Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Spowolnienie systemu,znaleziony Trojan.Win32.Yakes.rfp-->solidcore32.dll

marcin3595p

Przez marcin3595p
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

marcin3595p

marcin3595p

Opublikowano
Opublikowano

Witam!

Po instalacji gry znaleziony przez Kaspersky Trojan.Win32.Yakes.rfp oraz plik solidcore32.dll. Usunięty dopiero po kilku próbach. Natomiast to co pozostało to spowolnienie pracy systemu objawiające się długim startem aplikacji, a widoczne szczególnie podczas gry kiedy to okresowo aplikacja zaczyna niemiłosiernie szarpać. Dodatkowo podczas pracy GMER wystąpił niebieski ekran, niestety nie zdążyłem zapamietać kodu błędu.

 

 

GMER 2.0.18454 - http://www.gmer.net

Rootkit scan 2013-02-02 14:24:59

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\00000066 ST325031 rev.4.AA 232,88GB

Running: owpv5znt.exe; Driver: C:\Users\Tadek\AppData\Local\Temp\uxldipow.sys

 

 

---- User code sections - GMER 2.0 ----

 

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExW + 17 0000000075271401 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!EnumProcessModules + 17 0000000075271419 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 17 0000000075271431 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 42 000000007527144a 2 bytes [27, 75]

.text ... * 9

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!EnumDeviceDrivers + 17 00000000752714dd 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameA + 17 00000000752714f5 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSetEx + 17 000000007527150d 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetDeviceDriverBaseNameW + 17 0000000075271525 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameW + 17 000000007527153d 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!EnumProcesses + 17 0000000075271555 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetProcessMemoryInfo + 17 000000007527156d 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetPerformanceInfo + 17 0000000075271585 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!QueryWorkingSet + 17 000000007527159d 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetModuleBaseNameA + 17 00000000752715b5 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetModuleFileNameExA + 17 00000000752715cd 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 20 00000000752716b2 2 bytes [27, 75]

.text C:\Program Files (x86)\Secunia\PSI\sua.exe[1752] C:\Windows\syswow64\PSAPI.DLL!GetProcessImageFileNameW + 31 00000000752716bd 2 bytes [27, 75]

 

---- User IAT/EAT - GMER 2.0 ----

 

IAT C:\Windows\system32\winlogon.exe[684] @ C:\Windows\system32\uxtheme.dll[KERNEL32.dll!GetProcAddress] [55580002820] c:\windows\system32\uxtuneup.dll

IAT C:\Windows\system32\winlogon.exe[684] @ C:\Windows\system32\uxtheme.dll[KERNEL32.dll!ReadFile] [55580002700] c:\windows\system32\uxtuneup.dll

IAT C:\Windows\system32\winlogon.exe[684] @ C:\Windows\system32\themeservice.dll[KERNEL32.dll!GetProcAddress] [55580002820] c:\windows\system32\uxtuneup.dll

IAT C:\Windows\system32\winlogon.exe[684] @ C:\Windows\system32\themeservice.dll[KERNEL32.dll!ReadFile] [55580002700] c:\windows\system32\uxtuneup.dll

IAT C:\Windows\system32\svchost.exe[372] @ c:\windows\system32\themeservice.dll[KERNEL32.dll!GetProcAddress] [55580002820] c:\windows\system32\uxtuneup.dll

IAT C:\Windows\system32\svchost.exe[372] @ c:\windows\system32\themeservice.dll[KERNEL32.dll!ReadFile] [55580002700] c:\windows\system32\uxtuneup.dll

IAT C:\Windows\system32\svchost.exe[372] @ C:\Windows\system32\uxtheme.dll[KERNEL32.dll!GetProcAddress] [55580002820] c:\windows\system32\uxtuneup.dll

IAT C:\Windows\system32\svchost.exe[372] @ C:\Windows\system32\uxtheme.dll[KERNEL32.dll!ReadFile] [55580002700] c:\windows\system32\uxtuneup.dll

 

---- Files - GMER 2.0 ----

 

File C:\Windows\SoftwareDistribution\DataStore\Logs\tmp.edb 524288 bytes

 

---- EOF - GMER 2.0 ----

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Brak oznak infekcji.

 

1. Nanieś tylko korektę na domyślne wyszukiwarki IE po kiedyś używanym AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. W OTL uruchom Sprzątanie.

 

 

Po instalacji gry znaleziony przez Kaspersky Trojan.Win32.Yakes.rfp oraz plik solidcore32.dll. Usunięty dopiero po kilku próbach.

 

Wątpię w to, że to była rzeczywista infekcja.

 

 

Natomiast to co pozostało to spowolnienie pracy systemu objawiające się długim startem aplikacji, a widoczne szczególnie podczas gry kiedy to okresowo aplikacja zaczyna niemiłosiernie szarpać.

 

Podejrzany: Kaspersky Internet Security 2012. Pierwszy z brzegu przykład z forum: KLIK.

 

 

.

 

 

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...