artus72 Opublikowano 9 Października 2012 Zgłoś Udostępnij Opublikowano 9 Października 2012 Witam, po załadowaniu pulpitu (przy starcie komputera) słychać podwójny "Ding" (dźwięk systemowy). Często zdarzają się zwiechy IE - w takich wypadkach pomaga zabicie procesu w Menadżerze Zadań. Dodatkowo zaobserwowałem zamrażanie filmów HD podczas projekcji. Można odnieść wrażenie jakby obraz zwalniał i przyspieszał co chwilę. Proszę o pomoc GMER.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 GMER wygląda niepokojąco, sugeruje wirusa Virut w plikach wykonywalnych. Przeskanuj system tą kombinacją: VirutKiller (specjalizowany) + Kaspersky Virus Removal Tool (ogólny). Przedstaw mi co skanery znalazły. Dodaj nowy log z GMER zrobiony po skanach. . Odnośnik do komentarza
artus72 Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 Niestety, VirutKiller po uruchomieniu pokazuje komunikat jaki widać na załączonym obrazku. KVRT nie znajduje w ogóle niczego. [w trybie awaryjnym pierwszy nie znajduje nic, drugi nie pozwala się uruchomić] Log z GMER to dopiero jutro, bo na dziś mam już dość wrażeń sprzed komputera. Czy w obliczu formatu (nic nie da się już zrobić, prawda?) mogę zgrać sobie na płyty DVD jakieś pliki? Wiem, że nie można archiwizować żadnych .exe etc. Ale czy można ocalić chociaż muzykę, kilka filmów, jakieś obrazki? Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 Infekcja wyjaśniałaby problemy stabilności Windows ... Jaki błąd zwraca Kaspersky Virus Removal Tool w Trybie awaryjnym? GMER pokazuje nienormalny zestaw, a VirutKiller namierzył właśnie to co widać w GMER ("Spliced function ... fixed in ntdll.dll"). Niestety VirutKiller nie jest zdolny ukończyć pracy i nie wiadomo co się tam dzieje... Zobaczymy co pokaże nowy GMER, choć podejrzewam, że to samo. Czy w obliczu formatu (nic nie da się już zrobić, prawda?) mogę zgrać sobie na płyty DVD jakieś pliki? Wiem, że nie można archiwizować żadnych .exe etc. Ale czy można ocalić chociaż muzykę, kilka filmów, jakieś obrazki? Nie wiem czy tu nadchodzi format, ale sytuacja jest niepokojąca. Jeżeli to Virut, to są niepewne także i JPG, PDF, HTML, RAR i ZIP. . Odnośnik do komentarza
artus72 Opublikowano 11 Października 2012 Autor Zgłoś Udostępnij Opublikowano 11 Października 2012 Wczoraj wieczorem byłem już zmęczony, więc jeden z komunikatów KVRT odebrałem jako niemożność wystartowania narzędzia. Dzisiaj po jego odpaleniu w trybie awaryjnym (i ustawieniu głębokiego skanowania) znalazł jedno zagrożenie. Przyznałem akcję Skip, a ze 108 MB (!) logu załączam linijkę zawierającą pełną ścieżkę i nazwę szkodnika. 2012-10-11 16:06:14 Detected: Exploit.Java.CVE-2012-1723.cn C:\Documents and Settings\Artur\Ustawienia lokalne\Dane aplikacji\Sun\Java\Deployment\cache\6.0\1\299a8681-76762cd7/ie_ja/ie_jc.class VK wciąż nie chce działać. Zaraz zapuszczę GMERa GMER2.TXT Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 W GMER bez zmian, patrząc po funkcjach coś dziwnego się dzieje w systemie. Co do VirutKiller: czy gdy jest uruchomiony działają w tle Mamutu Guard + MSSE? Sprawdziłeś jak to wygląda bez osłon? . Odnośnik do komentarza
artus72 Opublikowano 12 Października 2012 Autor Zgłoś Udostępnij Opublikowano 12 Października 2012 Przed rozpoczęciem skanowania VirutKillerem oczywiście wyłączałem antywira i mamuta. VK za każdym razem tak samo się wysypuje po kilku sekundach działania. Widocznie infekcja przerywa jego działanie. Czy wobec tego są jakieś narzędzia działające poza systemem (np. bootowalne płyty), które mogłyby coś zaradzić? Jeśli nie ma, to trzeba zamykać temat a ja jakoś przeżyję utratę tych wszystkich wirtualnych dóbr skrzętnie gromadzonych przez ładnych parę lat Pozdrawiam i dziękuję za poświęcony czas. [EDZIA] Odinstalowałem Mamutu i VK ruszył. Niestety, nic nie znalazł. Teraz zapuściłem KVRT... Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 Płyty są: KLIK. Tylko że mam tu wątpliwości czy cokolwiek zostanie wykryte, skoro Kaspersky Virus Removal tego nie widzi, a VirutKiller w Trybie awaryjnym nie wykrywa zmodyfikowanych funkcji ntdll.dll. EDIT: Odinstalowałem Mamutu i VK ruszył. Niestety, nic nie znalazł. Czyli tym razem nie było adnotacji "Spliced function ... fixed in ntdll.dll"? . Odnośnik do komentarza
artus72 Opublikowano 12 Października 2012 Autor Zgłoś Udostępnij Opublikowano 12 Października 2012 Właśnie. Wychodzi na to, że tylko w parze z mamutem VK wyświetla zatrute procesy (przez chwil kilka, potem kicha), gdy tylko odłączę "katalizator" (Mamutu), VirutKiller w ogóle nic nie znajduje. Cud normalnie. Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 Zaczęłam to podejrzewać po Twojej edycji. Z tego wynika, że Mamutu tworzy te funkcje (bardzo podobne do tych od Virut). To teraz pytanie: czy przypadkiem po usunięciu Mamutu nie nastąpiła jakaś poprawa w pracy systemu? I czy nadal "ding, ding" przy starcie? . Odnośnik do komentarza
artus72 Opublikowano 12 Października 2012 Autor Zgłoś Udostępnij Opublikowano 12 Października 2012 W tzw. międzyczasie apiać zainstalowałem Mamutu (jakiś ekspres w działaniu mi się włączył, jak nigdy). Odinstaluję go i sprawdzę obecność dinga (ale nie australijskiego dzikiego skowyra ) Wystąpienia (lub nie) powyższego dźwięku nie miałem okazji sprawdzić - wyciszyłem całkowicie audio, coby mnie rodzina nie zlinczowała za wzmożoną emisję drażniących odgłosów. Jak przetestuję maszynę, niezwłocznie napiszę, co jest grane. I spróbuję zapuścić GMER... [Tak przez głowę przebiegła mi myśl, że może mam jakąś mutację Viruta odporną na działanie skanerów... Jest to możliwe?] [EDZIA AGAIN] Po definitywnym zlikwidowaniu Mamuta (nie myśl proszę, że jestem wrogo usposobiony do zwierzaków) nie ma podejrzanych dźwięków, log z GMERa podejrzanie krótki... Czyżby to oznaczało, że to ów nieszczęsny bloker behawioralny (kurczę, to brzmi prawie jak "ochroniarz" ) powodował całe to zamieszanie?? [a kto mi zwróci moje 69 PLN, nie używam programów z witaminą] GMER3.TXT Odnośnik do komentarza
picasso Opublikowano 13 Października 2012 Zgłoś Udostępnij Opublikowano 13 Października 2012 Po definitywnym zlikwidowaniu Mamuta (nie myśl proszę, że jestem wrogo usposobiony do zwierzaków) nie ma podejrzanych dźwięków, log z GMERa podejrzanie krótki... Czyżby to oznaczało, że to ów nieszczęsny bloker behawioralny powodował całe to zamieszanie?? Tak właśnie sądzę, GMER mnie zupełnie zmylił, funkcje bardzo podobne do tych robionych przez Virut, nie skojarzyłam z Mamutu w OTL. Natomiast nie wypowiadasz się nic na temat tych zdarzeń: Często zdarzają się zwiechy IE - w takich wyapdkach pomaga zabicie procesu w Menadżerze Zadań. Dodatkowo zaobserwowałem zamrażanie filmów HD podczas projekcji. Można odnieść wrażenie jakby obraz zwalniał i przyspieszał co chwilę. PS. I zrób kosmetykę pustych wpisów startowych. Do ręki Autoruns i usuń te wpisy: Karta Logon: O4 - HKLM..\Run: [DriverCD] E:\Run.exe File not foundO4 - HKU\S-1-5-21-776561741-1220945662-682003330-1003..\Run: [fsm] File not found Karta Drivers: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Artur\Dane aplikacji\NVIDIA\HWAccess.sys -- (NVIDIAHWAccess)DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\cv2k1.sys -- (CV2K1)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPANEL.SYS -- (Cardex)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Artur\USTAWI~1\Temp\ALSysIO.sys -- (ALSysIO) . Odnośnik do komentarza
artus72 Opublikowano 13 Października 2012 Autor Zgłoś Udostępnij Opublikowano 13 Października 2012 Wczoraj wieczorem skasowałem (a raczej zrobił to jakiś skaner na żądanie - bez potrzeby zacząłem na własną rękę szukać dodatkowych "uzdrawiaczy" - uznając za szkodliwe) kilka ważnych dla mnie plików. Aby je odzyskać użyłem funkcji Przywracanie systemu. Pliki wróciły, rzecz jasna wróciło też Mamutu, którego nie mogłem odinstalować z powodu braku jakichś 3 pliczków deistalacyjnych. Na lapku córki zainstalowałem mamuta, skopiowałem brakujące pliki do właściwego folderu na moim komputerze i... udało się. Za to nie chce startować MSSE, nie mogę go też odinstalować w normalny sposób - dostaję komunikat, jak na załączonym jotpegu (pewnie przywracanie systemu coś naruszyło...). Jak na razie, filmy się nie zacinają, puste wpisy startowe usunąłem. IE nie testuję, bo obecnie nie mam działąjącego żadnego antywira (zamierzam zainstalować pakiet G Data, sprawował się nieźle przed Mamutem), nawet tego posta redaguję przy wyciągniętej wtyczce z routera Dlaczego Mamutu zaczął fiksować? Przez rok czasu, czyli w okresie darmowej licencji, wszystko było cacy. Czy można powiedzieć, że komercja zjadła porządek? [EDZIA] Zapuściłem jeszcze 2 razy GMER. Log o oznaczeniu GMER4 powstał, gdy nie działały żadne procesy prócz systemowych, natomiast GMER5 został wygenerowany w obecności otwartego IE. Czy widoczne w tym dokumencie wpisy oznaczają, że znów odrodziło się jakieś dziadostwo? Obrazek o nazwie "Start" pokazuje komunikat o błędzie MSSE tuż po uruchomieniu komputera. "Dingi" już się nie pojawiają. GMER4.TXT GMER5.TXT Odnośnik do komentarza
picasso Opublikowano 17 Października 2012 Zgłoś Udostępnij Opublikowano 17 Października 2012 Zapuściłem jeszcze 2 razy GMER. Log o oznaczeniu GMER4 powstał, gdy nie działały żadne procesy prócz systemowych, natomiast GMER5 został wygenerowany w obecności otwartego IE. Czy widoczne w tym dokumencie wpisy oznaczają, że znów odrodziło się jakieś dziadostwo? Tego GMERa już nie dręcz. Jego zawartość jest OK. Ten drugi to typowy widok przy uruchomionym w tle Internet Explorer. Dlaczego Mamutu zaczął fiksować? Przez rok czasu, czyli w okresie darmowej licencji, wszystko było cacy. Na to pytanie nie jestem w stanie udzielić odpowiedzi. Za to nie chce startować MSSE, nie mogę go też odinstalować w normalny sposób - dostaję komunikat, jak na załączonym jotpegu (pewnie przywracanie systemu coś naruszyło...). Zastosuj specjalny usuwacz do MSSE: KLIK, czyli KLIK. . Odnośnik do komentarza
artus72 Opublikowano 24 Października 2012 Autor Zgłoś Udostępnij Opublikowano 24 Października 2012 Witam, tydzień czasu nie pisałem żeby móc spokojnie poobserwować zachowanie mojego niesfornego kompika. Zainstalowałem G DATA, ale uniemożliwił on normalne korzystanie z netu. Opera w ogóle nie chciała pracować, IE bardzo opornie wczytywał rozmaite strony. Odinstalowałem ten pakiet i wrzuciłem KAV 2013. Strumienie HD odczytywane wprost z dysku twardego odtwarzają się bez skoków, tylko te z netu (np. vod.onet.pl) korzystające z technologii Silverlight delikatnie się przycinają. IE wciąż wygląda na zdefektowany - trudno jest otworzyć i po prostu zamknąć kartę. Nadal trzeba posiłkować się Menadżerem zadań. Zaraz po włączeniu komputera można zauważyć "mignięcie" ikon i skrótów na pulpicie - znikają i pojawiają się niemal natychmiast po zniknięciu. Chwila pracy systemu i znów taki refresh. Obawiam się, że to jednak jest jakieś wredne robactwo, na które jeszcze nikt nie wynalazł lekarstwa Odnośnik do komentarza
picasso Opublikowano 25 Października 2012 Zgłoś Udostępnij Opublikowano 25 Października 2012 IE wciąż wygląda na zdefektowany - trudno jest otworzyć i po prostu zamknąć kartę. Nadal trzeba posiłkować się Menadżerem zadań. W Twoim pierwszym OTL Extras stoi coś takiego: [ Application Events ]Error - 2012-09-23 07:24:26 | Computer Name = PRIVATE | Source = Application Hang | ID = 1002Description = Aplikacja zawieszająca iexplore.exe, wersja 8.0.6001.18702, moduł zawieszenia hungapp, wersja 0.0.0.0, adres zawieszenia 0x00000000. Error - 2012-09-23 09:30:21 | Computer Name = PRIVATE | Source = Application Error | ID = 1000Description = Aplikacja powodująca błąd iexplore.exe, wersja 8.0.6001.18702, moduł powodujący błąd wot.dll, wersja 12.8.2.0, adres błędu 0x00007e55. Wystąpień z "moduł powodujący błąd wot.dll" więcej niż jedno. No cóż, wot.dll = WOT dla przegladarki Internet Explorer... Na próbę to odinstaluj i sprawdź efekty. Zaraz po włączeniu komputera można zauważyć "mignięcie" ikon i skrótów na pulpicie - znikają i pojawiają się niemal natychmiast po zniknięciu. Chwila pracy systemu i znów taki refresh. Otwórz Dziennik zdarzeń i w sekcji Aplikacje szukaj czy nie ma błędu z explorer.exe (nie z iexplore.exe), gdyby coś takiego było, przeklej szczegóły błędu. . Odnośnik do komentarza
artus72 Opublikowano 25 Października 2012 Autor Zgłoś Udostępnij Opublikowano 25 Października 2012 WOT odinstalowałem, wtyczkę Ghostery (na wszelki wypadek) również. Niestety, wciąż brak poprawy. Zauważyłem, że IE działający z jedną kartą podczas zamykania oporów nigdy nie stawia. Ciekawe, że czasem zamknięcie takiej pojedynczej karty powoduje niemal natychmiastowe ubicie procesu iexplore.exe a czasem wisi on w nieskończoność (czyli do momentu "ręcznego" jego wyłączenia). (nie wiem, czy to ważne ale spostrzegłem, że IE połączony nawet z jedną witryną korzysta z dwu procesów iexplore.exe. Dla trzech otwartych jednocześnie kart widać ich teraz aż 5. Tak ma być?) Zakładka Aplikacja Dziennika zdarzeń nie pokazuje żadnych błędów, ostrzeżeń czy informacji z explorer.exe w tytule. Za to blisko 2 tygodnie temu zanotowano (po raz ostatni - wcześniej występowała ona dość często) taką oto informację: Typ zdarzenia: Informacje Źródło zdarzenia: Winlogon Kategoria zdarzenia: Brak Identyfikator zdarzenia: 1002 Data: 2012-10-12 Godzina: 22:24:42 Użytkownik: Brak Komputer: PRIVATE Opis: Powłoka systemowa została nagle zatrzymana i uruchomiono Explorer.exe. Aby znaleźć więcej informacji, zobacz http://go.microsoft.com/fwlink/events.asp w Centrum pomocy i obsługi technicznej. Odnośnik do komentarza
picasso Opublikowano 26 Października 2012 Zgłoś Udostępnij Opublikowano 26 Października 2012 Przetestuj jak się sprawy mają po wyłączeniu wszystkich niedomyślnych rozszerzeń powłoki. Uruchom ShellExView. W programie zaznacz wszystkie wpisy oznaczone kolorem różowym i zdeaktywuj. Zresetuj system. Podaj wyniki, czy nadal karta IE ciężko wchodzi + pojawia się efekt "mrugania" ikon Pulpitu. (nie wiem, czy to ważne ale spostrzegłem, że IE połączony nawet z jedną witryną korzysta z dwu procesów iexplore.exe. Dla trzech otwartych jednocześnie kart widać ich teraz aż 5. Tak ma być?) To normalne (separacja kart): KLIK. Podobną technikę ma też Google Chrome. PS. Temat przenoszę do działu XP, bo realnej infekcji nie wykryliśmy. . Odnośnik do komentarza
artus72 Opublikowano 26 Października 2012 Autor Zgłoś Udostępnij Opublikowano 26 Października 2012 Bingo. Pomogło odznaczenie w ShellEXView różowych opcji. IE już działa normalnie (przynajmniej na razie), niestety nadal miga pulpit po włączeniu komputera i tuż przed jego wyłączeniem. Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 Bingo. Pomogło odznaczenie w ShellEXView różowych opcji. IE już działa normalnie To teraz zacznij się cofać wstecz, włączając partiami uprzednio zdeaktywowane wejścia + restart, aż wytypujesz które z nich jest kluczowe dla zwisów IE. niestety nadal miga pulpit po włączeniu komputera i tuż przed jego wyłączeniem Na to nie mam na razie pomysłu. Czyli to się dzieje tylko przy starcie + zamykaniu, nie występuje w trakcie normalnej pracy? . Odnośnik do komentarza
artus72 Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Metodą progresywnego włączania uprzednio zatrzymanych rozszerzeń powłoki udało się odnaleźć winowajcę. Okazał się nim być URL Advisor Plugin. Załączam 2 obrazki precyzyjnie określające jego właściwości. Zastanawiająca jest data utworzenia tego pliku (17 sierpnia br.). Przecież KAV jest u mnie obecny dopiero nieco ponad tydzień... Czyli to się dzieje tylko przy starcie + zamykaniu, nie występuje w trakcie normalnej pracy? Tak, resetowanie powłoki ma miejsce tylko podczas włączania i wyłączania komputera. Odnośnik do komentarza
picasso Opublikowano 28 Października 2012 Zgłoś Udostępnij Opublikowano 28 Października 2012 artus72, z tego wynika, że Internet Explorer szwankował tu z dwóch różnych powodów, ponieważ na początku tematu nie było Kasperskiego. Zasugerowałeś mnie, że jest to kontynuacja wątku pierwotnego i stan niezmieniony, a się okazuje że nową świnię podłożyła kombinacja z wymianą zabezpieczeń. Z historii tematu wynika, że najpierw załatwiała IE spółka Mamutu/WOT, następnie Kaspersky. Ogólne wnioski się nasuwają takie: wszystkie usterki w temacie były z winy oprogramowania zabezpieczającego... A ten plik URL Advisor Plugin jest w porządku, data wewnętrzna Kasperskiego (też u mnie taka sama w testowej maszynie), wpisu na pewno nie było we wcześniejszych logach. Były za to: O2 - BHO: (Ghostery Add-On) - {237EB6DA-3FEA-4DD2-8A61-A901B5C489D7} - C:\Program Files\GhosteryIEplugin\GhosteryBrowserHelperObject.dll ()O2 - BHO: (Java Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)O2 - BHO: (WOT Helper) - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Program Files\WOT\WOT.dll ()O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) Tak, resetowanie powłoki ma miejsce tylko podczas włączania i wyłączania komputera. No cóż, to ja się zastanawiam czy przypadkiem i to nie jest robota Kasperskiego ... . Odnośnik do komentarza
artus72 Opublikowano 28 Października 2012 Autor Zgłoś Udostępnij Opublikowano 28 Października 2012 Odinstalowałem Kaspra, odpiąlem wtyczkę od netu, zrestartowałem kilkakrotnie komputer coby dokładnie policzyć ilość mignięć po włączeniu i przed wyłączeniem. Po włączeniu widać już tylko jednokrotny reset shella, przed wyłączeniem dalej są 2. Czyli Kaspersky prokurował jeden reset tuż po włączeniu. Ogólne wnioski się nasuwają takie: wszystkie usterki w temacie były z winy oprogramowania zabezpieczającego... Czyli - najlepiej, gdy pozostawię komputer takim, jakim jest teraz, niezabezpieczony Ręce opadają... Chyba powinienem pomodlić się do św. Judy Tadeusza, Patrona Spraw Beznadziejnych Tak czy inaczej - dziękuję za cierpliwość i poświęcony czas. Podziwiam Twoje opanowanie w obliczu takich przypadków jak mój (ja na Twoim miejscu zaordynowałbym spuszczenie mojego blaszaka z 3 piętra). Pozdrawiam [EDYTA] A tak już zupełnie poważnie - coś powoduje, że oprogramowanie zabezpieczające w moim komputerze zachowuje się... dziwnie. Co to może być, czy mogą to jednak być jakieś niezidentyfikowane do tej pory wirusy? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się