Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja powiazana z sidebarem, "Zones" dodatkowy wpis rejestru

lriuqs

Przez lriuqs
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

lriuqs

lriuqs

Opublikowano
Opublikowano

Ostatnio mialem problem z systemem byl on powiazany z tym postem https://www.fixitpc.pl/topic/1232-problemy-z-sidebarem-gadzetami/page__view__findpost__p__16957

Nie moglem wejsc w uslugi systemu, nie moglem wejsc w zarzadzanie spod prawego przycisku myszki na ikonke "mojego komputera" wywalalo monit o braku odpowiedniego skrotu

 

Wiec pogrzebalem troche na googlach i doszedlem do informacji na temat wlasnie w/w postu

 

usunalem wpis w rejestrze

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\

 

i wymienione problemy zniknely, aczkolwiek zaobserwowalem znaczne pogorszenie pracy komputera. Co jakis czas dostaje zamuly na kilka minut, ze nie da sie nic zrobic.

 

Probowalem sam cos z tym zrobic:

scan malwarebytes

defragmentacja wszystkich partycji [dlatego ze instalowalem i wywalalem ostatnio kilka gier i programow]

scan kasperskym

 

Nic nie zostalo znalezione a przymulki sa dalej

 

Tak wiec przyszedlem tutaj prosic o pomoc i spojrzenie na logi gdyz ja nie posiadam tak rozleglej wiedzy w tej dziedzinie.

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

1. Nie widzę tu znaków infekcji czynnej. Jedyne co budzi moje zastanowienie, to ten ukryty katalog:

 

[2010-10-11 22:09:18 | 000,000,105 | -HS- | C] () -- C:\Users\sadza\AppData\Local\00000112

Pokaż jego zawartość. Uruchom OTL, wszystkie sekcje ustaw na Brak / Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
DIR /S /A C:\Users\sadza\AppData\Local\00000112 /C

Klik w Skanuj (a nie Wykonaj skrypt) i przedstaw rezultaty.

 

 

2. W Dzienniku zdarzeń jest taki zestaw błędów:

 

Error - 2011-02-28 05:42:05 | Computer Name = lol | Source = Service Control Manager | ID = 7011
Description = Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji
 z usługi PolicyAgent.
 
Error - 2011-02-28 05:42:35 | Computer Name = lol | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi IPsec Policy Agent z powodu następującego
 błędu:   %%1053

Nie wiem czy to nadal aktualne, gdyż błąd pochodzi sprzed kilku dni. Start > w polu szukania wklep services.msc > na liście sprawdź jak wygląda usługa Agent zasad IPsec. Konfiguracja z mojego Windows 7 x64: Typ uruchomienia Ręczny, zaś status "Uruchomiono".

 

 

3. Obserwuję, że Winsock jest sporo modyfikowany (to nie za dobre - to są elementy filtrowania sieci), dużo programów się tu wstawiło (Bonjour / VMWare / Proxifier) oraz są odczyty "file not found":

 

O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000006 [] -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000001 -  File not found
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\Program Files (x86)\VMware\VMware Workstation\vsocklib.dll (VMware, Inc.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Program Files (x86)\VMware\VMware Workstation\vsocklib.dll (VMware, Inc.)
O10:64bit: - Protocol_Catalog9\Catalog_Entries\000000000014 -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000006 [] - C:\Windows\SysWOW64\PrxerNsp.dll (Initex Software)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Windows\SysWOW64\PrxerDrv.dll (Initex Software)
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\Program Files (x86)\VMware\VMware Workstation\vsocklib.dll (VMware, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\Program Files (x86)\VMware\VMware Workstation\vsocklib.dll (VMware, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - C:\Windows\SysWOW64\PrxerDrv.dll (Initex Software)

To "not found" to być może niemożność pobrania 64-bitowego wejścia (przypuszczalnie "not found" = Proxifier) przez OTL. Aczkolwiek na wszelki wypadek pokaż dokładnie całą strukturę Winsock: Start > w polu szukania wklep regedit > wyeksportuj z prawokliku do wglądu klucze:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\Protocol_Catalog9

 

 

4. O software:

 

  • Drobne aktualizacje wersji Firefox i Adobe Reader: INSTRUKCJE.
  • Program Spybot - Search & Destroy do deinstalacji. Gdzie z takim czymś na Windows 7 64-bit. Program przestarzały (brak rzeczywistej aktualizacji silnika od 2009), brak pełnej kompatybilności z Windows 7, nie wspominając już o natywności na 64-bitach, słabe możliwości detekcji jak na dzisiejsze czasy. Aktualne antywirusy są już multifunkcyjne i zapełniają lukę w zakresie "antyspyware". Tu wystarczy MBAM jako skaner na żądanie. Odnotowałam też hasło "HijackThis" = kompletny brak kompatybilności z 64-bit i bezużyteczny na takich systemach. Do wyrzucenia.
  • Sugeruję wymianę beta Tlen7 na program sprawniejszy. Dla systemu 64-bit programem obsługującym w stopniu pożądanym zarówno sieć GG8/10 jak i Tlen jest WTW. Co więcej: program ma natywną wersję 64-bit. Opis znajdziesz tu: Darmowe komunikatory.
  • Skoro jest tu AIDA64 / Everest to po co SpeedFan (datowanie sterownika rok 2007). Lub - jeśli chodziłoby o pomiar temperatury procesora - te programiki: CoreTemp / RealTemp

 

i wymienione problemy zniknely, aczkolwiek zaobserwowalem znaczne pogorszenie pracy komputera. Co jakis czas dostaje zamuly na kilka minut, ze nie da sie nic zrobic.

 

Równie dobrze negatywny wpływ może tu mieć oprogramowanie zabezpieczające (KIS) czy inne nieszkodliwe procesy. W sumie system jest upakowany różnymi dodatkowymi usługami aplikacji trzecich i podejrzanych wielu. Notuję też niedawne odświeżenie sterowników nVidia. Wstępnie przetestuj czy problem jest widoczny w tych dwóch sytuacjach:

 

  • Po całkowitej deaktywacji wszystkich osłon Kasperskiego
  • W stadium czystego rozruchu: KB929135

 

 

.

Odnośnik do komentarza
lriuqs

lriuqs

Opublikowano
  • Autor
Opublikowano

1. zalacznik

 

2. typ: reczny, status: uruchomiono

 

3. zalacznik

 

4. adobe o tym wiem ciagle sie przymierzam ale ciagle cos mi stoi na drodze :P, a poza tym malo uzywam, ale w koncu to uczynie

firefox to samo z regoly jak do czegos mi jest potrzebny to przy wlaczeniu sie aktualizuje

spybot wywalony

hijack tez

tlena uzywam juz wiele lat i jak narazie to tak zostanie. pomagam nieco w testowaniu tej bety

w sumie speedfan to lezy nieuzywany

 

 

Niedawno miałem restart bo mi sie przy kolejnym zamuleniu zastal system i nie chcialo mi sie czekac na jego rozruch. Nie wiadomo ile by to trwalo.

Do skanowania OTL wstrzymalem ochrone w kasperskym i jak narazie nie odczuwam jakiegos spowolnienia.

Tez mi przeszlo przez mysl ze to moze "jest" wina kasperskiego.

 

Zapomnialem dodac ze kiedy mialem problem z tym kluczem przy starcie systemu nie pojawiala mi sie ikonka kasperskiego w trayu. Do tego byl 1 proces avp.exe w menadzerze. Wtedy wybralem opcje naprawy bledow w kasperskym no ale to nic nie dalo.

 

Wiec narazie podzialem z wylaczona ochrona kasperskiego i jakby co napisze pozniej czy byly jakies przymulenia.

OTL.Txt

NameSpace_Catalog5.reg.txt

Protocol_Catalog9.reg.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Przepraszam, pomyłka :o , jakaś nieprzytomna byłam i źle popatrzyłam na atrybuty. To nie katalog tylko plik. Nadal nie wiadomo jednak od czego pochodzi. Punkty 2 (usługa działa) + 3 (wg podejrzeń to Proxifier) w porządku. Zostaje temat KIS:

 

Zapomnialem dodac ze kiedy mialem problem z tym kluczem przy starcie systemu nie pojawiala mi sie ikonka kasperskiego w trayu. Do tego byl 1 proces avp.exe w menadzerze. Wtedy wybralem opcje naprawy bledow w kasperskym no ale to nic nie dalo.

 

Wiec narazie podzialem z wylaczona ochrona kasperskiego i jakby co napisze pozniej czy byly jakies przymulenia.

 

Czekam więc na rezultaty działań.

 

 

 

.

Odnośnik do komentarza
lriuqs

lriuqs

Opublikowano
  • Autor
Opublikowano (edytowane)

Chyba sie na mnie windows obrazil ale juz mu przeszlo

 

mniej wiecej wygladalo to wczoraj tak, ze po wstrzymaniu ochony w kasperskym po pewnym czasie przy probie jej wznowienia komputer mi sie zastal wiec go zrestartowalem z guzika. Kiedy system sie uruchomil kaspersky tez sie wlaczyl ale ze wstrzymana ochrona. Wiec ja wlaczylem ale przy pisaniu poprzedniego posta wstrzymalem ochrone ponownie i tak komputer chodzil przez jakis czas. Nic sie z nim nie dzialo, pracowal ladnie tak jak wczesniej wiec dla testu wznowilem ochrone w kasperskim. No i o dziwo w dalszym ciagu bylo wszystko ok. Postanowilem jeszcze dzisiaj sprawdzic no i od rana chodzi pieknie.

 

To co zauwazylem w menadzerze zadan to to ze proces svchost.exe [odpowiedzialny za wizualizacje bo jak go zabilem stracilem przezroczystosc w windzie] jeszcze wczoraj pobieral z Pamiec - prywatny zestaw roboczy 120 000 K, a po wczorajszym wylaczeniu Kasperskiego i dzisiaj przy wlaczonym pobor utrzymuje sie na poziomie 38 000 K - 50 000 K

 

To byla chyba jakas chwilowa slabosc maszyny O_o

 

Jak narazie wszystko jest po staremu

 

Dzieki wielkie za szybka pomoc :)

Edytowane przez picasso
Temat zdaje się być rozwiązany. Zamykam. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...