marcos777 Opublikowano 27 Listopada 2010 Zgłoś Udostępnij Opublikowano 27 Listopada 2010 Witam, laptop muli. XP HE SP3. Proszę o pomoc w analizie logów: OTL.txt OTL.Extras RSIT.info RSIT.log AVENGER.log RKILL.log Combofix i Gmer rozpoczynają, ale nie kończą pracy. W rejestrze mam jeszcze pozostałości do usunięcia: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd Pozdrawiam, BitDefender_QScan Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2010 Zgłoś Udostępnij Opublikowano 28 Listopada 2010 Combofix i Gmer rozpoczynają, ale nie kończą pracy. Nie opisałeś na czym to polega, a ComboFix to nie wiem z jakiej racji próbujesz uruchamiać i po co. marcos777 na przyszłość proszę ściśle trzymaj się wymogów działu. Powiedziane wyraźnie: OTL + GMER (a jeśli GMER nie startuje, to RootRepeal), a nie wychodzenie przed szereg i podawanie logów, o które nikt nie prosi w standardzie. I doprawdy nie wiem co to za bezsensowny "log" z ... Avenger ?! Opis zupełnie nieprecyzyjny "muli", zasłaniasz się logami jakby to był wymiennik na opis problemu. Sumując: widzę chaotyczne działania, rąbanie po systemie skanerami jak leci (i wykorzystywanie archaizmów typu SmitfraudFix), czyli założenia że jest infekcja (jakie podstawy?). W raportach nie ma śladów infekcji (ciągle brak odczytu z rootkit detekcji). 1. Posprzątaj nieco, m.in. po swoich działaniach. W OTL wywołaj Sprzątanie, niech usunie szczątki po narzędziach. W Autoruns skasuj: Karta Services: SRV - File not found [Disabled | Stopped] -- C:\Program Files\Linksys\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe WUSB54GC.exe -- (WUSB54GCSVC)SRV - File not found [Disabled | Stopped] -- -- (vseqrts)SRV - File not found [Disabled | Stopped] -- -- (vsedsps)SRV - File not found [Disabled | Stopped] -- -- (vseamps)SRV - File not found [Auto | Stopped] -- C:\ComboFix\PEV.cfx -- (PEVSystemStart)SRV - File not found [Auto | Stopped] -- -- (JavaQuickStarterService)SRV - File not found [Disabled | Stopped] -- -- (Harmonogram automatycznej usługi LiveUpdate)SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\GEARSEC.EXE -- (GEARSecurity) Karta Drivers: DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\TfSysMon.sys -- (TfSysMon)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TfNetMon.sys -- (TfNetMon)DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\drivers\TfFsMon.sys -- (TfFsMon)DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\rootrepeal.sys -- (rootrepeal)DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\DRIVERS\easdrv.sys -- (easdrv)DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\EACMOS.SYS -- (EACMOS)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DarkSpyKernel.sys -- (DarkSpy)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Marek\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\avfsfilter.sys -- (AVFSFilter) A w karcie Task Scheduler usuń zadania Paretologic (i z daleka od takich automatów). 2. Z Dziennika zdarzeń błąd: Error - 10-11-27 12:22:26 | Computer Name = MARCOS | Source = Service Control Manager | ID = 7001Description = Usługa Menedżer połączeń usługi Dostęp zdalny zależy od usługi Telefonia, której nie można uruchomić z powodu następującego błędu: %%1058 Wejdź w Dziennik i przeklej z właściwości błędu dokładną formułę. 3. Pierwszy podejrzany dla spowolnienia: antywirus (on zresztą nie jest najnowszy). Najbardziej wiarygodny sposób testu: całkowita deinstalacja. 4. Drugi podejrzany dla spowolnienia: mała ilość wolnego miejsca na dysku. Drive C: | 14,91 Gb Total Space | 1,65 Gb Free Space | 11,04% Space Free | Partition Type: NTFS Przy jednoczesnej fragmentacji może to mieć skutki w ślimaczeniu się. Stopień fragmentacji nie jest tu znany. 5. Jeśli punkt 3+4 nie wypalą, przetestuj działanie systemu na czystym rozruchu (KLIK). Test obejmie usługi MAGIX Services i Ashampoo. . Odnośnik do komentarza
marcos777 Opublikowano 30 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2010 Witam picasso, przepraszam za opóźnienie - wyjechałem, więc dopiero teraz kilka wyjaśnień: - strasznie mulił, tzn. np. długo się otwierały strony FF, wolno się przewijały www, pomału otwierała się poczta, wpisując nazwę użytkownika poczty w FF - po wpisaniu nazwy czy hasła, było widać tylko 1 znak, po kilkunastu sekundach dopiero się pojawiała reszta, długie oczekiwanie na reakcję, Po restarcie ikony pulpitu dłuuugo są białe, potem po długim czasie, po kolei zmieniają się na normalne. - dźwięki systemowe z echem (powtórzenia) i z pogłosem - Trojan Remover znalazł kilka trojanów i usunął (potem podam nazwy i lokalizacje, jak wrócę do domu) - chciałem zrobić tylko OTL i Gmera, ale OTL.exe nie działał, tzn. po zapuszczeniu rozpoczynał skanowanie i nie kończył pracy.Chwilę poskanował, wyświetla: Processing (deleteself) i nic więcej się nie dzieje. Dopiero OTL.SCR zadziałał. - GMER pobierany z różnych lokalizacji/nazw ruszał i stawał kilka razy. Zawsze na C:\Windows\System32\Drivers\.... np. easdrv.sys. Jak zmieniłem na próbę nazwę na esadrv.sy_ skanowanie poszło dalej, ale stanęło na videopart.sys. Znów zmieniłem kolejną nazwę, ... poszło dalej i stanęło na eaps2kbd.sys. Itd. I tak może stać kilka godzin na danym sterowniku. - myślałem, że Combofix sobie poradzi. Ale i on tylko rozpoczynał skanowanie, tworzył nawet PPS, pokazywało się okno, że Skanowanie w poszukiwaniu zainfekowanych plików... i potrwa ok. 10 minut itp. i koniec. Stoi, nic nie robi. Nie było już info o zablokowanym zegarze i ukończonych etapach. - w trybie awaryjnym to samo się dzieje, nie da się przeskanować kompa OTL, Gmerem, CF. - Avengera odpaliłem, bo nie wpisując skryptu i tak wykonuje skanowanie i jak coś znajdzie to może usunąć. - w Autoruns pousuwałem w SRV i DRV "File not found" - było takich więcej niż w wykazie. - proszę o więcej info na temat: "Wejdź w Dziennik i przeklej z właściwości błędu dokładną formułę". - Magix i Ashampoo powyłączałem w Uruchamianiu - chętnie zrobiłbym sfc /scannow, ale nie wiem czemu nie czyta napęd CD. Da się to zrobić z pendriva lub z HDD? Pozdrawiam, Odnośnik do komentarza
picasso Opublikowano 30 Listopada 2010 Zgłoś Udostępnij Opublikowano 30 Listopada 2010 Nie widzę żadnej adnotacji na ten temat tych dwóch punktów (które punktowałam jako podstawowe skojarzenie do efektu): 3. Pierwszy podejrzany dla spowolnienia: antywirus (on zresztą nie jest najnowszy). Najbardziej wiarygodny sposób testu: całkowita deinstalacja. 4. Drugi podejrzany dla spowolnienia: mała ilość wolnego miejsca na dysku. Czy sprawdziłeś jak system się zachowuje po kompletnym odmontowaniu ESET (nie wyłączanie tylko deinstalacja)? Czy postarałeś się doprowadzić do conajmniej poczwórnej ilości dostępnego miejsca na dysku? Poproszę o raport tekstowy ze SpaceSniffer, dla orientacji gdzie można poluzować na dysku. Nie pójdę dalej dopóki nie zostanie tu zrobiony duży oddech na dysku (a po tym dopiero defragmentacja, bo na 1,65 Gb dostępnego to defragmenter nie ma gdzie przesuwać) i nie uzyskam dowodu, że bardzo niski próg dostępnego miejsca nie jest przyczyną. - proszę o więcej info na temat: "Wejdź w Dziennik i przeklej z właściwości błędu dokładną formułę". Start > Uruchom > eventvwr.msc i szukaj tego zdarzenia, dwuklik na nie i przeklej dokładną przyczynę błędu. - chciałem zrobić tylko OTL i Gmera, ale OTL.exe nie działał, tzn. po zapuszczeniu rozpoczynał skanowanie i nie kończył pracy.Chwilę poskanował, wyświetla: Processing (deleteself) i nic więcej się nie dzieje.Dopiero OTL.SCR zadziałał. Procedura "deleteself" startuje wtedy, gdy OTL jest poinstruowany, by się miał kasować, czyli opcją CleanUp / Sprzątanie. Skoro to widzisz, wcale nie uruchamiasz skanowania, inaczej skąd instrukcja usuwania programu. - Avengera odpaliłem, bo nie wpisując skryptu i tak wykonuje skanowanie i jak coś znajdzie to może usunąć. To, że skanuje "w kierunku rootkitów" nie znaczy, że jest to odpowiednik na procedurę GMER czy RootRepeal. W gruncie rzeczy, ja w owych "skanach" Avenger bardzo rzadko coś widziałam, mimo że rootkit był. - chętnie zrobiłbym sfc /scannow, ale nie wiem czemu nie czyta napęd CD. Da się to zrobić z pendriva lub z HDD? Co to znaczy "nie czyta"? W jaki sposób się to objawia? - Trojan Remover znalazł kilka trojanów i usunął (potem podam nazwy i lokalizacje, jak wrócę do domu) Koniecznie to zaprezentuj, bo póki co ja nie wierzę w koncepcję infekcji. Nic na to nie wskazuje. Objawy są ogólnikowe i mogą pasować do wszystkiego od software aż po hardware. . Odnośnik do komentarza
marcos777 Opublikowano 13 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2011 (edytowane) Malwarebytes' Anti-Malware Dziennik zdarzeń_Aplikacje Dziennik zdarzeń_Zabezpieczenia Dziennik zdarzeń_System Defragmentation Report Defragmentation Report_D FindyKill Wise Registry Cleaner_log Report_EVEREST mbam-log OTL.EXTRAS OTL.TXT DiskMax Log UsbFix DiskMax Log2 DiskMax Log3 Puran Defrag Miejsce na dysku zrobione, defragmentacja też. Dużo lepiej jest po wyłączeniu usług i elementów startowych w msconfig. Jak chcę czytać CD, to LED w napędzie się świeci, ale wyskakuje komunikat jak w screenie. Czyściłem napęd specjalna płytą i sprayem z izopropylem.. Nie pomogło. Edytowane 12 Grudnia 2011 przez picasso 12.12.2011 - Temat zostaje zamknięty. Wygasła jego żywotność ustalona zasadami. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi