewnij się czy poprawna nazwa jest poprawna i spróbuj ponownie. Aby sprawdzić bla bla bla" kolejny błąd "nie można załadować lub uruchomić podanego w rejsetrze pliku "(znowu kwadracik)" bla bla" Ja już usuwałam tu wpis pasujący do "kwadracika", dwukrotnie w skrypcie OTL puszczałam usuwanie linii startowej: F3 - HKCU WinNT: Run - (Ǜ粑ᒬ) - File not found Ostatni log z OTL tego już nie pokazuje. Czy na pewno błąd nadal ma miejsce? Jeśli tak, od nowa: logi z OTL (ale już po usuwaniu strumieni KAVICHS). . Odnośnik do komentarza
numlock Opublikowano 8 Września 2012 Autor Zgłoś Udostępnij Opublikowano 8 Września 2012 Wybacz za moją pomyłkę Te chińskie znaki nie chcą mi się przekopiować i pojawiają mi się tylko kwadraciki także po wyłączeniu tego w msconfigu błąd przestał wyskakiwać więc jest ok Dziękuje jeszcze raz za pomoc i Pozdrawiam ! Odnośnik do komentarza
picasso Opublikowano 8 Września 2012 Zgłoś Udostępnij Opublikowano 8 Września 2012 Te chińskie znaki nie chcą mi się przekopiować i pojawiają mi się tylko kwadraciki także po wyłączeniu tego w msconfigu błąd przestał wyskakiwać więc jest ok Wiem o tym, że kwadracik to tylko kwestia kodowania. Wpis był przeze mnie usuwany, ale skoro Ty jeszcze wyłączałeś w msconfig, to trzeba to usunąć również z msconfig. Podaj skan na wpisy wyłączone. Uruchom SystemLook, do okna wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s Klik w Look. Przedstaw raport wynikowy. . Odnośnik do komentarza
numlock Opublikowano 8 Września 2012 Autor Zgłoś Udostępnij Opublikowano 8 Września 2012 Dodaje loga SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 8 Września 2012 Zgłoś Udostępnij Opublikowano 8 Września 2012 1. Start > Uruchom > regedit i z prawokliku skasuj te dwa klucze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Run 2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 3. Wyczyść foldery Przywracania systemu: KLIK. 3. Aktualizacje: KLIK. Konkretnie tu widać krytyczny poziom aktualizacji Windows oraz starocie: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java 6 Update 2"{325C0D0E-85D9-4841-A274-8D333C0F626E}" = OpenOffice.org 2.0.3"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish"Ad-Aware SE Professional" = Ad-Aware SE Professional"Adobe Flash Player Plugin" = Adobe Flash Player Plugin (wtyczka dla Firefox)"Gadu-Gadu" = Gadu-Gadu 7.7"KLiteCodecPack_is1" = K-Lite Codec Pack 3.5.7 Full"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)"Skype_is1" = Skype 3.0 Windows zaktualizuj, wszystkie archaizmy odinstaluj. Zakreślam tu także: - K-Lite: takie stare kodeki to równa się kłopoty w powłoce explorer.exe. - Ad-Aware SE Professional: nieistniejący już i zupełnie niezdatny w dzisiejszych czasach program. - Gadu-Gadu 7.7: kalekie rozwiązanie (brak obsługi własnej sieci + brak szyfrowania zapewniającego zabezpieczeństwo). Szukając lekkiego (i bezreklamowego), lecz nowoczesnego, zamiennika obejrzyj opis WTW: KLIK. . Odnośnik do komentarza
numlock Opublikowano 8 Września 2012 Autor Zgłoś Udostępnij Opublikowano 8 Września 2012 oki dziękuje wielkie za pomoc Pozdrawiam, miłego weekendu życzę !! Odnośnik do komentarza
Rekomendowane odpowiedzi