alan66 Opublikowano 8 Września 2010 Zgłoś Udostępnij Opublikowano 8 Września 2010 Witam wszystkich, Jest to mój pierwszy temat i post na Waszym forum. Proszę o wyrozumiałość jeśli czegoś nie dopełniłem. Przeczytałem instrukcję jak wstawiać tematy i co ma się w tym temacie znajdować. Niestety GMER podczas skanowania wstępnego zawiesza się i wyłącza internet. Zawsze w tym samym miejscu. Kilka razy musiałem uruchamiać ponownie komputer i klikać "napraw" połączenie by internet znów zaczął działać. Resetowałem również modem. Krótka historia: Komputer ma jakieś 2 lata i jest to laptop. Od tamtego czasu nigdy nie był formatowany. I nigdy do tej pory nie było z nim problemów. Problem pojawił się gdy zaktualizowałem go do service packa 3. Wgrałem tez wówczas nowego antywirusa (bitdefender total security 2010), odinstalowując starego którym był avast. W tym samym czasie wgrałem też TuneUp utilitties 2010, oraz Perfect Disk Pro 10. Wszystko po to by go zoptymalizować po wgraniu sp3. Zaznaczam jednak że odinstalowałem avasta tylko przez "dodaj lub usuń programy". Następnie przeskanowałem rejestr TuneUpem w celu wyeliminowania błędów. Defragmentacje tez robiłem. Wszystko było dobrze dopóki nie uruchomiłem ponownie komputera. Opis Problemu: Komputer zaczął strasznie wolno się włączać ( mam tu na myśli od momentu kliknięcia w nazwę użytkownika na panelu logowania do załadowania całego systemu). Więc pierwsze co zrobiłem to Przeprowadziłem raz jeszcze defragmentacje i wyłączyłem wszystkie zbyteczne programy przy autostarcie. Komputer przyśpieszył uruchamianie, jednak jeden problem pozostał- Firefox chodził straszliwie wolno. Z tym problemem dość długo walczyłem w różny sposób i wyglądało że w końcu się udało. Jednak po 10 uruchomieniach, komputer wrócił do "starych przyzwyczajeń" i znowu znacznie zwolnił. Skanowałem go kilkakrotnie bitdefenderem i usuwałem wszystkie pliki (poza niektórymi które znajdował ale usunąć nie mógł bo pisał że takie nie istnieją). Skanowałem go też "Malwarebytes' Anti-Malware" w wersji darmowej i usunąłem dwa pliki. Przyszło mi wtedy do głowy przywracanie systemu. Jednak nie udało się bo nie działało. W związku z powyższym zwracam się z prośbą o zobaczenie logów. Logi: Log z OTL: http://wklej.org/id/386528/ http://wklej.org/id/386529/ GMER się zawieszał więc nie mogę wrzucić jego "logu". Wyłączyłem emulacje Defogger'em i odinstalowałem Deamona. Log z Defogger'a: defogger_disable by jpshortstuff (23.02.10.1)Log created at 13:06 on 08/09/2010 (dom) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... d344prt -> Disabled (Service running -> reboot required) Unable to read sptd.sys SPTD -> Disabled (Service running -> reboot required) -=E.O.F=- A teraz log z Security Check: Results of screen317's Security Check version 0.99.5 Windows XP Service Pack 3 Internet Explorer 6 Out of date! `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! BitDefender Total Security 2010 McAfee Security Scan Plus WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Malwarebytes' Anti-Malware TuneUp Utilities TuneUp Utilities Language Pack (pl-PL) TuneUp Utilities Java 6 Update 13 Out of date Java installed! Adobe Flash Player 10.1.53.64 Adobe Reader 9.3.4 - Polish Mozilla Firefox (3.6.9) ```````````````````````````````` Process Check: objlist.exe by Laurent Common Files BitDefender BitDefender Update Service livesrv.exe BitDefender BitDefender 2010 vsserv.exe BitDefender BitDefender 2010 bdagent.exe BitDefender BitDefender 2010 seccenter.exe ```````````````````````````````` DNS Vulnerability Check: Unknown. This method cannot test your vulnerability to DNS cache poisoning. (Wireless connection?) ``````````End of Log```````````` Pozdrawiam i z góry dziękuję za czas poświęcony na czytanie tego. Dodałem w ten sposób bo post był za długi Odnośnik do komentarza
picasso Opublikowano 8 Września 2010 Zgłoś Udostępnij Opublikowano 8 Września 2010 Brak śladów infekcji. Temat migruję do działu Windows XP. GMER się zawieszał więc nie mogę wrzucić jego "logu". Jest napisane: w takiej sytuacji podaje się log z Root Repeal. Dodatkowo, porównując ilość serwisów wyłączanych via Defogger, wygląda na to, że opuścił jeden ze sterowników starego Daemona: Checking for services/drivers...d344prt -> Disabled (Service running -> reboot required)Unable to read sptd.sysSPTD -> Disabled (Service running -> reboot required) vs. DRV - [2003-12-27 20:42:12 | 000,137,216 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\d344bus.sys -- (d344bus)DRV - [2003-12-27 02:38:10 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\d344prt.sys -- (d344prt) Komputer zaczął strasznie wolno się włączać ( mam tu na myśli od momentu kliknięcia w nazwę użytkownika na panelu logowania do załadowania całego systemu). Więc pierwsze co zrobiłem to Przeprowadziłem raz jeszcze defragmentacje i wyłączyłem wszystkie zbyteczne programy przy autostarcie. Komputer przyśpieszył uruchamianie, jednak jeden problem pozostał- Firefox chodził straszliwie wolno. Z tym problemem dość długo walczyłem w różny sposób i wyglądało że w końcu się udało. Jednak po 10 uruchomieniach, komputer wrócił do "starych przyzwyczajeń" i znowu znacznie zwolnił. Skanowałem go kilkakrotnie bitdefenderem i usuwałem wszystkie pliki (poza niektórymi które znajdował ale usunąć nie mógł bo pisał że takie nie istnieją). Skanowałem go też "Malwarebytes' Anti-Malware" w wersji darmowej i usunąłem dwa pliki. Przyszło mi wtedy do głowy przywracanie systemu. Jednak nie udało się bo nie działało. W związku z powyższym zwracam się z prośbą o zobaczenie logów. Nie podałeś w ogóle raportów z usuwania skanerami, skąd mam wiedzieć co to było, jakiej wagi i czy w ogóle istotne i dające podstawy do dochodzeń infekcyjnych. 1. Raport OTL nie daje dużego pola do popisu w kwestii wyłączenia zbędników. Jest na odstrzał tylko wpis śmiecia od Realteka: Alcmtr. Skoro jest tu Bitdefender, to McAfee Security Scan Plus jest zbędny i go usuń, to będzie minus dwa obiekty startowe. Sumarycznie, to wszystko wypadnie: O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk = C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)SRV - [2010-01-15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService) Dodatkowo, z punktu widzenia kosmetyki, można wyrzucić martwe zapisy i szczątki po Ask Toolbar czy Daemon Toolbar. Ta operacja nie będzie mieć żadnego wpływu na pracę systemu. Zamknij przeglądarki. W OTL w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Everest Ultimate Edition V. 4.00.976\kerneld.wnt -- (EverestDriver) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=101720&gct=&gc=1&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=101720&gct=&gc=1&q=" IE - HKU\S-1-5-21-1292428093-515967899-725345543-1003\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll () O2 - BHO: (no name) - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - No CLSID value found. O3 - HKU\S-1-5-21-1292428093-515967899-725345543-1003\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O3 - HKU\S-1-5-21-1292428093-515967899-725345543-1003\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) [2009-07-30 13:17:49 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\l3qausmc.default\searchplugins\daemon-search.xml Rozpocznij przez Wykonaj skrypt. Proces powinien szybko się wykonać. Koniec operacji. W OTL uruchom Sprzątanie. 2. Pewnym punktem zaczepienia są wyciągi z Dziennika zdarzeń. Powiela się błąd usługi Aktualizacje Automatyczne: Error - 2010-09-08 05:27:23 | Computer Name = LAPTOP | Source = DCOM | ID = 10005Description = Model DCOM odebrał błąd "%1058" podczas próby uruchomienia usługi wuauserv z argumentami "" w celu uruchomienia serwera: {E60687F7-01A1-40AA-86AC-DB1CBF673334} Wykonaj działania z artykułu: KB896224. 3. Kolejna sprawa z Aktualizacjami automatycznymi. Stoją w OTL bardzo wymowne kontrolki w parze: O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} "http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1282250074968" (WUWebControl Class)O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} "http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1282250062078" (MUWebControl Class) Co dopiero rozwiązałam problem mielenia systemu podczas procesów aktualizacyjnych, z winy przestawienia się Windows Update na Microsoft Update: KLIK. 4. Ciężarne Gadu-Gadu 10, lubujące się w żarciu mocy i pamięci, jak to bywa w ciąży, można swobodnie zamienić o wiele lżejszym odpowiednikiem alternatywnym. Bez reklam. Do czytania: Darmowe komunikatory. Pierwsze do obejrzenia: WTW i Miranda. PS. Wyeliminuj zastrzeżenia Security Check: instaluj Internet Explorer 8 + Java 6 Update 21 (JRE). . Odnośnik do komentarza
alan66 Opublikowano 9 Września 2010 Autor Zgłoś Udostępnij Opublikowano 9 Września 2010 Dziękuję za odpowiedź. Jest napisane: w takiej sytuacji podaje się log z Root Repeal. Dodatkowo, porównując ilość serwisów wyłączanych via Defogger, wygląda na to, że opuścił jeden ze sterowników starego Daemona: Podaję log: ROOTREPEAL © AD, 2007-2009 ================================================== Scan Start Time: 2010/09/09 10:23 Program Version: Version 1.3.5.0 Windows Version: Windows XP SP3 ================================================== Drivers ------------------- Name: Image Path: Address: 0xF73DF000 Size: 96512 File Visible: No Signed: - Status: - Name: dump_iaStor.sys Image Path: C:\WINDOWS\System32\Drivers\dump_iaStor.sys Address: 0x9C316000 Size: 815104 File Visible: No Signed: - Status: - Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xF782D000 Size: 49152 File Visible: No Signed: - Status: - Hidden/Locked Files ------------------- Path: C:\hiberfil.sys Status: Locked to the Windows API! SSDT ------------------- #: 017 Function Name: NtAllocateVirtualMemory Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57ae4 #: 019 Function Name: NtAssignProcessToJobObject Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57e4e #: 031 Function Name: NtConnectPort Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5913e #: 037 Function Name: NtCreateFile Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc58868 #: 041 Function Name: NtCreateKey Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc595c6 #: 047 Function Name: NtCreateProcess Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57f98 #: 048 Function Name: NtCreateProcessEx Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5801a #: 050 Function Name: NtCreateSection Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5868c #: 053 Function Name: NtCreateThread Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc576e6 #: 066 Function Name: NtDeviceIoControlFile Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc596c6 #: 068 Function Name: NtDuplicateObject Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5c2f4 #: 084 Function Name: NtFsControlFile Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc59804 #: 097 Function Name: NtLoadDriver Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5a25c #: 116 Function Name: NtOpenFile Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5877c #: 122 Function Name: NtOpenProcess Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5c046 #: 125 Function Name: NtOpenSection Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc585ac #: 128 Function Name: NtOpenThread Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5c174 #: 137 Function Name: NtProtectVirtualMemory Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc579e2 #: 180 Function Name: NtQueueApcThread Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57ef0 #: 193 Function Name: NtReplaceKey Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc59dbe #: 199 Function Name: NtRequestPort Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc591ce #: 200 Function Name: NtRequestWaitReplyPort Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc58f6a #: 204 Function Name: NtRestoreKey Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc59e2e #: 210 Function Name: NtSecureConnectPort Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc59374 #: 213 Function Name: NtSetContextThread Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc577d6 #: 237 Function Name: NtSetSecurityObject Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc59d4e #: 240 Function Name: NtSetSystemInformation Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57be8 #: 253 Function Name: NtSuspendProcess Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57944 #: 254 Function Name: NtSuspendThread Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc578a6 #: 255 Function Name: NtSystemDebugControl Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57dac #: 257 Function Name: NtTerminateProcess Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5bfb6 #: 258 Function Name: NtTerminateThread Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5c402 #: 277 Function Name: NtWriteVirtualMemory Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc575e4 Stealth Objects ------------------- Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE_NAMED_PIPE] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_INFORMATION] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_INFORMATION] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_EA] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_EA] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_VOLUME_INFORMATION] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_VOLUME_INFORMATION] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_DIRECTORY_CONTROL] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_FILE_SYSTEM_CONTROL] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_LOCK_CONTROL] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLEANUP] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE_MAILSLOT] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_SECURITY] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_SECURITY] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CHANGE] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_QUERY_QUOTA] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_SET_QUOTA] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP] Process: System Address: 0x85802c88 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE_NAMED_PIPE] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_CLOSE] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_READ] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_WRITE] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_INFORMATION] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_SET_INFORMATION] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_EA] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_SET_EA] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_FLUSH_BUFFERS] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_VOLUME_INFORMATION] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_SET_VOLUME_INFORMATION] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_DIRECTORY_CONTROL] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_FILE_SYSTEM_CONTROL] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_DEVICE_CONTROL] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_INTERNAL_DEVICE_CONTROL] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_SHUTDOWN] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_LOCK_CONTROL] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_CLEANUP] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_CREATE_MAILSLOT] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_SECURITY] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_SET_SECURITY] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_POWER] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_SYSTEM_CONTROL] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_DEVICE_CHANGE] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_QUERY_QUOTA] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_SET_QUOTA] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: atapi, IRP_MJ_PNP] Process: System Address: 0x85726518 Size: 99 Object: Hidden Code [Driver: scerpc, IRP_MJ_READ] Process: System Address: 0x85a965a4 Size: 11 Object: Hidden Code [Driver: Rdbss, IRP_MJ_READ] Process: System Address: 0x85716cb4 Size: 11 Object: Hidden Code [Driver: Srv, IRP_MJ_READ] Process: System Address: 0x852c514c Size: 11 Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ] Process: System Address: 0x852311dc Size: 11 Object: Hidden Code [Driver: NpfsЅఇ䵃慖, IRP_MJ_READ] Process: System Address: 0x8571c0a4 Size: 11 Object: Hidden Code [Driver: MsfsÐ…à°†æ‰æµŽFatDiskRecog, IRP_MJ_READ] Process: System Address: 0x855a30a4 Size: 11 Object: Hidden Code [Driver: Fs_Rec, IRP_MJ_READ] Process: System Address: 0x8571b0a4 Size: 11 Object: Hidden Code [Driver: CdfsÈ…æ‰ç…“Èà°‚æ‰æµŽBeepȂ剒敬, IRP_MJ_READ] Process: System Address: 0x85a9b35c Size: 11 Shadow SSDT ------------------- #: 307 Function Name: NtUserAttachThreadInput Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57352 #: 323 Function Name: NtUserCallOneParam Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57474 #: 347 Function Name: NtUserDdeSetQualityOfService Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc572e6 #: 383 Function Name: NtUserGetAsyncKeyState Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc572a6 #: 414 Function Name: NtUserGetKeyboardState Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57168 #: 416 Function Name: NtUserGetKeyState Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc57124 #: 460 Function Name: NtUserMessageCall Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc56ea6 #: 475 Function Name: NtUserPostMessage Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc56d30 #: 476 Function Name: NtUserPostThreadMessage Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc56d84 #: 491 Function Name: NtUserRegisterRawInputDevices Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc56f04 #: 502 Function Name: NtUserSendInput Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc56cf6 #: 549 Function Name: NtUserSetWindowsHookEx Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc5668c #: 552 Function Name: NtUserSetWinEventHook Status: Hooked by "C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys" at address 0x9bc569be ==EOF== Dodaje dzienniki skanowań Bitdefendera do których udało mi się dotrzeć: hxxps://www.yousendit.com/download/ UFVvYlJhZy9GOFR2Wmc9PQ Podaje linka w tej sposób gdyby ktoś bał się o zagrożenie wirusowe. Skoro jest tu Bitdefender, to McAfee Security Scan Plus jest zbędny i go usuń, to będzie minus dwa obiekty startowe A to nie jest czasem potrzebna część programu McAfee Site Advisor? - bo ten pokazuje potencjalnie groźne witryny. Co do drugiego Twojego punktu w związku z aktualizacjami automatycznymi to sam je wyłączyłem w narzedzią administracyjne>>> usługi, ponieważ ten proces żżerał tak bardzo zasoby komputera że nie dało się pracować. W związku z tym go wyłączyłem. Komputer ten nie ma oryginalnego windowsa xp więc jest problem z aktualizacjami. Co do punktu 4 skolei to dziękuję Już się za to biorę Spróbuje jakoś zainstalować IE8 na tym systemie;) Pozdrawiam i dziękuję za tą odpowiedź Odnośnik do komentarza
picasso Opublikowano 9 Września 2010 Zgłoś Udostępnij Opublikowano 9 Września 2010 Nie widzę kwalifikacji do męczenia tematu "infekcji". Raporty z BitDefender nie podają nic szczególnego: - Foldery Przywracania systemu System Volume Information = to można zbiorczo sobie wyczyścić (KLIK) - Pliki Cookie i cache Firefox = zbiorcze opróżnienie tymczasowych Liska możesz wykonać przez TFC - Temp Cleaner. - Patche do BitDefendera A to nie jest czasem potrzebna część programu McAfee Site Advisor? - bo ten pokazuje potencjalnie groźne witryny. Nie. To są dwa niezależne programy i występują odrębnie na liście Dodaj / Usuń. McAfee Site Advisor nie ruszałam w Twoim logu. Zaś McAfee Security Scan przypuszczalnie mógł się zamontować z Adobe Reader, jest doczepiany do tej paczki w charakterze sponsora. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{35ED3F83-4BDC-4c44-8EC6-6A8301C7413A}" = McAfee SiteAdvisor"McAfee Security Scan" = McAfee Security Scan Plus Co do drugiego Twojego punktu w związku z aktualizacjami automatycznymi to sam je wyłączyłem w narzedzią administracyjne>>> usługi, ponieważ ten proces żżerał tak bardzo zasoby komputera że nie dało się pracować. W związku z tym go wyłączyłem. Komputer ten nie ma oryginalnego windowsa xp więc jest problem z aktualizacjami. Pożeranie zasobów przez aktualizacje automatyczne zapewne było wynikiem tego co opisuję w punkcie 3 (kontrolka MUWebControl Class). By to sprawdzić: usługę aktualizacji przywróć i przestaw opcję na Windows Update z poziomu strony, tak jak w podlinkowanym temacie. PS. Wszystkie logi ujęłam w spoilerach, w związku ze zmianą lokalizacji tematu. . Odnośnik do komentarza
alan66 Opublikowano 9 Września 2010 Autor Zgłoś Udostępnij Opublikowano 9 Września 2010 (edytowane) Dziękuję za pomoc:) Zrobiłem wszystko według opisu. Jednak zastanawiam się. Pożeranie zasobów przez aktualizacje automatyczne zapewne było wynikiem tego co opisuję w punkcie 3 (kontrolka MUWebControl Class). By to sprawdzić: usługę aktualizacji przywróć i przestaw opcję na Windows Update z poziomu strony, tak jak w podlinkowanym temacie. czy teraz mam wyłączyć spowrotem aktualizacje automatyczne? Jak narazie patrzę to system zachowuje się w miare dobrze:) Jednak coś nie daje mi spokoju... Dlaczego przed zainstalowaniem sp3 oraz bitdefendera komputer choć nie miał prowadzonych żadnych działań optymalizacyjnych i działał 2 lata bez formata to chodził szybciej niż teraz? Mam zainstalowanego Bitdefendera na 3 innych komputerach i musze powiedzieć iż ten antywirus nie jest wielce zasobożerny. Przynajmniej z moich obserwacji. Po Twoich poradach widzę sprawniejsze działanie systemu jednak nadal zastanawiam się czy sp3 jest aż tak bardzo zasobożerny i wniósł "więcej szkód" niż pożytku. Pozdrawiam:) Edytowane 21 Lutego 2011 przez picasso 21.02.2011 - Temat zostaje zamknięty. Wygasła jego żywotność ustalona zasadami. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi