Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Wolne starty komputera, przycinanie przeglądarki

Starpis

Przez Starpis
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Starpis

Starpis

Opublikowano
Opublikowano

Witam serdecznie.

Prezentuję moje logi z programu OTL :

OTL.txt

http://wklejto.pl/77438

Extras.txt

http://wklejto.pl/77439

 

Bardzo mi przykro, ale niestety nie mogę zrobić logów programem GMER, ponieważ podczas skanowania komputer sam się restartuje. Nie wiem z jakiej przyczyny.

SPTD też nic nie wykrył.

Dlatego daję logi z RootRepeal:

http://wklejto.pl/77508

 

Jedynie z GMER daje preskan :

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit quick scan 2010-09-23 00:05:34

Windows 5.1.2600 Dodatek Service Pack 3

Running: zsn7uz5j.exe; Driver: C:\DOCUME~1\Andrzej\USTAWI~1\Temp\uxtdypob.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB5DA20A8]

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB5DA2110]

 

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs TfFsMon.sys (ThreatFire Filesystem Monitor/PC Tools)

AttachedDevice \Driver\Tcpip \Device\Ip pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\Tcp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\Udp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

AttachedDevice \Driver\Tcpip \Device\RawIp pctgntdi.sys (PC Tools Generic TDI Driver/PC Tools)

AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

 

---- EOF - GMER 1.0.15 ----

 

Pozdrawiam i liczę na pomoc.

 

Z góry dziękuję.

 

@edit

Przeskanowałem sobie komputer programem Malwarebytes Anti-Malware i znalazł mi 2 zakażone pliki (rootkity). Usunąłem je.

Link do loga :

http://wklejto.pl/77513

Po usunięciu :

http://wklejto.pl/77514

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

1. Kilka uwag co do narzędzi logów:

 

MOD - [2010-09-17 20:23:11 | 000,575,488 | ---- | M] (OldTimer Tools) -- F:\OTL_3.2.12.1(dobreprogramy.pl).exe

 

Stosujesz przestarzałą wersję, aktualna to 3.2.14.1. Obowiązkiem jest tutaj stosowanie zawsze najnowszego builda aplikacji. Poza tym, dość niechętnie patrzę na serwisy re-hostujące ten rodzaj plików, bo nie wydaje mi się, by błyskawicznie aktualizowali program w minutę po uploadowaniu przez autora. ;) Taki typ programu powinien być pobierany z linków oficjalnych i dopuszczonych mirrorów (updatowanie równoległe), by mieć gwarancję natychmiastowego otrzymania najnowszej kopii.

 

Log z OTL robiony na cudzych ustawieniach. Ja nie stosuję tego przestarzałego "canned speech" podciągniętego przez polskie fora z zachodu. Liczenie sum kontrolnych np. dla atapi.sys straciło swoją wartość przy nowych postaciach rootkitów typu TDL. Poza tym, wzrosła znacznie liczba plików do sprawdzania ....

 

 

2. Nie widzę tu żadnych znaków infekcji w stanie czynnym. Są tylko drobne odpadki po istniejącej kiedyś infekcji i bardzo wątpliwe, by to miało coś wspólnego z objawami, a usunięcie zapisów nie powinno mieć wpływu na poprawę. Przy okazji zostaną usunięte inne wpisy "not found" o nieszkodliwym charakterze. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
NetSvcs: itkiluye - C:\WINDOWS\System32\tbsjuw.dll File not found
NetSvcs: jqeymuto - C:\WINDOWS\System32\tbsjuw.dll File not found
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\tbsjuw.dll -- (jqeymuto)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\tbsjuw.dll -- (itkiluye)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\02.tmp -- (msgky)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\02.tmp -- (excqp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT)
O3 - HKU\S-1-5-21-602162358-854245398-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\S-1-5-21-602162358-854245398-1417001333-1003..\Run: [ares] C:\Program Files\Ares\Ares.exe File not found
O4 - HKU\S-1-5-21-602162358-854245398-1417001333-1003..\Run: [bitComet] C:\Program Files\BitComet\BitComet.exe File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"7439:TCP"=-

 

Rozpocznij przez Wykonaj skrypt. Nie będzie restartu, akcja szybko się wykona. Zachowaj z niej log do pokazania, izolując go na Pulpit. Po ukończeniu operacji wywołaj funkcję Sprzątanie w OTL. Koniec.

 

Przeskanowałem sobie komputer programem Malwarebytes Anti-Malware i znalazł mi 2 zakażone pliki (rootkity). Usunąłem je.

 

Nie wiem czy to prawdziwe rootkity, ale mi na to nie wygląda.... To coś znaleziono w katalogu Thinstall, charakterystycznym dla "wirtualizowania" programów (KLIK). Ten sposób przetwarzania aplikacji wykazuje podatność na reakcję skanerów. Zrzuty programów wykonywane tym sposobem miały w historii fałszywe alarmy np.: KLIK.

 

Wolne starty komputera, przycinanie przeglądarki

 

Pierwszym podejrzanym jest zawsze ten program, który silnie integruje się z systemem i przeglądarką, czyli program zabezpieczający. Tu mamy tragiczne zderzenie Kaspersky Internet Security 2009 + PC Tools Internet Security 2009. Nie wolno takich rzeczy robić w systemie, by ładować równolegle dwa pakiety IS. To jest najszybszy sposób, by zakatrupić system, a nawet doprowadzić do całkowitej niemożności uruchomienia. Zdecyduj który pakiet zostawiasz, bo jeden musi być odmontowany. Odinstaluj także Spybot - Search & Destroy. Program nie dorasta czasom, a przy posiadaniu całego IS oraz skanera na żądanie Malwarebytes' Anti-Malware jest całkowicie zbędny.

 

 

 

 

.

Edytowane przez picasso
23.10.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...