Proszę o sprawdzenie logów

[ssdd]

Witam,

chciałbym się dowiedzieć czy w moim komputerze nie ma wirusów.

Dlaczego tak sądzę - dziś zauważyłem w dokumentach udostępnionych dziwny folder microsoft a wewnątrz identityCRT (wewnątrz pusto).

Ostatnio też gdy np. zainstaluję jakieś demo lub grę (wszystkie orginałki - dema ściągane z gram.pl) po instalacji wyskakuje mi okienko "Moje Dokumenty"

Normalne jest to że mam dwa pliki wuauctl.exe i wuauctl1.exe (oczywiście WINDOWS/system32)

Też mój niepokój zwróciły uwagę dziwne pliki w logu OTL (pod tytułem Files Created - No Company Name).

Nie wiem też co oznacza folder cmdcons na dysku c

Oczywiście załączam logi i proszę o wyjaśnienie odnośnie punktów

 

EDIT: Dodam też że niektóre gry po włączeniu ich nagle zaczyna się dźwięk (obraz również) zacina i następuje restart komputera.

 

P.S Dodam że wczoraj przez kilkadziesiąt minut nie miałem internetu (dostawca coś naprawiał w swoich serwerach). Czy ten folder microsoft może być tym spowodowane ?

OTL.Txt

Extras.Txt

Gmer.txt

[picasso]

Brak oznak infekcji.

 

 

Dlaczego tak sądzę - dziś zauważyłem w dokumentach udostępnionych dziwny folder microsoft a wewnątrz identityCRT (wewnątrz pusto).

 

Chyba literówka: identityCRL (CRL = Certificate Revocation List) to nazwa właściwa. To prawidłowy folder, jeśli kiedykolwiek zainstalowano składnik Windows Live Sign-in Assistant. Z mojego wirtualnego systemu XP:

 

 

 

Normalne jest to że mam dwa pliki wuauctl.exe i wuauctl1.exe (oczywiście WINDOWS/system32)

 

Tak. Na to pytanie już tu kiedyś komuś odpowiadałam: KLIK.

 

 

Też mój niepokój zwróciły uwagę dziwne pliki w logu OTL (pod tytułem Files Created - No Company Name).

 

Które konkretnie Cię niepokoją?

 

 

Ostatnio też gdy np. zainstaluję jakieś demo lub grę (wszystkie orginałki - dema ściągane z gram.pl) po instalacji wyskakuje mi okienko "Moje Dokumenty"

 

To dotyczy tylko i wyłącznie tych gier z gram.pl i niczego innego? Może instalatory mają planowane otwieranie tej lokalizacji?

 

 

Dodam też że niektóre gry po włączeniu ich nagle zaczyna się dźwięk (obraz również) zacina i następuje restart komputera.

 

To prędzej problem na kierunek sterowniki / sprzęt. A diagnostykę samorestartów wykonasz posiłkując się punktem 5 z ogłoszenia: KLIK.

 

 

 

 

 

.

[ssdd]

Odnośnie plików to wszystkie - nie wiem czy to są bezpieczne pliki

 

A odnośnie gram.pl to nie tylko - instaluję różne pełniaki z czasopism lub ze zwykłych wydań pudełkowych a po instalacji nagle mi się pokazuje tak jakby wyświetlone przez "Eksploruj" Moje Dokumenty

[picasso]

Odnośnie plików to wszystkie - nie wiem czy to są bezpieczne pliki

 

vs.

 

Brak oznak infekcji.

 

Czy sądzisz, że milczałabym, gdyby coś było "podejrzane" / "mało bezpieczne"? Zadałam pytanie które tak Cię interesują, bo rozpisywać znaczenia tylu plików po prostu mi się nie chciało, to jest czasochłonne dla mnie, a i tak wiem, że pliki są bez znaczenia (w rozumieniu: prawidłowe). A Ty jakbyś się nieco przyłożył, to byś sobie sam wyszukał i na Google i tu na forum, że co drugi log ma podobne pliki. Ale skoro hardcore, proszę:

 

 

 

PixArt (pierwszy plik omawiany w Twoim poprzednim temacie):

[2011-08-08 14:13:39 | 000,921,632 | ---- | C] () -- C:\PA207.DAT

[2006-11-02 09:27:46 | 000,000,518 | ---- | C] () -- C:\WINDOWS\System32\SP207.INI

 

Kopia zapasowa pliku boot.ini:

[2011-07-12 21:41:57 | 000,000,223 | ---- | C] () -- C:\Boot.bak

 

Plik startowy Konsoli Odzyskiwania (zainstalowanej przez ComboFix);

[2011-07-12 21:41:50 | 000,262,400 | RHS- | C] () -- C:\cmldr

 

http://technet.microsoft.com/pl-pl/library/cc723572%28en-us%29.aspx

[2011-07-03 19:10:12 | 000,002,560 | ---- | C] () -- C:\WINDOWS\_MSRSTRT.EXE

 

http://support.microsoft.com/kb/896626

[2011-06-30 18:47:00 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll

 

Jak w nazwie (RTCW = Return to Castle Wolfenstein):

[2011-05-23 15:30:15 | 000,000,600 | ---- | C] () -- C:\WINDOWS\Rtcw.INI

 

Jak w nazwie:

[2011-05-21 17:34:03 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI

 

Direct3D:

[2011-05-10 21:21:21 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat

[2011-05-10 21:18:37 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat

 

Nie wiem dokładnie, ale to chyba od którejś gry:

[2011-05-04 19:23:24 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\SI.bin

 

Zabezpieczenie Tages:

[2011-04-19 17:11:06 | 000,281,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atksgt.sys

[2011-04-19 17:11:05 | 000,025,888 | ---- | C] () -- C:\WINDOWS\System32\drivers\lirsgt.sys

 

Cache czcionek WPF (http://support.microsoft.com/kb/937135)

[2011-04-18 17:23:56 | 000,080,384 | ---- | C] () -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat

 

PunkBuster:

[2011-04-16 11:06:44 | 000,139,128 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys

[2011-04-16 11:06:36 | 000,215,128 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe

[2011-04-16 11:06:30 | 000,075,064 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe

 

Jak w nazwie (na forum tu ktoś zdefiniował, że jest to od Modern Warfare):

[2011-04-13 16:22:21 | 000,000,319 | ---- | C] () -- C:\WINDOWS\game.ini

 

Skype Extras

[2011-02-04 20:18:44 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat

 

CutePDF

[2011-01-16 13:33:49 | 000,087,552 | ---- | C] () -- C:\WINDOWS\System32\cpwmon2k.dll

 

Albo wynik starej linii Mozilla (https://bugzilla.mozilla.org/show_bug.cgi?id=142367) albo prehistoria NetScape per se (http://www.nirsoft.net/utils/netscapass.html)

[2010-10-16 17:18:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat

 

Brother + PaperPort:

[2010-09-13 19:00:54 | 000,000,404 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI

[2010-09-13 19:00:54 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI

[2010-09-13 18:40:29 | 000,031,567 | ---- | C] () -- C:\WINDOWS\maxlink.ini

[2010-09-13 18:25:26 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf08b.dat

 

ffdshow:

[2010-08-04 11:22:10 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll

 

Plik Windows Media Player:

[2010-07-22 11:49:01 | 000,039,936 | ---- | C] () -- C:\Documents and Settings\Pawel\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

 

Plik konfiguracyjny MDAC (http://support.microsoft.com/kb/110507)

[2010-07-22 01:24:56 | 000,004,293 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

 

Cache czcionek systemowych:

[2010-07-22 01:23:51 | 000,153,976 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT

 

Statystyki startowe (http://www.geoffchappell.com/viewer.htm?doc=notes/windows/boot/bsd.htm)

[2010-07-21 23:38:53 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat

 

ATI:

[2010-07-22 00:03:25 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ativpsrm.bin

[2010-07-21 23:52:04 | 000,593,920 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe

[2010-02-11 06:12:00 | 003,107,788 | ---- | C] () -- C:\WINDOWS\System32\ativva5x.dat

[2010-02-11 06:12:00 | 000,887,724 | ---- | C] () -- C:\WINDOWS\System32\ativva6x.dat

[2009-04-24 00:29:16 | 000,189,051 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat

 

Microsoft Games for Windows - LIVE

[2009-11-06 10:58:04 | 000,178,975 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat

 

nVidia nForce

[2002-11-27 20:52:00 | 000,001,024 | ---- | C] () -- C:\WINDOWS\System32\drivers\jedih2rx.bin

[2002-11-27 20:52:00 | 000,000,122 | ---- | C] () -- C:\WINDOWS\System32\drivers\ramsed.bin

[2003-10-16 00:32:16 | 000,018,253 | ---- | C] () -- C:\WINDOWS\System32\ssnvfx.ini

 

Deinstalator Stickies (http://www.appdeploy.com/software/detail.asp?id=2117)

[2002-09-18 01:45:00 | 000,119,808 | ---- | C] () -- C:\WINDOWS\lsb_un20.exe

 

Pliki systemowe XP:

 

- związane z licencją (http://www.windowsitpro.com/article/licensing/jsi-tip-8521-you-receive-a-problem-is-preventing-windows-from-accurately-checking-the-license-for-this-computer-error-code-0x80070002-on-your-windows-xp-computer-):

[2004-08-02 14:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat

[2001-08-23 17:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin

[2001-08-23 17:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat

 

- związane z licznikami wydajności:

[2001-10-26 20:15:16 | 000,490,284 | ---- | C] () -- C:\WINDOWS\System32\perfh015.dat

[2001-10-26 20:15:16 | 000,313,828 | ---- | C] () -- C:\WINDOWS\System32\perfi015.dat

[2001-10-26 20:15:16 | 000,083,660 | ---- | C] () -- C:\WINDOWS\System32\perfc015.dat

[2001-10-26 20:15:16 | 000,034,990 | ---- | C] () -- C:\WINDOWS\System32\perfd015.dat

[2001-08-18 01:30:24 | 000,432,356 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat

[2001-08-18 01:30:24 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat

[2001-08-18 01:30:24 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat

[2001-08-18 01:30:22 | 000,067,312 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat

 

- na pewno OK (są w obrazie fabrycznego XP), informacji już nie chciało mi się szukać:

[2010-07-21 23:33:09 | 000,021,856 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat

[2004-08-04 00:56:48 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin

[2001-08-18 01:15:38 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin

[2001-07-22 02:36:48 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat

[2001-07-22 02:36:04 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat

[2001-07-22 02:24:16 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat

 

http://www.neuber.com/taskmanager/process/giveio.sys.html

[1996-04-03 21:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys

 

 

 

 

 

A odnośnie gram.pl to nie tylko - instaluję różne pełniaki z czasopism lub ze zwykłych wydań pudełkowych a po instalacji nagle mi się pokazuje tak jakby wyświetlone przez "Eksploruj" Moje Dokumenty

 

Chwilowo nic mi się z tym nie kojarzy. Wprawdzie efekt samoistniego otwierania "Moich dokumentów" zwykle jest związany z nieprawidłowym Userinit, ale tu faza nie pasuje (userinit to jest część logowania i dokumenty wyskakują po zalogowaniu), a log z OTL pokazuje prawidłowy zapis. Może uściślij kiedy tak naprawdę te dokumenty wyskakują, czy jest zaprzężony restart systemu (po którym są otwierane) czy po prostu sekwencja: instalacja > żadnego restartu i od razu się otwierają.

 

 

.

[ssdd]

Dobrze dziękuję za poświęcony czas odnośnie plików

 

A odnośnie folderu "Moje Dokumenty" to tak jak napisałaś: instalacja > żadnego restartu i od razu się otwierają.

 

Restart następuje wtedy gdy gram i np. podczas intra nagle komputer mi się restartuje. Dodam że nie są to wszystkie gry tylko niektóre (we wszystkie w które teraz gram mi nic takiego nie robią - może to wina zasilacza lub chłodzenia ?)

[ssdd]

Ja tylko chciałbym przypomnieć że temat nie został zamknięty (nie że jestem samolubny tylko po co ma stać otwarty )

 

Dziś też dostałem komunikat MBAM Service Terminated Unexpectedly zaś w logach oprócz IP Protection itd. znalazłem to

UtilityReadFile failed with error code 32 (mam rozumieć że mój MalwareBytes przestał funkcjonować już całkowicie ? )

[picasso]

Ja tylko chciałbym przypomnieć że temat nie został zamknięty (nie że jestem samolubny tylko po co ma stać otwarty )

 

Nie zamykam tematów nieukończonych, o ile temat nie przekroczy czasu miesiąca (wtedy zamykam wszystkie tematy wchodzące w ten czasokres). Planowałam tu jeszcze swoją odpowiedź, by się ustosunkować do tego problemu:

 

 

A odnośnie folderu "Moje Dokumenty" to tak jak napisałaś: instalacja > żadnego restartu i od razu się otwierają.

 

Nie nasuwa mi się żadne konkretne / precyzyjne rozwiązanie. Ale przetestuj czy coś da przerejestrowanie biblioteki powłoki (co przywraca wiele ustawień domyślnych). Start > Uruchom > wklej komendę regsvr32 /i shell32.dll i zatwierdź uruchomienie. Zresetuj system i zweryfikuj jakie to ma skutki.

 

 

Restart następuje wtedy gdy gram i np. podczas intra nagle komputer mi się restartuje. Dodam że nie są to wszystkie gry tylko niektóre (we wszystkie w które teraz gram mi nic takiego nie robią - może to wina zasilacza lub chłodzenia ?)

 

Czy wykonałeś wstępną diagnostykę na podstawie podanego linka (przestawić opcję autorestartu, by ujawnić ekran śmierci + debug zrzutów pamięci)?

 

 

A diagnostykę samorestartów wykonasz posiłkując się punktem 5 z ogłoszenia: KLIK.

 

I na ten temat załóż osobny wątek w dziale sprzętowym Hardware - przeczytaj zasady tego działu KLIK, bo pada prośba o konkrety sprzętowe. Czyli masz tam przedstawić: dane sprzętowe oraz wyniki diagnostyki restartów.

 

 

Dziś też dostałem komunikat MBAM Service Terminated Unexpectedly zaś w logach oprócz IP Protection itd. znalazłem to

UtilityReadFile failed with error code 32 (mam rozumieć że mój MalwareBytes przestał funkcjonować już całkowicie ? )

 

Trudno określić co tu się stało, dlaczego usługi MBAM uległy zatrzymaniu i wystąpiły te błędy. I masz na dodatek problem samorestartów podczas gier, co sugeruje ogólny problem, mogący mieć skutki także dla działania innych zainstalowanych programów.

Jak teraz wygląda sytuacja: MBAM jest na chodzie?

 

 

 

 

 

.

[ssdd]

Witam i dziękuję za wskazówki. Ostatnio postanowiłem przetestować czy aby z ramem się coś nie dzieje i rzeczywiście ! dwie kości ramu 2x256mb DDR były tak zwanym no-name. Zamieniłem na markowe (kingston też 2x256 mb zakupione u kolegi) i działają wszystkie gry (oczywiście te które spełniam wymagania) bez żadnych restartów.

 

Moje Dokumenty przestały wyskakiwać po odinstalowaniu gry na której się wszystko zaczęło - widocznie to wprowadziło jakieś ustawienia

 

MBAM odinstalowany bo już było dawno po wersji testowej a taki niedziałający tylko zaśmieca komputer (dodam też że ten błąd tylko raz mi się pojawił - po zaaktualizowaniu bazy wszystko wróciło do normy)

 

Tak więc temat do zamknięcia