maniekk Opublikowano 2 Stycznia 2014 Zgłoś Udostępnij Opublikowano 2 Stycznia 2014 Hej. Tak więc użytkuję sobie komputer i nagle wszystko zamiera... Testowałem malware niedawno, więc mogę mieć nowego super-niewykrywalnego wirusa Rambo . Poza tym gmer zawiesza komputer (2 razy, błąd PAGE_FAULT_IN_NONPAGED_AREA), więc zrobiłem w trybie awaryjnym. Addition.txt Extras.Txt FRST.txt gmer.txt OTL.Txt Security Check.txt defogger_disable.txt Odnośnik do komentarza
picasso Opublikowano 3 Stycznia 2014 Zgłoś Udostępnij Opublikowano 3 Stycznia 2014 Temat chyba przeniosę do działu Windows. Nie ma tu oznak czynnej infekcji. Ale jest podejrzana sprawa, nienormalny stan, multum plików sterowników ma replikę w postaci plików *.bak: 2013-12-20 00:50 - 2013-12-20 00:50 - 08939296 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvlddmkm.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 03240400 _____ (Realtek Semiconductor Corp.) C:\Windows\system32\Drivers\RTKVHDA.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 01383488 _____ (QLogic Corporation) C:\Windows\system32\Drivers\ql2300.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 01294272 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\tcpip.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 01211752 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ntfs.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00712048 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\ndis.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00586752 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\PEAuth.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00527064 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\Wdf01000.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00466008 _____ (Duplex Secure Ltd.) C:\Windows\system32\Drivers\sptd.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00405504 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\spsys.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00355744 _____ (BitDefender S.R.L.) C:\Windows\system32\Drivers\trufos.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00347264 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvm62x32.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00337720 _____ (Synaptics Incorporated) C:\Windows\system32\Drivers\SynTP.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00311808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\srv.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00310272 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\srv2.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00298216 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvmf6232.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00297040 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\volmgrx.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00284672 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbport.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00267264 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\nwifi.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00258560 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\usbhub.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00246784 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\udfs.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00245632 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\volsnap.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00242688 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\rdbss.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00240496 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netio.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00235584 _____ (LSI Corporation, Inc.) C:\Windows\system32\Drivers\MegaSR.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00233344 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\msiscsi.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00231760 _____ (TrueCrypt Foundation) C:\Windows\system32\Drivers\truecrypt.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00223744 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mrxsmb10.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00188176 _____ (Oracle Corporation) C:\Windows\system32\Drivers\VBoxDrv.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00187904 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\netbt.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00183808 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\rdpwd.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00180288 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\pcmcia.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00177152 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\portcls.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00175360 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\vmbus.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00173440 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\rdyboost.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00162896 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\msrpc.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00160128 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\vhdmp.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00155136 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\WUDFRd.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00153984 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\pci.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00148864 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\storport.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00143744 _____ (NVIDIA Corporation) C:\Windows\system32\Drivers\nvstor.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00141904 _____ (VIA Technologies Inc.,Ltd) C:\Windows\system32\Drivers\vsmraid.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00140160 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\scsiport.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00133632 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\rdpdr.sys.bak 2013-12-20 00:50 - 2013-12-20 00:50 - 00130432 _____ (Microsoft Corporation) C:\Windows\system32\Drivers\mpio.sys.bak etc. Nie wiem skąd te "kopie", co je utworzyło i w jakim celu. Nic nie dzwoni? Takie coś widziałam ostatnio w temacie, w którym była infekcja wirusem wykonywalnych Ramnit, ale nie było tam dowodu na to co utworzyło *.bak + tu nie ma żadnych śladów. Skopiuj na Pulpit przykładową parę: C:\Windows\system32\Drivers\tcpip.sys C:\Windows\system32\Drivers\tcpip.sys.bak Rzuć oba pliki na VirusTotal i podaj linki do wyników. Tak więc użytkuję sobie komputer i nagle wszystko zamiera... Może okopy zabezpieczające to powodują. Jest tu solidny majdan działający w tle (wszystko jeździ na sterownikach): Bitdefender Total Security, HitmanPro.Alert, Malwarebytes Anti-Exploit, Sandboxie i SpyShelter Personal Free. Najbardziej rozgałęzionym softem jest BitDefender, multum usług. Niestety on mi się nasuwa na myśl... Sprawdź chociaż wstępnie co się stanie jak poluzujesz rezydenta / wyłączysz go. W Dzienniku zdarzeń są też niesprecyzowane błędy: Application errors: ================== Error: (01/02/2014 06:27:32 PM) (Source: NetBalancer 6.7.2) (User: ) Description: System.UnauthorizedAccessException: Odmowa dostępu do klucza rejestru 'HKEY_CLASSES_ROOT\CLSID\{12275AF4-E724-470c-8B28-9121FBD34B89}\InprocServer32'. w Microsoft.Win32.RegistryKey.Win32Error(Int32 errorCode, String str) w Microsoft.Win32.RegistryKey.CreateSubKeyInternal(String subkey, RegistryKeyPermissionCheck permissionCheck, Object registrySecurityObj, RegistryOptions registryOptions) w Microsoft.Win32.RegistryKey.CreateSubKey(String subkey, RegistryKeyPermissionCheck permissionCheck) w Microsoft.Win32.RegistryKey.CreateSubKey(String subkey) w e0.f[a](String a, a A) Error: (01/02/2014 06:27:03 PM) (Source: ESENT) (User: ) Description: taskhost (3440) WebCacheLocal: Wystąpił błąd -1811 podczas otwierania pliku dziennika C:\Users\T\AppData\Local\Microsoft\Windows\WebCache\V0100002.log. System errors: ============= Error: (01/02/2014 07:29:45 PM) (Source: Disk) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk0\DR0. Netbalancer dobija się do jakiegoś klucza, odmowa dostępu niejasna (czy klucz zablokowany przez uprawnienia, czy może któryś program zabezpieczający uzbroił zbyt mocno). Kolejne błędy także dla mnie niezbyt jasne. Sprawdź w oryginalnym Dzienniku zdarzeń czy ten "błąd kontrola" dysku się powtórzył więcej niż raz. Poza tym gmer zawiesza komputer (2 razy, błąd PAGE_FAULT_IN_NONPAGED_AREA), więc zrobiłem w trybie awaryjnym. Jak mówię, spora ilość sterowników zabezpieczających. GMER się mógł tu źle poczuć w tym towarzystwie. PS. Usuń sobie kilka pustych wpisów i folderów po odinstalowanych aplikacjach, ale to działanie stricte kosmetyczne i w niczym tu nie pomoże. Otwórz Notatnik i wklej w nim: Task: {3629C5C1-E67C-49C8-8E64-C1074406F9EA} - System32\Tasks\Norton Internet Security\Norton Error Analyzer => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {8032AB25-1C73-451D-B6FC-692FFF94E5E9} - System32\Tasks\Norton Internet Security\Norton Error Processor => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\SymErr.exe Task: {E44E0BB2-1C08-427A-9F37-45ECD25A4C81} - System32\Tasks\Norton WSC Integration => C:\Program Files\Norton Internet Security\Engine\21.1.0.18\WSCStub.exe S3 62638432; No ImagePath S3 85925564; No ImagePath S4 A2DDA; \??\C:\EEK\RUN\a2ddax86.sys [x] S4 cleanhlp; \??\C:\EEK\RUN\cleanhlp32.sys [x] U0 Partizan; system32\drivers\Partizan.sys [x] U3 TrueSight; \??\ [x] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CleanHlp.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CleanHlp.sys => ""="Driver" 2013-12-17 15:23 - 2013-12-17 15:41 - 00000000 ____D C:\ProgramData\TinyWall 2013-12-17 15:23 - 2013-12-17 15:41 - 00000000 ____D C:\Program Files\TinyWall 2013-12-14 22:09 - 2013-12-20 18:48 - 00000000 ____D C:\Users\T\AppData\Local\AdFender 2013-12-14 22:09 - 2013-12-20 18:48 - 00000000 ____D C:\Program Files\AdFender 2013-12-12 22:38 - 2013-12-13 17:18 - 00000000 ____D C:\Users\T\AppData\Roaming\Crystal Security 2013-12-05 15:25 - 2013-12-05 15:25 - 00000000 ____D C:\ProgramData\McAfee ShellExecuteHooks: - {4F07DA45-8170-4859-9B5F-037EF2970034} - No File [ ] SearchScopes: HKLM - DefaultScope value is missing. Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. . Odnośnik do komentarza
maniekk Opublikowano 3 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 3 Stycznia 2014 Nie wiem skąd te "kopie", co je utworzyło i w jakim celu. Nic nie dzwoni? Takie coś widziałam ostatnio w temacie, w którym była infekcja wirusem wykonywalnych Ramnit, ale nie było tam dowodu na to co utworzyło *.bak + tu nie ma żadnych śladów. Skopiuj na Pulpit przykładową parę: C:\Windows\system32\Drivers\tcpip.sys C:\Windows\system32\Drivers\tcpip.sys.bak Rzuć oba pliki na VirusTotal i podaj linki do wyników. Nie mam pojęcia czemu są zdublowane. https://www.virustotal.com/pl/file/f09e4e14207a2ac6957d2c0ac8707d0e356a9087fa6dc703373242d8eeb026bd/analysis/1388787304/ https://www.virustotal.com/pl/file/f09e4e14207a2ac6957d2c0ac8707d0e356a9087fa6dc703373242d8eeb026bd/analysis/1388787354/ Może okopy zabezpieczające to powodują. Jest tu solidny majdan działający w tle (wszystko jeździ na sterownikach): Bitdefender Total Security, HitmanPro.Alert, Malwarebytes Anti-Exploit, Sandboxie i SpyShelter Personal Free. Najbardziej rozgałęzionym softem jest BitDefender, multum usług. Niestety on mi się nasuwa na myśl... Sprawdź chociaż wstępnie co się stanie jak poluzujesz rezydenta / wyłączysz go. Hmm, zbudowałem taki zestaw, żeby się zabezpieczyć na wszystkich frontach i starałem się dobierać niezbyt obciążające dla komputera komponenty, co wg zużycia zasobów (CPU, RAM) w menadżerze zadań mi się udało. Może poleć jakiś równie funkcjonalny zestaw nie korzystający z takiej ilości sterowników? System errors: ============= Error: (01/02/2014 07:29:45 PM) (Source: Disk) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk0\DR0. Netbalancer dobija się do jakiegoś klucza, odmowa dostępu niejasna (czy klucz zablokowany przez uprawnienia, czy może któryś program zabezpieczający uzbroił zbyt mocno). Kolejne błędy także dla mnie niezbyt jasne. Sprawdź w oryginalnym Dzienniku zdarzeń czy ten "błąd kontrola" dysku się powtórzył więcej niż raz. Widzę dziesiątki, jak nie setki takich błędów. Dysk do wymiany? CrystalDiskInfo twierdzi, że jest dobry. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 20 Stycznia 2014 Zgłoś Udostępnij Opublikowano 20 Stycznia 2014 Hmm, zbudowałem taki zestaw, żeby się zabezpieczyć na wszystkich frontach i starałem się dobierać niezbyt obciążające dla komputera komponenty, co wg zużycia zasobów (CPU, RAM) w menadżerze zadań mi się udało. Może poleć jakiś równie funkcjonalny zestaw nie korzystający z takiej ilości sterowników? Na początek miałeś się upewnić czy problem leży w BitDefender. I raczej nie znajdziesz żadnego programu antywirusowego, który realizuje wiele funkcji, a ma bardzo ubogi zestaw serwisów. Widzę dziesiątki, jak nie setki takich błędów. Dysk do wymiany? CrystalDiskInfo twierdzi, że jest dobry. Przenoszę temat do działu Hardware na dokładniejszą diagnostykę. Dodaj materiały wymagane do diagnostyki dysku: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się