Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Kaspersky TDSSKiller

paweldiabel

Przez paweldiabel
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

paweldiabel

paweldiabel

Opublikowano
Opublikowano

Witam

Przeczytałem kilka artykułów na temat proces hosta dla zadań systemu Windows oraz proces wykonawczy klienta/serwer. Nie spodziewałem się że po instalacji Kaspersky TDSSKiller zostanie wykryteł 8 zagrożeń. Postępowałem jak w temacie 

https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__33542#entry33542

Nie podejmowałem żadnych akcji typu przenoszenie do kwarantanny, usuń czy też skip.

 

 

Z Góry dziękuje za przeanalizowanie logów

 

Pozdrawiam

 

http://www.fotosik.pl/pokaz_obrazek/07e1f02135ca7056.html

 

Results of screen317's Security Check version 0.99.56

Windows 7 Service Pack 1 x64 (UAC is enabled)

Internet Explorer 9

``````````````Antivirus/Firewall Check:``````````````

ESET NOD32 Antivirus 4.2

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

TuneUp Utilities 2012 wersja 12.0.3600.104

Adobe Flash Player 11.5.502.110

Adobe Reader XI

Mozilla Firefox (17.0.1)

````````Process Check: objlist.exe by Laurent````````

ESET NOD32 Antivirus egui.exe

ESET NOD32 Antivirus ekrn.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

TDSSKiller.2.8.15.0_10.12.2012_13.03.56_log.txt

TDSSKiller.2.8.15.0_10.12.2012_13.08.56_log.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano
Nie spodziewałem się że po instalacji Kaspersky TDSSKiller zostanie wykryteł 8 zagrożeń.

 

Żadnych oznak infekcji. A to co widzi TDSSKiller to po prostu:

 

1. Zablokowana usługa licencyjna WAT:

 

13:09:56.0241 2488  Suspicious file (NoAccess): C:\Windows\system32\Wat\WatAdminSvc.exe. md5: 3CEC96DE223E49EAAE3651FCF8FAEA6C
13:09:56.0241 2488  WatAdminSvc ( LockedFile.Multi.Generic ) - warning
13:09:56.0241 2488  WatAdminSvc - detected LockedFile.Multi.Generic (1)

 

System ma zresztą subtelne śłady działań crackujących... I błędy aktywacji:

 

Error - 2012-10-04 12:37:17 | Computer Name = xxx-Komputer | Source = Winlogon | ID = 4103
Description = Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005.

 

2. Brak podpisów cyfrowych plików Adobe, ASUS, Intel i Nokia:

 

13:09:34.0881 2488  [ 8C1FD73CC27EDD8D3344C632571C224C ] AsSysCtrlService C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.05\AsSysCtrlService.exe
13:09:34.0901 2488  AsSysCtrlService ( UnsignedFile.Multi.Generic ) - warning
13:09:34.0901 2488  AsSysCtrlService - detected UnsignedFile.Multi.Generic (1)
13:09:39.0061 2488  [ 96A55CC44A967A5F9761E25B1F03BB02 ] EvtEng          C:\Program Files (x86)\Intel\Bin\EvtEng.exe
13:09:39.0071 2488  EvtEng ( UnsignedFile.Multi.Generic ) - warning
13:09:39.0071 2488  EvtEng - detected UnsignedFile.Multi.Generic (1)
13:09:41.0221 2488  [ 1CF03C69B49ACB70C722DF92755C0C8C ] IDriverT        C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
13:09:41.0241 2488  IDriverT ( UnsignedFile.Multi.Generic ) - warning
13:09:41.0241 2488  IDriverT - detected UnsignedFile.Multi.Generic (1)
13:09:49.0681 2488  [ 5E9847165E4FE202ADA891DD6EE2FA24 ] RegSrvc         C:\Program Files (x86)\Intel\Bin\RegSrvc.exe
13:09:49.0701 2488  RegSrvc ( UnsignedFile.Multi.Generic ) - warning
13:09:49.0701 2488  RegSrvc - detected UnsignedFile.Multi.Generic (1)
13:09:50.0121 2488  [ FEBC1C664C0F99CDCB0BC122F69E4A92 ] S24EventMonitor C:\Program Files (x86)\Intel\Bin\S24EvMon.exe
13:09:50.0131 2488  S24EventMonitor ( UnsignedFile.Multi.Generic ) - warning
13:09:50.0131 2488  S24EventMonitor - detected UnsignedFile.Multi.Generic (1)
13:09:51.0071 2488  [ 8C1F87F5FDD92229D1754B98F073913F ] ServiceLayer    C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
13:09:51.0111 2488  ServiceLayer ( UnsignedFile.Multi.Generic ) - warning
13:09:51.0111 2488  ServiceLayer - detected UnsignedFile.Multi.Generic (1)
13:09:52.0661 2488  [ F577910A133A592234EBAAD3F3AFA258 ] SwitchBoard     C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
13:09:52.0701 2488  SwitchBoard ( UnsignedFile.Multi.Generic ) - warning
13:09:52.0701 2488  SwitchBoard - detected UnsignedFile.Multi.Generic (1)

 

To nie jest infekcja. Te odczyty są typowe i w wielu tematach występowały.

 

 

Przeczytałem kilka artykułów na temat proces hosta dla zadań systemu Windows oraz proces wykonawczy klienta/serwer.

 

A tu nie rozumiem o co Ci chodzi...

 

 

 

 

.

Odnośnik do komentarza
paweldiabel

paweldiabel

Opublikowano
  • Autor
Opublikowano

Dzięki Picasso

Użyłem opcji Delete co do tych wykrytych "oznak infekcji". Nie wiem czy po usunięci tych ośmiu powiadomień wystąpiły problemy z Windows Update 800B0100. Zrestartowałem Składniki usługi Windows Update przy użyciu

http://support.microsoft.com/kb/971058

i poszło

 

System ma zresztą subtelne śłady działań crackujących... I błędy aktywacji:

 

Error - 2012-10-04 12:37:17 | Computer Name = xxx-Komputer | Source = Winlogon | ID = 4103

Description = Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005.

 

 

Przykładam się do zakupu "ORGINAŁA" tylko mam dylemat która wersje nabyć

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano
Użyłem opcji Delete co do tych wykrytych "oznak infekcji". Nie wiem czy po usunięci tych ośmiu powiadomień wystąpiły problemy z Windows Update 800B0100. Zrestartowałem Składniki usługi Windows Update przy użyciu

 

Ale usuwanie tego to był poważny błąd. Tego nie należy usuwać. Skoro faktycznie to wywaliłeś, musisz odtworzyć te komponenty. To oznacza reinstalację aplikacji, bo TDSSKiller wywala usługę + plik i nie ma możliwości przywrócić tego przez proste "Kopiuj".

 

 

 

 

.

Odnośnik do komentarza
paweldiabel

paweldiabel

Opublikowano
  • Autor
Opublikowano
Ale usuwanie tego to był poważny błąd. Tego nie należy usuwać. Skoro faktycznie to wywaliłeś, musisz odtworzyć te komponenty. To oznacza reinstalację aplikacji, bo TDSSKiller wywala usługę + plik i nie ma możliwości przywrócić tego przez proste "Kopiuj".

 

Człowiek Uczy się na błędach..

 

Do przeinstalowania te komponenty

 

13:09:34.0881 2488  [ 8C1FD73CC27EDD8D3344C632571C224C ] AsSysCtrlService C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.05\AsSysCtrlService.exe
13:09:34.0901 2488  AsSysCtrlService ( UnsignedFile.Multi.Generic ) - warning
13:09:34.0901 2488  AsSysCtrlService - detected UnsignedFile.Multi.Generic (1)
13:09:39.0061 2488  [ 96A55CC44A967A5F9761E25B1F03BB02 ] EvtEng		  C:\Program Files (x86)\Intel\Bin\EvtEng.exe
13:09:39.0071 2488  EvtEng ( UnsignedFile.Multi.Generic ) - warning
13:09:39.0071 2488  EvtEng - detected UnsignedFile.Multi.Generic (1)
13:09:41.0221 2488  [ 1CF03C69B49ACB70C722DF92755C0C8C ] IDriverT		C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
13:09:41.0241 2488  IDriverT ( UnsignedFile.Multi.Generic ) - warning
13:09:41.0241 2488  IDriverT - detected UnsignedFile.Multi.Generic (1)
13:09:49.0681 2488  [ 5E9847165E4FE202ADA891DD6EE2FA24 ] RegSrvc		 C:\Program Files (x86)\Intel\Bin\RegSrvc.exe
13:09:49.0701 2488  RegSrvc ( UnsignedFile.Multi.Generic ) - warning
13:09:49.0701 2488  RegSrvc - detected UnsignedFile.Multi.Generic (1)
13:09:50.0121 2488  [ FEBC1C664C0F99CDCB0BC122F69E4A92 ] S24EventMonitor C:\Program Files (x86)\Intel\Bin\S24EvMon.exe
13:09:50.0131 2488  S24EventMonitor ( UnsignedFile.Multi.Generic ) - warning
13:09:50.0131 2488  S24EventMonitor - detected UnsignedFile.Multi.Generic (1)
13:09:51.0071 2488  [ 8C1F87F5FDD92229D1754B98F073913F ] ServiceLayer	C:\Program Files (x86)\PC Connectivity Solution\ServiceLayer.exe
13:09:51.0111 2488  ServiceLayer ( UnsignedFile.Multi.Generic ) - warning
13:09:51.0111 2488  ServiceLayer - detected UnsignedFile.Multi.Generic (1)
13:09:52.0661 2488  [ F577910A133A592234EBAAD3F3AFA258 ] SwitchBoard	 C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
13:09:52.0701 2488  SwitchBoard ( UnsignedFile.Multi.Generic ) - warning
13:09:52.0701 2488  SwitchBoard - detected UnsignedFile.Multi.Generic (1)

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Na koniec drobne aktualizacje Adobe Flash + Java, w systemie masz wersje, a są już nowsze (KLIK):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417009FF}" = Java 7 Update 9 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_110.dll ()

 

 

Temat rozwiązany. Zamykam.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...