snowcrystal Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 http://wklej.org/id/784823/ OTL.txt http://wklej.org/id/784829/ Extras.txt http://wklej.org/id/784831/ gmer.txt Jakiś czas temu przy starcie systemu pojawiał się bsod (błąd najprawdopodobniej spowodowany przez plik nvmini.sys). Pobrałem DrWebCureIt, cośtam usunął i problem bsoda zniknął. Jednakże od jakiegoś czasu internet zauważalnie przycina (równie dobrze może to być wina dostawcy ) i dzieje się jedna dziwna rzecz. Po starcie systemu gdy próbuję coś włączyć czy to z paska zadań czy z pulpitu pojawiają się właściwości tego pliku...(tak jakbym wcisnął ppm i kliknął właściwości). Jednak gdy przejadę dłonią po klawiaturze z 2 razy wciskając wszystkie klawisze to problem ustępuje aż do następnego uruchomienia systemu Pozdrawiam i proszę o pomoc. Odnośnik do komentarza
picasso Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 Pobrałem DrWebCureIt, cośtam usunął i problem bsoda zniknął. Czy masz bardziej precyzyjne raporty z narzędzia, które pokażą co wykrył i jakie manipulacje robił ten skaner? Widzę w logu odświeżenie tego pliku zaraz po utworzeniu katalogu Dr. Web, sterownik ma jednak status Disabled (Wyłączony): DRV - [2012-07-05 07:00:53 | 000,017,152 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\nvmini.sys -- (nvmini) [2012-06-20 22:33:32 | 000,017,152 | ---- | C] (NVIDIA Corporation) -- C:\WINDOWS\System32\drivers\nvmini.sys[2012-06-20 22:01:47 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Ja\DoctorWeb Wnioski, które się nasuwają: sterownik został wyłączony przez Dr. Web, dlatego ustąpiły BSODy. Niemniej on nadal jest w systemie. Sterownik wygląda na pozorujący nVidia (KLIK / KLIK), choć tak się składa, że u Ciebie jest również prawidłowa pozycja "NVIDIA Drivers" na liście zainstalowanych. Istotna rzecz: w opisie tej infekcji jest wyszczególniane, iż to wirus plików wykonywalnych. Czy na pewno Dr. Web nie wykrywa teraz żadnych infekcji w prawidłowych plikach programów i systemu? Jednakże od jakiegoś czasu internet zauważalnie przycina Zakładając, że nie ma tu infekcji w plikach wykonywalnych (to jeszcze będzie tu sprawdzane), może coś bruździ ten sterownik sieciowy Garena Plus: DRV - [2012-02-22 10:52:14 | 000,013,080 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Program Files\Garena Plus\x86\tcpiphlp.sys -- (tcpip helper) W kwestii logów, są do usunięcia drobne rzeczy, głównie adware (Babylon i od wtyczek pokroju vShare / LiveVDO). 1. Zastosuj AdwCleaner z opcji Delete. Utworzy się na dysku C log. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2012-07-05 07:00:53 | 000,017,152 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\nvmini.sys -- (nvmini) [2012-04-01 14:41:58 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{8ef05e68-ed8c-116f-6eec-ccac2152f50f} O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab" (Reg Error: Key error.) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KernelFaultCheck"=- :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z wynikami usuwania. 3. Wykonaj skan w Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary, co znacznie wydłuży skan, ale da większą pewność. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras), dołącz te dwa logi z usuwania w punktach 1+2 oraz raport z Kasperskiego z wynikami typu "Detected" (o ile będą). . Odnośnik do komentarza
snowcrystal Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 http://wklej.org/id/785175/ - - > usuwanie z OTL http://wklej.org/id/785174/ - - > log z AdwCleaner Teraz pracuje Kaspersky, wiadomość uzupełnię jak skończy... mam tylko nadzieję, że "finish in : 1 day" jest nieprawdą Niestety wygląda na to, że Kaspersky z jakiegoś powodu umarł... Od długiego czasu jest właśnie w takim stanie i nie wygląda na to, żeby coś robił... Odpalę go jeszcze raz. Będę dopiero po 20 i wtedy napiszę jeszcze raz. Odnośnik do komentarza
picasso Opublikowano 6 Lipca 2012 Zgłoś Udostępnij Opublikowano 6 Lipca 2012 AdwCleaner nie wszystko zrobił. Potem (gdy ukończy Kaspersky) będzie do wdrożenia mini skrypt do OTL o treści: :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=bfe44fd8-7bf7-11e1-bed4-001d7dd95080&q=" [2012-04-01 14:41:52 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Firefox\Profiles\ulxuscdc.default\searchplugins\startsear.xml mam tylko nadzieję, że "finish in : 1 day" jest nieprawdą Przygotuj się, że to przewidywania prawidłowe. Jak mówiłam: skan pełny dający większą pewność. . Odnośnik do komentarza
snowcrystal Opublikowano 6 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lipca 2012 http://wklej.org/id/785586/ - - > usuwanie z OTL http://wklej.org/id/785587/ - - > OTL.txt Po tym jak Kaspersky został uruchomiony ponownie (też wszystkie opcje pozaznaczane) skan się udał, z tym, że tym razem nie wykrył nic choć w poprzednim skanie zanim się zawiesił wykrył ponad 200 zainfekowanych exe (większość plików leczył, niektóre usuwał bądź wsadzał w kwarantannę.) Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Nie byłam w stanie wcześniej się tu wypowiedzieć. Zalew działu UKASH-tematami to była dla nas drastyczna sprawa. choć w poprzednim skanie zanim się zawiesił wykrył ponad 200 zainfekowanych exe (większość plików leczył, niektóre usuwał bądź wsadzał w kwarantannę.) To odpowiada przypuszczeniom wysnutym na początku. Infekcja w wykonywalnych w toku. Pytania: - Czy przeinstalowałeś oprogramowanie poddane działaniu wirusa? - Czy na pewno skaner uruchomiony po raz trzeci (w konfiguracji wszystko do skanu zaznaczone) nic nie wykrywa? - Czy problem ociężałej sieci nadal występuje? - Co jest w tym folderze, to jakiś Twój twór ręczny? [2012-06-24 20:42:43 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Firefoxgfgf A skrypt do OTL wykonany. W logu z OTL nie widać nic ciekawego. Na tym etapie i przy dostarczonych tu danych mogę zadać kroki końcowe czyszczenia: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie, w AdwCleaner Uninstall + , przez SHIFT+DEL skasuj folder C:\Documents and Settings\Ja\DoctorWeb 2. Wyczyść foldery Przywracania systemu: KLIK. . Odnośnik do komentarza
snowcrystal Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 - Czy przeinstalowałeś oprogramowanie poddane działaniu wirusa? Kilka programów musiałem usunąć bo Kaspersky usunął ich pliki.. To co zapamiętałem też usunąłem. Czy na pewno skaner uruchomiony po raz trzeci (w konfiguracji wszystko do skanu zaznaczone) nic nie wykrywa? Tak, za 3-cim i za 4-tym razem (zrobionym przed chwilą) nic nie wykrył. Czy problem ociężałej sieci nadal występuje? Tak i jest to bardzo charakterystyczne : przez kilka-kilkanaście sekund internet chodzi bez zastrzeżeń, strony ładują się bardzo szybko. Następnie przez kilka-kilkanaście sekund internet nie działa, strony nie ładują się w ogóle... I tak w kółko. Co jest w tym folderze, to jakiś Twój twór ręczny? Tak, to moje dzieło : D I chciałbym jeszcze dodać, że : i dzieje się jedna dziwna rzecz. Po starcie systemu gdy próbuję coś włączyć czy to z paska zadań czy z pulpitu pojawiają się właściwości tego pliku...(tak jakbym wcisnął ppm i kliknął właściwości). Jednak gdy przejadę dłonią po klawiaturze z 2 razy wciskając wszystkie klawisze to problem ustępuje aż do następnego uruchomienia systemu Ten problem nadal występuje. Zaraz się wezmę również, za kroki kończące podane przez Ciebie. //Wykonane Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Tak i jest to bardzo charakterystyczne : przez kilka-kilkanaście sekund internet chodzi bez zastrzeżeń, strony ładują się bardzo szybko. Następnie przez kilka-kilkanaście sekund internet nie działa, strony nie ładują się w ogóle... I tak w kółko. Sprawdź tę koncepcję: (...) może coś bruździ ten sterownik sieciowy Garena Plus: DRV - [2012-02-22 10:52:14 | 000,013,080 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Program Files\Garena Plus\x86\tcpiphlp.sys -- (tcpip helper) Czyli próbna deinstalacja Garena Plus. Po starcie systemu gdy próbuję coś włączyć czy to z paska zadań czy z pulpitu pojawiają się właściwości tego pliku...(tak jakbym wcisnął ppm i kliknął właściwości). Jednak gdy przejadę dłonią po klawiaturze z 2 razy wciskając wszystkie klawisze to problem ustępuje aż do następnego uruchomienia systemu Nic mi się z tym nie kojarzy chwilowo. A to na pewno nie jest wina klawiatury i "zatrzaśniętych" klawiszy? . Odnośnik do komentarza
snowcrystal Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Odinstalowałem Garena Plus z poziomu panelu sterowania i zrestartowałem system. Internet wydaje się być bez zmian. Co ciekawe wydaje się również, że zniknął ten drugi problem... Pingtest.net pokazuje mi 8-15 % utraty pakietów. //Mój dostawca internetu nie jest jakiś super, często są z nim problemy (internet laguje lub całkiem wysiada na kilka godzin), ale raczej nie takiego typu, żeby problem utrzymywał się przez dłuższy czas : < Choć to może być możliwe, że coś u nich się dzieje : D //////Przed chwilą pokazał się bsod o kodzie memory_management... Czym to mogło być spowodowane ? Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2012 Zgłoś Udostępnij Opublikowano 14 Lipca 2012 Sprawa na poziomie infekcji zdaje się być rozwiązana, toteż wykonaj podstawowe aktualizacje (KLIK) i potwierdź czy tu zamykać temat. Co ciekawe wydaje się również, że zniknął ten drugi problem... Jakoś tak to połączyłeś w wypowiedzi z deinstalacją Garena ... czy sugerujesz, że te dwa zjawiska były powiązane? Przed chwilą pokazał się bsod o kodzie memory_management... Czym to mogło być spowodowane ? Możesz wykonać debug zrzutów pamięci wg punktu 5 w ogłoszeniu: KLIK. Pingtest.net pokazuje mi 8-15 % utraty pakietów. //Mój dostawca internetu nie jest jakiś super, często są z nim problemy (internet laguje lub całkiem wysiada na kilka godzin), ale raczej nie takiego typu, żeby problem utrzymywał się przez dłuższy czas : Zakładam, że nie ma tu uszkodzeń w plikach sieciowych po wirusie... Zgłoś się do działu Sieci z raportem Net-Log. . Odnośnik do komentarza
snowcrystal Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Dostawca internetu potwierdził problem. Dzisiaj z rana problem wydaje się, że zniknął. Dziękuję za pomoc, temat do zamknięcia Odnośnik do komentarza
Rekomendowane odpowiedzi