Skocz do zawartości

Problem z Kaspersky Internet Security 2011


Rekomendowane odpowiedzi

Jakiś czas temu wyskoczył mi alert o trojanie i Kaspersky Internet Security 2011 usunął go. Po czym zresetował się, kazał przeskanować cały dysk i przywrócić system po infekcji. Zrobiłem tak jak chciał, ale od tamtego czasu po włączaniu kompa, albo resecie ciągle się pluje o sprawdzanie dysku i przywracanie systemu.

Zamieszczam logi z OTL:

 

http://wklej.org/id/537099/

i extras.txt:

 

http://wklej.org/id/537101/

 

Oprócz tego jak chcę wyłączyć ochronę sytemu i przeprowadzić czyszczenie folderów przywracania systemu jak pod tym adresem:

https://www.fixitpc.pl/topic/5-dezynfekcja-metody-usuwania-czesc-1/#1

 

to wyskakuje okienko:

 

zf974_ekran.jpg

 

Proszę o jakąś pomoc

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Brak znaków infekcji. Tylko drobnostki do wykonania:

 

1. Do deinstalacji wątpliwej reputacji wtyczka vShare Plugin (KLIK). Deinstalację prowadź w dwóch miejscach: aplet usuwania programów oraz menedżer rozszerzeń Firefox.

 

2. Wyczyść preferencje Firefox ze śmieci. W pasku adresów wklep about:config, wyszukaj podane tu niżej wartości i z prawokliku zresetuj do poziomu domyślnego.

 

FF - prefs.js..browser.search.defaultthis.engineName: "Avanquest App'-Anwendungsleiste Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2529008&SearchSource=3&q={searchTerms}"

FF - prefs.js..keyword.URL: "http://search.freecause.com/search?fr=freecause&ourmark=3&type=62781&p="

3. Naprawa określonych błędów z Dziennika:

 

Error - 2010-11-06 17:11:06 | Computer Name = Lukasz-Komputer | Source = Microsoft-Windows-CAPI2 | ID = 4107

Description = Nie można wyodrębnić listy głównej innych firm z pliku cab automatycznej

aktualizacji z: ,

wystąpił błąd: Wymagany certyfikat jest poza okresem ważności, co wynika z weryfikacji

bieżącego zegara systemowego lub sygnatury czasowej.

Ten drobny błąd naprawisz narzędziem Fix-it z artykułu KB2328240.

 

Error - 2011-05-29 06:15:01 | Computer Name = Lukasz-Komputer | Source = Service Control Manager | ID = 7000

Description = Nie można uruchomić usługi atksgt z powodu następującego błędu: %%577

 

Error - 2011-05-29 06:15:05 | Computer Name = Lukasz-Komputer | Source = Service Control Manager | ID = 7000

Description = Nie można uruchomić usługi lirsgt z powodu następującego błędu: %%577

Jest notowany problem ze startem sterowników Tages:

 

DRV:64bit: - [2011-03-18 15:22:49 | 000,303,616 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\atksgt.sys -- (atksgt)

DRV:64bit: - [2011-03-18 15:22:39 | 000,035,328 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\lirsgt.sys -- (lirsgt)

Pobierz paczkę Tagès drivers, ona działa także jako deinstalator i usuń te sterowniki.

 

Error - 2011-05-29 06:14:13 | Computer Name = Lukasz-Komputer | Source = Application Popup | ID = 1060

Description = Ładowanie sterownika \SystemRoot\SysWow64\Drivers\StarOpen.SYS zostało

zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania

w celu uzyskania zgodnej wersji sterownika.

 

Error - 2011-05-29 06:14:13 | Computer Name = Lukasz-Komputer | Source = Application Popup | ID = 1060

Description = Ładowanie sterownika \SystemRoot\SysWow64\Drivers\VD_FileDisk.SYS

zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą

oprogramowania w celu uzyskania zgodnej wersji sterownika.

 

Error - 2011-05-29 06:16:38 | Computer Name = Lukasz-Komputer | Source = Service Control Manager | ID = 7026

Description = Nie można załadować następujących sterowników startu rozruchowego

lub systemowego: SAVRKBootTasks StarOpen VD_FileDisk

 

Error - 2011-05-29 06:15:04 | Computer Name = Lukasz-Komputer | Source = Service Control Manager | ID = 7000

Description = Nie można uruchomić usługi iolo FileInfoList Service z powodu następującego

błędu: %%2

 

Error - 2011-05-29 06:15:04 | Computer Name = Lukasz-Komputer | Source = Service Control Manager | ID = 7000

Description = Nie można uruchomić usługi iolo System Service z powodu następującego

błędu: %%2

W programie Autoruns:

 

----> W karcie Services wyszukaj szczątki iolo, czyli ioloFileInfoList + ioloSystemService, skasuj.

 

----> W karcie Drivers skasuj sterownik pozostawiony po Sophos Antirootkit:

 

DRV:64bit: - File not found [Kernel | System | Stopped] -- C:\Windows\SysNative\SAVRKBootTasks.sys -- (SAVRKBootTasks)

DRV - [2010-05-26 11:45:04 | 000,018,816 | ---- | M] (Sophos Plc) [Kernel | System | Stopped] -- C:\Windows\SysWOW64\SAVRKBootTasks.sys -- (SAVRKBootTasks)

... oraz odptaszkuj z uruchamiania te starocie blokowane z powodu braku zgodności:

 

DRV - [2006-07-24 16:05:00 | 000,005,632 | ---- | M] () [File_System | System | Stopped] -- C:\Windows\SysWow64\drivers\StarOpen.sys -- (StarOpen)

DRV - [2006-01-13 15:00:52 | 000,015,872 | ---- | M] (Flint Incorporation) [Kernel | System | Stopped] -- C:\Windows\SysWow64\drivers\vd_filedisk.sys -- (VD_FileDisk)

 

Jakiś czas temu wyskoczył mi alert o trojanie i Kaspersky Internet Security 2011 usunął go.

 

Co to konkretnie za trojan był? Wyciągnij te dane z dziennika Kasperskiego i tu zaprezentuj.

 

 

Zrobiłem tak jak chciał, ale od tamtego czasu po włączaniu kompa, albo resecie ciągle się pluje o sprawdzanie dysku i przywracanie systemu.

 

Przepisz dokładnie jak są sformułowane te komunikaty.

 

 

Oprócz tego jak chcę wyłączyć ochronę sytemu i przeprowadzić czyszczenie folderów przywracania systemu (...) to wyskakuje okienko

 

Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator i sprawdź czy masz taki klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet

 

Jeśli jest ów "Internet", skasuj z prawokliku i zresetuj komputer.

 

 

 

.

Odnośnik do komentarza

Przepisz dokładnie jak są sformułowane te komunikaty.

 

1.Istnieje ryzyko infekcji komputera

Wymagane jest pełne skanowanie i można kliknąć napraw teraz

 

Dokładnie posile się obrazkiem:

 

http://img21.otofotki.pl/obrazki/bc715_kas.jpg

 

Co to konkretnie za trojan był? Wyciągnij te dane z dziennika Kasperskiego i tu zaprezentuj.

 

wydaje mi się że to było to:

 

uw556_wir.jpg

 

 

Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator i sprawdź czy masz taki klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc\Internet

 

sprawdzałem i nie ma takiego klucza

 

 

2. Wyczyść preferencje Firefox ze śmieci. W pasku adresów wklep about:config, wyszukaj podane tu niżej wartości i z prawokliku zresetuj do poziomu domyślnego.

 

jedyne opcje z prefs jakie znalazłem w firefoxie to takie i nie wiem o które chodzi dokładnie

 

http://img21.otofotki.pl/kk57_pref.jpg.html

 

nie umiałem znaleźć tych rzeczy z about:config, oprócz tego z artykułu fix-it nie mogę odszukać tych rzeczy

 

LocalSystem:

%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content

%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData

 

Co do Taged driver

takiego folderu jak C:\Windows\SysNative brakuje

 

 

Oto nowe logi

http://wklej.org/id/540198/

Extras

http://wklej.org/id/540189/

Edytowane przez picasso
Posty połączone. //picasso
Odnośnik do komentarza

Proszę stosuj opcję Edytuj zamiast tworzyć nowe posty, jeśli nikt jeszcze nie odpisał. A tak napisałeś trzy posty pod sobą. Wszystko łączę.

 

 

1.Istnieje ryzyko infekcji komputera

Wymagane jest pełne skanowanie i można kliknąć napraw teraz

 

Teraz mam lepszy obraz. Dla porównania: KLIK. Mówiłeś:

 

 

kazał przeskanować cały dysk i przywrócić system po infekcji. Zrobiłem tak jak chciał, ale od tamtego czasu po włączaniu kompa, albo resecie ciągle się pluje o sprawdzanie dysku i przywracanie systemu.

 

Czy na pewno "wykryte zagrożenia" zostały definitywnie usunięte i nie pozostają jako "wykryte" bez akcji? I czy na pewno wykonałeś te kroki: KLIK?

 

 

Co do Taged driver

takiego folderu jak C:\Windows\SysNative brakuje

 

Nie rozumiem. Dostałeś link do automatycznej paczki, która działa równocześnie jako instalator + deinstalator. Widzę, że pobrałeś C:\Users\Lukasz\Desktop\TagesSetup_x64.exe, rozumiem także że uruchomiłeś z trybem deinstalacji, gdyż oba sterowniki nie są już wyświetlane w OTL. Czego więc Ty szukasz w katalogu systemowym?

 

Zaś C:\Windows\SysNative = C:\Windows\system32. OTL jest narzędziem 32-bit i pobiera 64-bitowe dane przez alias Sysnative. To Cię nie interesuje tutaj wcale, nie dostałeś zadania ręcznego.

 

 

oprócz tego z artykułu fix-it nie mogę odszukać tych rzeczy

 

LocalSystem:

%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content

%windir%\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData

 

Znów jakieś nieporozumienie .... Ty nie masz nic wykonywać ręcznie. Masz pobrać automatyczne narzędzie Fix-it z artykułu i je uruchomić. Ono samo naprawi błąd ....

 

 

nie umiałem znaleźć tych rzeczy z about:config

 

Wklepujesz about:config, w wyszukiwarce wklepujesz po kolei wartości browser.search.defaultthis.engineName, browser.search.defaulturl, keyword.URL.

 

 

sprawdzałem i nie ma takiego klucza

 

Start > w polu szukania wklep services.msc > na liście sprawdź czy usługi Dziennik zdarzeń i Harmonogram zadań mają typ uruchomienia Automatyczny i czy są uruchomione.

 

 

 

 

.

Odnośnik do komentarza
Start > w polu szukania wklep services.msc > na liście sprawdź czy usługi Dziennik zdarzeń i Harmonogram zadań mają typ uruchomienia Automatyczny i czy są uruchomione.

 

dziennik zadań jest uruchomiony, natomiast harmonogram nie. Jak daję go do uruchomienia to wypisuje: "Usługa Harmonogram zadań na Komputer lokalny uruchomiła się, a następnie zatrzymała. Niektóre usługi zatrzymują się automatycznie, jeśli nie są używane przez inne usługi lub programy.

 

A za ten bajzel przepraszam

 

 

Czy na pewno "wykryte zagrożenia" zostały definitywnie usunięte i nie pozostają jako "wykryte" bez akcji? I czy na pewno wykonałeś te kroki: KLIK?

jest tak zrobione jak na stronie

 

 

sekcje about:config już też przeprowadziłem

 

 

po 3 godzinach pełnego skanowania komputera KIS nie znalazł żadnego wirusa, ani trojana

Odnośnik do komentarza
jest tak zrobione jak na stronie

 

Czyli pełny skan zrobiony (i nic nie wykryte) oraz przeprowadzona procedura z System Restore Wizard. Na tym pierwszym obrazku w karcie "Wykryte zagrożenia" = czy tam można podjąć jakieś dodatkowe akcje na już wykrytym zagrożeniu z obrazka dwa?

 

 

natomiast harmonogram nie. Jak daję go do uruchomienia to wypisuje: "Usługa Harmonogram zadań na Komputer lokalny uruchomiła się, a następnie zatrzymała. Niektóre usługi zatrzymują się automatycznie, jeśli nie są używane przez inne usługi lub programy.

 

Zapakuj mi rejestr do analizy ręcznej. Wytwórz kopię rejestru: KLIK. Z wytworzonej kopii rejestru wyekstraktuj pliki o nazwie SOFTWARE + SYSTEM, zapakuj do ZIP, shostuj gdzieś i podaj mi tu link.

 

 

 

.

Odnośnik do komentarza

Tak pełen skan zrobiony procedura przeprowadzona.

czy tam można podjąć jakieś dodatkowe akcje na już wykrytym zagrożeniu z obrazka dwa?

Tak na usuniętym zagrożeniu można po kliknięciu prawym myszki wybrać usuń z listy, albo otwórz folder w którym znajdowało się zagrożenie.

Właśnie przez przypadek usunąłem całą historię (Brawo!!!!)

 

Którego programu użyć do zrobienia tej kopii, czy to może obojętne

Odnośnik do komentarza
Tak na usuniętym zagrożeniu można po kliknięciu prawym myszki wybrać usuń z listy, albo otwórz folder w którym znajdowało się zagrożenie.

Właśnie przez przypadek usunąłem całą historię (Brawo!!!!)

 

Czy mam rozumieć, że opróżnienie historii zlikwidowało alerty?

 

 

Którego programu użyć do zrobienia tej kopii, czy to może obojętne

 

Przy aplikacjach są wypisane wymagania systemowe. Np. wybierz RegBack.

 

 

.

Odnośnik do komentarza
no i po resecie dalej to samo z KIS 2011

 

Dziennik zdarzeń jest pusty? Czy kwarantannę opróżniłeś?

 

 

oto rejestr (mam nadzieje że o to chodziło):

 

Spróbuj tej procedury:

 

1. Skasuj zawartość folderu C:\Windows\system32\tasks\microsoft\windows\SystemRestore. Folderu nie usuwaj, tylko to co jest w środku.

 

2. Start > w polu szukania wklep regedit > z prawokliku wyeksportuj poniższe klucze do kopii zapasowej *.REG i je skasuj:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{994C86AD-A929-4B2C-88A0-4E25A107A029}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\SystemRestore\SR

 

3. Reset systemu i sprawdź czy usługa Harmonogramu startuje + Ochrona systemu da się w(y)łączać.

 

 

 

.

Odnośnik do komentarza
dziennik zdarzeń

 

Ale pytam się czy w Kasperskym wyczyściłeś wszystko (cały dziennik zdarzeń + całą kwarantannę)? Moim zdaniem to jest tylko kwestia opróżnienia jakiś danych w samym Kasperskym, bo problemu infekcji ja tu nie widzę. Nie mogę pomóc w bardziej precyzyjny sposób, bo nie mam KIS pod ręką i nie pamiętam opcji.

 

 

po resecie harmonogram dalej zimny i ochrona systemu też bez zmian

 

Spróbujmy jeszcze usunąć wszystkie zadania niedomyślne. W programie Autoruns wejdź do karty Scheduled Tasks i usuń wszystkie zadania nie pochodzące od Microsoftu. Po usunięciu zadań zresetuj komputer i sprawdź co się dzieje.

 

 

 

.

Odnośnik do komentarza

Ok precyzuje swoją wypowiedź:

Ale pytam się czy w Kasperskym wyczyściłeś wszystko (cały dziennik zdarzeń + całą kwarantannę)? Moim zdaniem to jest tylko kwestia opróżnienia jakiś danych w samym Kasperskym, bo problemu infekcji ja tu nie widzę. Nie mogę pomóc w bardziej precyzyjny sposób, bo nie mam KIS pod ręką i nie pamiętam opcji.

 

domyślam się że gdyby to była jakaś poważna infekcja to gadżet świeciłby się na czerwono a nie żółto.

Tak jak jest na obrazku druga zakładka "wykryte zagrożenia" (tam miałem zaznaczone wszystkie, więc kwarantanna też) kliknąłem prawym przyciskiem myszki i zamiast sprawdzić miejsce w którym zagrożenie się znajdywało kliknąłem wyczyszczenie raportu i teraz tam kompletnie nic nie ma.

 

W karcie Seluded Task jest kompletnie pusto, może mam to w jakimś trybie zgodności uruchomić lub do katalogu windows skopiować i dopiero uruchomić

Odnośnik do komentarza
Tak jak jest na obrazku druga zakładka "wykryte zagrożenia" (tam miałem zaznaczone wszystkie, więc kwarantanna też) kliknąłem prawym przyciskiem myszki i zamiast sprawdzić miejsce w którym zagrożenie się znajdywało kliknąłem wyczyszczenie raportu i teraz tam kompletnie nic nie ma.

 

Wejdź do kwarantanny Kasperskiego i ją całkowicie opróżnij, o ile jest co opróżniać. Natomiast miejsce, gdzie znajdowało się zagrożenie, masz przecież pokazane na obrazku numer dwa: folder C:\Users\lukasz\appdata\local\r19zw8zku37a. Na wszelki wypadek pokaż mi co jest w folderze Local. Uruchom OTL i wszystkie opcje ustaw na Brak + Żadne, a w polu Własne opcje skanowania / skrypt wklej:

 

DIR /A C:\Users\lukasz\appdata\local /C

Klik w Skanuj.

 

 

W karcie Seluded Task jest kompletnie pusto

 

Autoruns musi być zastartowany w trybie Uruchom jako Administrator.

 

 

.

Odnośnik do komentarza

No cóż, nie widzę przyczyny ... Może jeszcze:

 

1. Doczyść w rejestrze inne fragmenty po już usuniętych zadaniach. Wątpię czy to coś pomoże, ale .... Zmajstruj FIX.REG o zawartości podanej niżej i zaimportuj w taki sam sposób jak poprzednio: cmd Uruchomione jako Administrator i komenda psexec -s -d REG IMPORT C:\FIX.REG. Restart systemu.

 

 

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\CompatibilityAdapter\Signatures]
"GoogleUpdateTaskUserS-1-5-21-4162628400-1900528479-3526456126-1000Core.job"=-
"GoogleUpdateTaskUserS-1-5-21-4162628400-1900528479-3526456126-1000Core.job.fp"=-
"GoogleUpdateTaskUserS-1-5-21-4162628400-1900528479-3526456126-1000UA.job"=-
"GoogleUpdateTaskUserS-1-5-21-4162628400-1900528479-3526456126-1000UA.job.fp"=-
"{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job"=-
"{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job.fp"=-
"{22116563-108C-42c0-A7CE-60161B75E508}.job"=-
"{22116563-108C-42c0-A7CE-60161B75E508}.job.fp"=-
"SLOW-PCfighter.job"=-
"SLOW-PCfighter.job.fp"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{994E3B02-603D-4EA5-A982-9A598EA8F177}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0CCC169F-BE0A-425C-BFFD-894475E2C7D8}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{196F2C77-1E1A-4EFD-B3F8-30CA6D98D082}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{33C6E2AF-DECA-4B7F-911F-EA1CF02CB6D9}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B40068B6-D730-4E75-8330-D2B79ED37407}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{4D50D101-6D8D-47D1-A926-8FCADFF33630}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6AC5435F-4C22-455F-AB00-41F774FF645C}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C59C8A51-3327-4806-B639-347A3DD5D502}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7A1835DD-7B72-4AC9-95FF-6449405E632C}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{82D86623-C05F-46F8-A957-AC9D1505487A}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{BCF49F01-7ACE-4E7C-9FE6-8140CBFF2468}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D31FCC95-D0D5-481A-9503-B9CDACB38C07}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{6DDAA8A5-FD0E-4C17-AC80-479F8B27EE2C}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{510203ED-E3F5-4AFB-B3F8-8D6E6F073FFF}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8BAB59F7-23EB-49D3-AD13-B9F39C2C624C}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{ED8FE078-5F7E-49A8-BE56-DEC922FF4059}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{94CCEA90-C1EE-45B2-AF4B-FC4009202358}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{BE0D6815-D771-400B-8016-3CD8C043CFF2}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2808D971-9F14-402E-9085-678A9E1652C3}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F36AA317-6070-4A79-8023-1659EC8D72E7}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{65C728F4-BC3F-476D-AD99-E29C7ECC97AA}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{AB4813E5-C5D8-41F6-B023-307B6C6B0FBA}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C8AB5149-0449-4DD3-8A9E-592A111FCBC1}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{624315C9-E1BF-4A61-9B54-BD64BC54D68B}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{8A884200-E980-40E0-B4F1-976F1BD8C6F1}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FECC7A90-4139-4997-AB0D-2BC99656EE6D}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{38C8CE17-1D38-46E7-8027-E8538DDDD60C}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{164224A9-152A-4E97-BBF3-CFAEB63369C9}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{E60685F0-0391-48B5-BC7F-F82ED3FF0AAE}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F2686ACF-ADAD-4A8C-963C-B99F32CCC876}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{9DECCF18-FC97-4B59-BAA4-8A37E1B46A86}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{745B2D24-DF94-4798-B2B5-DB0D2AC79655}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{799D9121-E7E4-4EA7-9865-608E202E3522}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C7A1E029-B643-4A48-8545-C2FB131277DE}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{19E7427D-9C3E-486A-9FE4-BE7B253DBAC7}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C509AC02-39EA-4374-A9DA-06C2B2417F93}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{63D990C3-6769-4D5A-B9C3-CE76ECC2B9FB}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A547D3F7-6E12-4B20-9ADB-B1048E3F78BC}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FA2DE236-FB20-4D23-ABA0-8D14E4C6B58B}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EAB8F984-B8E5-4CD2-9238-24BB78ABDE3B}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{79323DC6-AFA5-496D-8BB1-64ADE905CAF7}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A7676337-C8B6-47C9-933D-C1674BD7641C}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{FB9E4954-542F-4BF7-96CE-C63BE5C9ED39}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{15DA98F9-D1A9-4A81-A4D7-15F8874D07E6}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EC0E4410-757B-40F3-A67D-1306D22155B2}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{3E730E75-8EFD-41EB-AA81-6C315DBC5F6A}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{5CBD9D83-56D5-4E95-A489-6CFB272C9C6C}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{10034147-D01F-405E-80A8-C04AFE0DFDF8}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F4F31C57-66A6-41E8-8CAF-CF641DC15B81}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{7F79546A-7814-46FE-B708-2DC8872FFD7A}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{2416F471-9F79-4179-9472-3AD59D84200F}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C9EE8B5B-8D5D-41B8-86A0-3D7054D53064}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1F4B7E89-73C1-4DC8-8531-63943FB3A31C}]

 

 

2. Sprawdź czy konfiguracja procesów gra rolę dla możności startu usługi Harmonogramu. Wypróbuj czy jesteś w stanie ręcznie uruchomić usługę w services.msc w takich układach:

 

  • Przy wyłączonych wszystkich osłonach Kasperskiego
  • W stanie tzw. "czystego rozruchu: KB929135

3. Rozważam też testową kompletną deinstalację Kasperskiego, gdyż wyłączenie osłon niestety nie wstrzymuje całości na tyle, by mieć wiarygodne wyniki czy KIS coś miesza. Testowa = oznaczałoby "tymczasowa", by uzyskać pewność i nie próbować naprawiać czegoś co być może nie działa z winy tej aplikacji.

 

4. Wreszcie, przy braku wyników z powyższymi, dostarcz pełne Dzienniki zdarzeń do analizy: KLIK.

 

 

 

.

Odnośnik do komentarza

No cóż, nie widzę przyczyny ... Może jeszcze:

 

1. Doczyść w rejestrze inne fragmenty po już usuniętych zadaniach. Wątpię czy to coś pomoże, ale .... (...)

 

2. Sprawdź czy konfiguracja procesów gra rolę dla możności startu usługi Harmonogramu. (...)

Te punkty przeprowadziłem i dalej nie można uruchomić harmonogramu. Biorę się za pozostałe

 

Nie przeprowadziłem jeszcze kolejnych punktów.Mam jeszcze dodatkowe pytanie, dopiero teraz doczytałem "dokładnie" że przed założeniem tematu trzeba też odinstalować Alcohol 120%. Niestety tego nie zrobiłem, usunąć i zrobić nowy LOG, czy dokończyć poprzednie punkty?

Odnośnik do komentarza
Mam jeszcze dodatkowe pytanie, dopiero teraz doczytałem "dokładnie" że przed założeniem tematu trzeba też odinstalować Alcohol 120%. Niestety tego nie zrobiłem, usunąć i zrobić nowy LOG, czy dokończyć poprzednie punkty?

 

Ale ja wiem od pierwszego posta :P, że masz zainstalowany i działający emulator. Przecież w raportach wszystko mam na dłoni:

 

SRV - [2007-05-28 18:57:54 | 000,275,968 | ---- | M] (Rocket Division Software) [Auto | Stopped] -- C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)

DRV:64bit: - [2010-02-18 23:28:09 | 000,871,408 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd)

 

O4 - HKU\S-1-5-21-4162628400-1900528479-3526456126-1000..\Run: [AlcoholAutomount] C:\Program Files (x86)\Alcohol Soft\Alcohol 120\axcmd.exe (Alcohol Soft Development Team)

W Twoim przypadku (64-bitowy system + brak zagadnienia infekcji TDL4) obecność emulacji nie ma znaczenia dla analizy którą prowadzę. Dlatego się na ten temat nic nie odzywam. Fakt, ten Alcohol jest nieco zdezelowany i warto byłoby zrobić i tak jego aktualizację, ale to poboczne zagadnienie. Przejdź do dalszych punktów, które zadałam.

 

 

 

.

Odnośnik do komentarza

Po odinstalowaniu Kasperskiego dalej nie można było uruchomić harmonogramu zadań, więc ponownie zainstalowałem antywirusa. Po instalacji okazało się że znalazł wirusa i go wyczyścił. Raport z Kaspersky

(Wyczyszczony (3)

2011-06-09 16:36:25 Wyczyszczony wirus Type_Win32 C:\Program Files (x86)\TuneUp Utilities 2011\APPINITIALIZATION.BPL Wysoki

2011-06-09 16:36:25 Wyczyszczony wirus Type_Win32 C:\Program Files (x86)\TuneUp Utilities 2011\APPINITIALIZATION.BPL//P.... Wysoki

2011-06-09 16:36:25 Wyczyszczony wirus Type_Win32 C:\Program Files (x86)\TuneUp Utilities 2011\APPINITIALIZATION.BPL//P.... Wysoki

).

Postanowiłem od razu wywalić cały TuneUp.

 

Sam Kaspersky nie stwarza już problemu, tzn. po resecie nie żąda skanowania i przywracania systemu sprzed infekcji. Natomiast harmonogramu włączyć dalej nie idzie. Wyskakuje dokładni ten sam komunikat co wcześniej.

 

Umieszczam też plik z punktu 4 (dzienniki zdarzeń)

http://www.speedyshare.com/files/28888235/dziennik.zip

 

Da się coś z tym jeszcze zrobić?

Nie wiem czemu, ale komputer długo się zaczyna ładować. Wcześniej tego nie było.

 

A jeszcze jedno czy istnieje taka możliwość aby aktualizacja IE blokowała mi dostęp do harmonogramu zadań?

Odnośnik do komentarza
Natomiast harmonogramu włączyć dalej nie idzie. Wyskakuje dokładni ten sam komunikat co wcześniej.

 

Dziennik zdarzeń niestety nie ma konkretów. Brakuje mi już na to pomysłów, choć nie mogę wykluczyć, że problem stanowi któreś zadanie Microsoftu (były tu likwidowane wszystkie zadania niedomyślne) w TaskCache, ale które ewentualnie, to zagadka.

 

1. Pokaż mi jeszcze jaka jest zawartość katalogów na dysku. Uruchom SystemLook x64 i do skanu wklej warunek:

 

:dir
C:\Windows\system32\Tasks /s
C:\Windows\SysWOW64\Tasks /s

2. Sprawdź czy nie ma jakiś naruszeń w plikach, czyli komenda sfc /scannow i przefiltruj wyniki do wglądu: KLIK.

 

3. Pytanie: co to za Windows, tzn. jakie jest jego pochodzenie (oryginał / wręcz przeciwnie?) i czy Harmonogram kiedykolwiek tu działał / potrafisz zdefiniować od kiedy to występuje?

 

4. Od tego Kasperskiego nie mogę się nieco odczepić, konkretnie mam na myśli reguły blokowania portów. Moim pytaniem jest, czy w regułach KIS nie ma przypadkiem czegoś związanego z blokowaniem ruchu svchost.exe (na którym działa Harmonogram). Mówiłeś wprawdzie, że KIS był deinstalowany i nie było ulgi, ale zastanawiam się, czy na pewno deinstalacja była na tyle kompletna, by było to wiarygodne. Tak szybko go ponownie wtedy zainstalowałeś, że nie było nawet weryfikacji czy to była poprawna deinstalacja, ani nie użyto tu narzędzia Kaspersky Remover dającego większe gwarancje.

 

5. KIS w tle powinien wykluczyć aktywność systemowego firewalla, nie mam podstaw by przypuszczać, że problem stanowi zapora systemu, ale ostatecznie możesz i ją na próbę zresetować: uruchom cmd jako Administrator i wklep netsh advfirewall reset.

 

 

A jeszcze jedno czy istnieje taka możliwość aby aktualizacja IE blokowała mi dostęp do harmonogramu zadań?

 

Wątpię. Co masz na myśli?

 

 

Nie wiem czemu, ale komputer długo się zaczyna ładować. Wcześniej tego nie było.

 

Wszystkie moje zmiany dążyły do ograniczenia ilości ładowanych elementów (patrz na mój pierwszy post). Ostatnia znacząca zmiana tu zanotowana to reinstalacja KIS, więc może dłuższy start jest z tym związany .... Zaprezentuj nowe logi z OTL do weryfikacji.

 

 

 

.

Odnośnik do komentarza

 

1. Pokaż mi jeszcze jaka jest zawartość katalogów na dysku.

oto zawartość katalogów

http://wklej.org/id/546719/

 

pkt 2. co dokładnie mam przefiltrować

 

Jeśli chodzi o aktualizacje IE, kiedyś jak pobrałem ową aktualizację, przestały działać gadżety windowsa i pojawiło się jakieś L w Zones. Dlatego taki pomysł, że znów coś się zawiesiło przy tym.

 

odp na 3 punkt to wersja oryginalna, mogę powiedzieć tyle że jak z tym IE walczyłem to wtedy mogłem bez niczego wejść do ochrony systemu i zmieniać usuwać punkty przywracania bez problemów. Chyba od czasu tamtego wirusa to się zablokowało

 

punkt 4 gdzie dokładnie sprawdzić te reguły. Mogę na nowo odinstalować KIS

 

jak sprawdzę kolejne punkty to napiszę

 

Nowe logi otl:

http://wklej.org/id/546744/

extras:

http://wklej.org/id/546745/

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...