Asia Opublikowano 29 Września 2010 Zgłoś Udostępnij Opublikowano 29 Września 2010 Hej Oto mój problem: - czasami nie działają aplikacje (Nieprawidłowa aplikacja systemu win32) - nie działa msconfig (System windows nie może odnaleźć pliku msconfig. Upewnij się że wpisana nazwa jest poprawna i spróbuj ponownie.) - Problem z internetem (Netia 8mb, router linksys wag200g, rozłącza się co kilka sekund czasami działa kilka godzin, zauważyłam że problemy zaczęły się krótko po instalacji kaspersky internet security 2011 ale co ma jedno do drugiego tego nie wiem. - System się zawiesza (z tego co widziałam w Process Explorer to lsass.exe zabieraj 60-70% procka i po chwili totalna wiecha) Proszę o pomoc P.S zaraz dodam logi tylko wyśle tego posta bo ten tekst pisze już któryś raz. Podczas dodawanie logu z gamera: Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku - więc kopiuje tutaj: GMER 1.0.15.15281 - http://www.gmer.netRootkit scan 2010-09-29 23:05:41 Windows 5.1.2600 Dodatek Service Pack 3 Running: t1k2jnmy.exe; Driver: C:\DOCUME~1\SysOp\USTAWI~1\Temp\pxtdapow.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwAdjustPrivilegesToken [0xB702D558] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwClose [0xB702DE5C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwConnectPort [0xB702EC90] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateEvent [0xB702F1DA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateFile [0xB702E138] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateKey [0xB702C3C8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateMutant [0xB702F0C0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateNamedPipeFile [0xB702D146] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreatePort [0xB702EF94] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSection [0xB702D2EE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateSemaphore [0xB702F2FA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateThread [0xB702DAE4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwCreateWaitablePort [0xB702F02A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDebugActiveProcess [0xB70309E2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeleteKey [0xB702C9D2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeleteValueKey [0xB702CD86] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDeviceIoControlFile [0xB702E5BA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwDuplicateObject [0xB7031BEE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateKey [0xB702CED2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwEnumerateValueKey [0xB702CF6A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwFsControlFile [0xB702E3C8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadDriver [0xB7030AD4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadKey [0xB702C3A4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwLoadKey2 [0xB702C3B6] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwMapViewOfSection [0xB703123C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwNotifyChangeKey [0xB702D096] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenEvent [0xB702F270] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenFile [0xB702DEDE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenKey [0xB702C588] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenMutant [0xB702F150] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenProcess [0xB702D794] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenSection [0xB7030FD6] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenSemaphore [0xB702F390] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwOpenThread [0xB702D686] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryKey [0xB702D002] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryMultipleValueKey [0xB702CC3A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQuerySection [0xB7031576] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueryValueKey [0xB702C864] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwQueueApcThread [0xB7030E68] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRenameKey [0xB702CAF4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplaceKey [0xB702BDDE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplyPort [0xB702F6F4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwReplyWaitReceivePort [0xB702F5BA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRequestWaitReplyPort [0xB703077C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwRestoreKey [0xB702C156] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwResumeThread [0xB7031A90] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSaveKey [0xB702BD76] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSecureConnectPort [0xB702E9D6] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetContextThread [0xB702DD00] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetInformationToken [0xB703001C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetSecurityObject [0xB7030C72] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetSystemInformation [0xB70316C6] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSetValueKey [0xB702C6DE] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSuspendProcess [0xB70317B8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSuspendThread [0xB70318F2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwSystemDebugControl [0xB7030906] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwTerminateProcess [0xB702D930] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwTerminateThread [0xB702D890] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwUnmapViewOfSection [0xB703141A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) ZwWriteVirtualMemory [0xB702DA1A] Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) FsRtlCheckLockForReadAccess Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) IoIsOperationSynchronous ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP B701FFE6 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) .text ntkrnlpa.exe!IoIsOperationSynchronous 804EF912 5 Bytes JMP B70203C2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab) .text ntkrnlpa.exe!ZwCallbackReturn + 2D48 805045E4 12 Bytes [D4, 0A, 03, B7, A4, C3, 02, ...] .text ntkrnlpa.exe!ZwCallbackReturn + 2EC4 80504760 16 Bytes [F4, CA, 02, B7, DE, BD, 02, ...] {HLT ; RETF 0xb702; FIDIVR WORD [EBP-0x90b48fe]; ADD DH, [EDI-0x48fd0a46]} .text ntkrnlpa.exe!ZwCallbackReturn + 2F0C 805047A8 4 Bytes JMP E16CFEAF .text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80504854 12 Bytes [b8, 17, 03, B7, F2, 18, 03, ...] .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9A15360, 0x32D25D, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB60FC300, 0x3B6D8, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xBAB68300, 0x1BEE, 0xE8000020] ? C:\WINDOWS\system32\Drivers\PROCEXP100.SYS Nie można odnaleźć określonego pliku. ! ---- User code sections - GMER 1.0.15 ---- .text D:\Programy\Winamp\winamp.exe[2744] USER32.dll!SetScrollInfo 7E369046 7 Bytes JMP 026CA68D D:\Programy\Winamp\Plugins\gen_jumpex.dll .text D:\Programy\Winamp\winamp.exe[2744] USER32.dll!GetScrollInfo 7E3717D8 7 Bytes JMP 026CA615 D:\Programy\Winamp\Plugins\gen_jumpex.dll .text D:\Programy\Winamp\winamp.exe[2744] USER32.dll!ShowScrollBar 7E37F2E7 5 Bytes JMP 026CA711 D:\Programy\Winamp\Plugins\gen_jumpex.dll .text D:\Programy\Winamp\winamp.exe[2744] USER32.dll!GetScrollPos 7E37F6F4 5 Bytes JMP 026CA63D D:\Programy\Winamp\Plugins\gen_jumpex.dll .text D:\Programy\Winamp\winamp.exe[2744] USER32.dll!SetScrollPos 7E37F740 5 Bytes JMP 026CA6B8 D:\Programy\Winamp\Plugins\gen_jumpex.dll .text D:\Programy\Winamp\winamp.exe[2744] USER32.dll!GetScrollRange 7E37F777 5 Bytes JMP 026CA662 D:\Programy\Winamp\Plugins\gen_jumpex.dll .text D:\Programy\Winamp\winamp.exe[2744] USER32.dll!SetScrollRange 7E37F98B 5 Bytes JMP 026CA6E3 D:\Programy\Winamp\Plugins\gen_jumpex.dll .text D:\Programy\Winamp\winamp.exe[2744] USER32.dll!EnableScrollBar 7E3B7F55 7 Bytes JMP 026CA5ED D:\Programy\Winamp\Plugins\gen_jumpex.dll ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [bA0BAD50] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [bA0BAD50] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs symsnap.sys (StorageCraft Volume Snap-Shot/StorageCraft) AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 symsnap.sys (StorageCraft Volume Snap-Shot/StorageCraft) AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab ZAO) AttachedDevice \FileSystem\Fastfat \Fat symsnap.sys (StorageCraft Volume Snap-Shot/StorageCraft) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 D:\Programy\Alcohol 120\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x04 0x8A 0xD0 0x47 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0xEE 0x60 0x81 0x58 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xC3 0xC0 0x21 0x9A ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg41@ujdew 0xC3 0xC0 0x21 0x9A ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB5 0x47 0x9E 0x48 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xAC 0x74 0x2A 0xCF ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x62 0x0E 0xAA 0xE9 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xC9 0x51 0x26 0xA7 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 2 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBB 0x69 0x1B 0xAD ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF9 0xF2 0xB8 0xA8 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x9C 0xB4 0x25 0xF6 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x9C 0xB4 0x25 0xF6 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB5 0x47 0x9E 0x48 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0xAC 0x74 0x2A 0xCF ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x62 0x0E 0xAA 0xE9 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0xC9 0x51 0x26 0xA7 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 2 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xBB 0x69 0x1B 0xAD ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xF9 0xF2 0xB8 0xA8 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x9C 0xB4 0x25 0xF6 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x9C 0xB4 0x25 0xF6 ... Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0 Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB5 0x47 0x9E 0x48 ... ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; ---- EOF - GMER 1.0.15 ---- OTL.Txt Extras.Txt checkup.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2010 Zgłoś Udostępnij Opublikowano 30 Września 2010 Był tu stosowany ComboFix i nie ma o tym ani słowa, mimo silnego nacisku w ogłoszeniu, by się przyznać i pokazać wyniki jego pracy. W logu widzę tylko jeden mocno podejrzany element, który kojarzy się z infekcją, oraz dziwne strumienie podpięte pod plik win.ini: SRV - [2006-12-25 15:11:24 | 001,314,816 | ---- | M] (Space Sciences Laboratory) [Auto | Running] -- C:\WINDOWS\system32\1032\dll\svchost.exe -- (windowsinstaller) @Alternate Data Stream - 4 bytes -> C:\WINDOWS\win.ini:s3@Alternate Data Stream - 4 bytes -> C:\WINDOWS\win.ini:s2@Alternate Data Stream - 4 bytes -> C:\WINDOWS\win.ini:s1 Będę to usuwać, załączam także różne odpadki "not found" po odinstalowanych programach (a folder typu Adcache to folder reklamodawczy po FlashGecie). Nie ruszam jednak "not found" od usług Windows (Centrum zabezpieczeń / Usługa bramy warstwy aplikacji / Usługa indeksowania): SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\wscsvc.dll -- (wscsvc)SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\cisvc.exe -- (wscsvc)SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\alg.exe -- (ALG) ... bo najwyraźniej jest to tu "naturalne", tzn. zainstalowano system zrobiony przez kogoś w sposób sztuczny. Ktoś źle to ciął i zostały takie odpadki. Te usługi jednak, ze względu na brak plików płaczą, że się nie mogą uruchomić: Error - 29-09-2010 16:03:34 | Computer Name = PC | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi helpsvc z powodu następującego błędu: %%2 Error - 29-09-2010 16:03:34 | Computer Name = PC | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi StarWind AE Service z powodu następującego błędu: %%3 Error - 29-09-2010 16:03:34 | Computer Name = PC | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi VisualSVN Server z powodu następującego błędu: %%3 Error - 29-09-2010 16:03:34 | Computer Name = PC | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi wscsvc z powodu następującego błędu: %%1083 Error - 29-09-2010 16:03:34 | Computer Name = PC | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi Usługa bramy warstwy aplikacji z powodu następującego błędu: %%2 Przekonfiguruję na wyłączone usługi Windows. 1 Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2006-12-25 15:11:24 | 001,314,816 | ---- | M] (Space Sciences Laboratory) [Auto | Running] -- C:\WINDOWS\system32\1032\dll\svchost.exe -- (windowsinstaller) @Alternate Data Stream - 4 bytes -> C:\WINDOWS\win.ini:s3 @Alternate Data Stream - 4 bytes -> C:\WINDOWS\win.ini:s2 @Alternate Data Stream - 4 bytes -> C:\WINDOWS\win.ini:s1 [2010-09-27 17:36:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\cache632 [2010-09-27 17:36:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\AdCache [2010-09-27 16:40:08 | 000,000,065 | ---- | M] () -- C:\WINDOWS\System32\-1 SRV - File not found [Auto | Stopped] -- C:\Program Files\VisualSVN Server\bin\VisualSVNServer.exe -k runservice -C LoadModule log_visualsvn_module bin\mod_log_visualsvn.so -- (VisualSVNServer) SRV - File not found [Auto | Stopped] -- D:\Programy\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) O2 - BHO: (FlashGet GetFlash Class) - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll File not found O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found. O4 - HKCU..\Run: [FlashGet] D:\Programy\FlashGet universal\flashget.exe File not found O15 - HKCU\..Trusted Domains: kuaiche.com ([software] http in Trusted sites) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\alg] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000004 :Commands [emptyflash] [emptytemp] Rozpocznij przez opcję Wykonaj skrypt. Po restarcie systemu z tego działania otrzymasz log. 2. Wejdź do Dodaj / Usuń programy i odinstaluj śmieci: Toolbar - ilivid Player oraz komplet Viewpoint Manager + Viewpoint Media Player. 3. Wytwórz nowy log z OTL, ale tym razem na ustawieniu niedomyślnym. W polu Własne opcje skanowania / skrypt wklej słowo netsvcs i kliknij w Skanuj. Dołącz także log powstały z usuwania w punkcie 1. - czasami nie działają aplikacje (Nieprawidłowa aplikacja systemu win32)- Problem z internetem (Netia 8mb, router linksys wag200g, rozłącza się co kilka sekund czasami działa kilka godzin, zauważyłam że problemy zaczęły się krótko po instalacji kaspersky internet security 2011 ale co ma jedno do drugiego tego nie wiem. Obie sytuacje mogą być z powodu Kaspersky Internet Security (przecież program filtruje sieć oraz ma mechanizmy blokowania egzekwowania aplikacji) i jeśli w/w usuwanie podejrzanego obiektu nie będzie mieć wpływu na wyniki końcowe, tu się klaruje deinstalacja pakietu... - nie działa msconfig (System windows nie może odnaleźć pliku msconfig. Upewnij się że wpisana nazwa jest poprawna i spróbuj ponownie.) Czy przedtem msconfig działał? Pytam, bo tu jest sztuczny Windows robiony przez kogoś i narzędzie mogło zostać usunięte celowo z systemu. Dwie rzeczy do sprawdzenia: 1. Czy jest plik na dysku: C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\msconfig.exe. 2. Czy jest zmienna umożliwiająca stosowanie skrótu msconfig: Start > Uruchom > regedit i sprawdź czy masz następujący klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\MSCONFIG.EXE ... w którym jest wartość (Domyślna) REG_SZ C:\WINDOWS\PCHEALTH\HELPCTR\Binaries\MSConfig.exe. Podczas dodawanie logu z gamera: Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku Ponieważ chcesz umieszczać plik *.LOG, a tu jest dozwolony tylko *.TXT. . Odnośnik do komentarza
Asia Opublikowano 30 Września 2010 Autor Zgłoś Udostępnij Opublikowano 30 Września 2010 Hej Co do combofixa to używany był jakiś czas temu. Przepraszam nie doczytałam gdzieś że trzeba o tym pisać. 1. Podczas wykonywania skryptu pokazało się okno z odliczaniem że system zostanie wyłączony. Podobne do tego co był taki wirus co 50 sekund restarował kompa. Po tym system się zrestartował i zawiesił. Log nie został wykonany więc kolejna próba i przeszło. [w załączniku] 2. Toolbar - ilivid Player nie idzie odinstalować klikam klikam i nic się nie dzieje, reszta poszła. 3. Log jest Czy Kasperski może blokować router? hmm Zawsze można było na nim polegać czy możesz coś polecić? Msconfig wcześniej działał, pliku msconfig.exe nie ma, rejestr: REG_EXPAND_SZ / %systemroot%\pchealth\helpctr\Binaries\MSCONFIG.EXE z tego co widzę to dixdiag też nie działa. Co do windowsa to jest to WinDT jakiś niby ulepszony xp. 09302010_092309.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2010 Zgłoś Udostępnij Opublikowano 30 Września 2010 1. Podczas wykonywania skryptu pokazało się okno z odliczaniem że system zostanie wyłączony. Podobne do tego co był taki wirus co 50 sekund restarował kompa. Po tym system się zrestartował i zawiesił. Log nie został wykonany więc kolejna próba i przeszło. W związku z tym, że system się zawiesił podczas przetwarzania, wynikowy log z usuwania jest tu sfałszowany, ponieważ skryptu nie można ponawiać (jest jednorazowy). Już pierwsze podejście usunęło co należy, a za drugim razem skrypt wszędzie widzi "not found" (z wyjątkiem rekonfiguracji usług systemowych, bo one cały czas są). 2. Toolbar - ilivid Player nie idzie odinstalować klikam klikam i nic się nie dzieje, reszta poszła. 1. Spróbuj narzędzia RevoUninstaller Freeware. Poza tym, zadaję drobną poprawkę do OTL, usuwającą elementy Ask Toolbar: 2. Zamknij przeglądarkę Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=101687&l=dis" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2010-09-26 22:12:25 | 000,000,000 | ---D | C] -- C:\Program Files\Ask.com [2010-09-30 09:01:00 | 000,000,234 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2010-09-26 22:12:45 | 000,002,568 | ---- | M] () -- C:\Documents and Settings\SysOp\Dane aplikacji\Mozilla\Firefox\Profiles\l4qni2j6.default\searchplugins\askcom.xml Jak poprzednio: Wykonaj skrypt. Będzie szybko i bez restartu. Po tym uruchom w OTL opcję Sprzątanie. 3. Następnie wykonaj pełny skan przez Malwarebytes' Anti-Malware i zgłoś się tu z raportem. Msconfig wcześniej działał, pliku msconfig.exe nie ma, rejestr: REG_EXPAND_SZ / %systemroot%\pchealth\helpctr\Binaries\MSCONFIG.EXE z tego co widzę to dixdiag też nie działa. 1. Skoro rejestr prawidłowy, to plik należy uzupełnić po prostu. Tutaj do pobrania plik msconfig w polskiej wersji: KLIK. Plik wstaw do wyżej wymienionego katalogu C:\WINDOWS\PCHEALTH\HELPCTR\Binaries. 2. W kwestii drugiego polecenia, czy masz plik C:\WINDOWS\system32\dxdiag.exe na dysku? Czy Kasperski może blokować router? hmm Zawsze można było na nim polegać czy możesz coś polecić? Z "poleganiem," = ale programy się zmieniają, aktualizują, wchodzą nowe funkcje i opcje. To nigdy nie jest taki sam program jak poprzednio. Czy wcześniej była zgodna z tu widzianą wersja KIS czy może wersja została zmieniona? Jeśli rzecz o blokowaniu sieci, to możesz przetestować jaki wpływ na sieć będą miały testowe manipulacje w KIS typu: wyłączenie partiami osłon czy całkowite wyłączenie osłon. . Odnośnik do komentarza
Asia Opublikowano 30 Września 2010 Autor Zgłoś Udostępnij Opublikowano 30 Września 2010 1. Udało się. 2. ========== OTL ==========HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully! Prefs.js: "Ask.com" removed from browser.search.defaultengine Prefs.js: "Ask.com" removed from browser.search.defaultenginename Prefs.js: "Ask.com" removed from browser.search.order.1 C:\Program Files\Ask.com folder moved successfully. C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job moved successfully. C:\Documents and Settings\SysOp\Dane aplikacji\Mozilla\Firefox\Profiles\l4qni2j6.default\searchplugins\askcom.xml moved successfully. OTL by OldTimer - Version 3.2.14.1 log created on 09302010_110234 Sprzątanie zrobione. 3. Malwarebytes' Anti-Malware 1.46www.malwarebytes.org Wersja bazy: 4721 Windows 5.1.2600 Dodatek Service Pack 3 Internet Explorer 7.0.5730.13 30-09-2010 12:15:54 mbam-log-2010-09-30 (12-15-54).txt Typ skanowania: Szybkie skanowanie Przeskanowano obiektów: 137651 Upłynęło: 49 minut(y), 37 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 1 Zainfekowanych wartości rejestru: 0 Zainfekowane informacje rejestru systemowego: 0 Zainfekowanych folderów: 0 Zainfekowanych plików: 0 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: HKEY_CURRENT_USER\Software\Cydoor (AdWare.Cydoor) -> Quarantined and deleted successfully. Zainfekowanych wartości rejestru: (Nie znaleziono zagrożeń) Zainfekowane informacje rejestru systemowego: (Nie znaleziono zagrożeń) Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: (Nie znaleziono zagrożeń) 1/2. Msconfig działa i dxdiag już też (może naprawił się sam), .exe jest Zainstalowany został Kasperski 2011[11.0.1.400] (stara 2010) ale dokładnej wersji nie pamiętam. Odnośnik do komentarza
picasso Opublikowano 30 Września 2010 Zgłoś Udostępnij Opublikowano 30 Września 2010 To co znalazł MBAM to resztka po FlashGet. Sprawa infekcji wygląda na ukończoną. Jeszcze: 1. Wykonaj aktualizacje przeglądarek Internet Explorer i Opera: INSTRUKCJE. 2. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE. I jak się teraz zachowuje system i sieć? Odnośnik do komentarza
Asia Opublikowano 30 Września 2010 Autor Zgłoś Udostępnij Opublikowano 30 Września 2010 Czy aktualizacja przeglądarek jest potrzebna jeśli z nich nie korzystam na co dzień? (używam ich jedynie do sprawdzania wyglądu własnych stron, bardzo rzadko) Folder przywracania wyczyszczony. System na pewno chodzi lepiej i kilka problemów z głowy. Co do sieci to na razie chodzi, zobaczymy co będzie dalej, pokombinuje z Kasperskim i ew. ze starsza wersją. Dziękuje za poświęcony czas i pozdrawiam serdecznie Odnośnik do komentarza
picasso Opublikowano 30 Września 2010 Zgłoś Udostępnij Opublikowano 30 Września 2010 Czy aktualizacja przeglądarek jest potrzebna jeśli z nich nie korzystam na co dzień? (używam ich jedynie do sprawdzania wyglądu własnych stron, bardzo rzadko) Powinno to być wykonane, przynajmniej dla Internet Explorer, ze względu na jego bardzo silną integrację z systemem. Odnośnik do komentarza
Rekomendowane odpowiedzi