Skocz do zawartości
14 stycznia 2020 - Koniec wsparcia Microsoftu dla Windows 7 ×

Błędy sterownika prodrv06.sys


Walkerowy

Rekomendowane odpowiedzi

Witam, proszę o analizę logów z OTL oraz z podglądu zdarzeń. W podglądzie zdarzeń pojawił się dziwny błąd, pliku prodrv06.sys. Nie wiem co to, skąd się wzieło, po co.

Drugą ciekawostką dla mnie jest usługa: Andrea ADI Filters Service.

Proszę o pomoc w zlikwidowaniu tych problemów.

 

OTL.txt

 

  Pokaż ukrytą zawartość

 

 

Extras.txt

 

  Pokaż ukrytą zawartość

 

 

Podgląd zdarzeń

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Podaj jeszcze log z TDSS Killer -> https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page__p__33542#entry33542.

 

  Cytat

W podglądzie zdarzeń pojawił się dziwny błąd, pliku prodrv06.sys. Nie wiem co to, skąd się wzieło, po co.

 

+

 

  Cytat

DRV - [2004-04-08 12:06:08 | 000,070,400 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\prohlp02.sys -- (prohlp02)

DRV - [2004-04-08 10:46:50 | 000,054,272 | ---- | M] (Protection Technology) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\prodrv06.sys -- (prodrv06)

DRV - [2003-12-01 17:20:52 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\sfhlp01.sys -- (sfhlp01)

 

To są stare sterowniki zabezpieczenia StarForce. Należy je usunąć. Deinstalator starych wersji -> http://www.star-force.com/support/drivers/.

 

  Cytat

Drugą ciekawostką dla mnie jest usługa: Andrea ADI Filters Service.

 

+

 

  Cytat

SRV:64bit: - [2007-02-06 11:45:30 | 000,080,384 | ---- | M] (Andrea Electronics Corporation) [Auto | Running] -- C:\Windows\SysNative\AEADISRV.EXE -- (AEADIFilters)

 

Wedle tego co wyczytałem to jest to jakaś usługa powiązana ze słuchawkami i/lub mikrofonem. Czy posiadasz któreś z tych urządzeń?

 

  Cytat

Witam, proszę o analizę logów z OTL

 

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

 

  Cytat
:OTL

 

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_0_1.dll File not found

FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

FF - HKLM\Software\MozillaPlugins\@ganymede/GanymedeNetPlugin,version=1.0: D:\Programy\Ganymede\Plugins\npganymedenet.dll File not found

FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found

O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found.

O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found

O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found

 

:Reg

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"Persistence"=-

 

:Commands

[clearallrestorepoints]

[emptytemp]

 

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

 

EDIT:

 

Sprawa wyjaśniona z Panią Administrator. Dla wyjaśnienia osoba używająca mojego komputera nadużyła mojego zaufania, czego wwyniki mamy w niepoprawnym skrypcie. Przepraszam autora za to, że ktoś podpisujący się moim imieniem podał złą instrukcję. Pozdrawiam ;) .

Odnośnik do komentarza

Kaspersky TDSSKiller

 

  Pokaż ukrytą zawartość

 

 

  Cytat

To są stare sterowniki zabezpieczenia StarForce. Należy je usunąć. Deinstalator starych wersji -> http://www.star-forc...pport/drivers/.

 

Problemik.

przechwytywaniepn.jpg

 

 

  Cytat
Wedle tego co wyczytałem to jest to jakaś usługa powiązana ze słuchawkami i/lub mikrofonem. Czy posiadasz któreś z tych urządzeń?

 

Nie mam mikrofonu, mam wbudowany głośnik. Ale niedawno instalowałem sterowniki karty dźwiękowej. Ale w sumie to, że je zainstalowałem to nic nie zmieniło, jedynie to, że zniknęła informacja z windows update.

 

OTL Skrypt:

 

  Pokaż ukrytą zawartość

 

 

OTL.txt (Pliki młodsze niż 7 dni):

 

  Pokaż ukrytą zawartość

 

 

OTL Extras.txt:

 

  Pokaż ukrytą zawartość

 

Odnośnik do komentarza

kominekl

 

Tak jak mówi peter2012, w dziale Malware jest określony regulamin: KLIK. To ma na celu uniknąć m.in. podawania skryptów, które są niewłaściwe. Popatrzmy na Twój skrypt:

 

Komenda [clearallrestorepoints] działa na XP, nie na Vista i Windows 7, na którym jest zdolna tylko utworzyć nowy punkt przywracania. A nawet gdyby działała na tych systemach, to nie wiem co to za akcja, by czyścić bezpodstawnie wszystkie punkty przywracania. Linie "Extra context menu item" to nie są rzeczywiste "not found", tylko dlatego tak się pokazuje, że na końcu są kreski w odwrotną stronę - dla porównania, na liście zainstalowanych Office siedzi i ma się dobrze. Wpis FF "...microsoft.com/GENUINE" zawsze jest "not found" i tego się nie usuwa. Należy także wątpić, czy to było "not found":

 

FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_0_1.dll File not found

... gdyż na liście zainstalowanych jest 64-bitowy Flash:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit

... czyli pasujący do 64-bitowej wersji Firefox (taka tu nie jest zainstalowana).

 

O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation)

I nie wiem co miałeś na myśli chcąc usuwać tę linię Intel.

 

 

 

Walkerowy

 

Jaki powód zakładania tematu w dziale Malware? To nie jest dział analizy logów, tylko dział diagnostyki infekcji. Logi są tylko narzędziem wyciągania danych i mogą być umieszczone w dowolnym dziale, w którym mogą się okazać pomocne. Temat przesuwam do działu Windows.

 

1. Skoro nie ma tu 64-bitowego Firefox, a już wpis 64-bitowego Flash został wyrżnięty, to odinstaluj 64-bitowy Flash. On nie jest tu potrzebny wcale, masz 32-bitowy Firefox do którego pasuje 32-bitowy Flash, który tu jest obecny:

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()

2.

23:00:39.0836 1716 C:\Windows\system32\Drivers\sptd.sys - copied to quarantine

23:00:39.0852 1716 sptd ( LockedFile.Multi.Generic ) - User select action: Quarantine

Błąd decyzyjny - tu należało dobrać Skip. To nie jest zagrożenie. Cytuję z opisu TDSSKiller:

 

  Cytat
Uwaga: przed podjęciem jakichkolwiek kroków na własną rękę najlepiej się skonsultować, ponieważ wyniki niekoniecznie mogą być rzeczywistym zagrożeniem i mieć kwalifikację do usuwania. Przykładowo, podstawowym obiektem wchodzącym w paradę jest sterownik emulacji napędów wirtualnych SPTD i Kaspersky będzie punktował ten obiekt jako "podejrzany", plik określi jako zablokowany, ale ustawi mu domyślną akcję na Skip. Przypominam ponownie główne ogłoszenie działu: Oprogramowanie emulujące napędy.

 

tdsskillersptd.png

 

Wprawdzie w ostatnim OTL sterownik ten jest w dobrym samopoczuciu:

 

DRV:64bit: - [2011-10-20 16:46:25 | 000,503,352 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\sptd.sys -- (sptd)

Ale są wątpliwości czy zresetowałeś system po użyciu TDSSKiller (co finalizuje akcję). Jeśli rzeczywiście SPTD okaże się usunięty, a masz na dysku program go używający, należy ten sterownik przeinstalować narzędziem SPTDinst.

 

3.

Error - 2011-10-23 10:44:49 | Computer Name = eMeM-komputer | Source = Application Popup | ID = 1060

Description = Ładowanie sterownika \SystemRoot\SysWow64\drivers\prodrv06.sys zostało

zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania

w celu uzyskania zgodnej wersji sterownika.

 

Error - 2011-10-23 10:45:14 | Computer Name = eMeM-komputer | Source = Service Control Manager | ID = 7026

Description = Nie można załadować następujących sterowników startu rozruchowego

lub systemowego: prodrv06 prohlp02 prosync1 sfhlp01

Stare sterowniki StarForce usuniesz skryptem do OTL o zawartości:

 

:OTL
DRV - [2004-04-08 12:06:08 | 000,070,400 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\prohlp02.sys -- (prohlp02)
DRV - [2004-04-08 10:46:50 | 000,054,272 | ---- | M] (Protection Technology) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\prodrv06.sys -- (prodrv06)
DRV - [2003-12-01 17:20:52 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\sfhlp01.sys -- (sfhlp01)
DRV - [2003-09-06 14:22:08 | 000,006,944 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\prosync1.sys -- (prosync1)

 

 

 

 

.

Odnośnik do komentarza

1. Ok, 64-bit odinstalowany.

2. Przede wszystkim, nie mam oprogramowania emulującego napędy. Co dalej z tym sterownikiem SPTD?

  Cytat
========== OTL ==========

Service prohlp02 stopped successfully!

Service prohlp02 deleted successfully!

C:\Windows\SysWOW64\drivers\prohlp02.sys moved successfully.

Service prodrv06 stopped successfully!

Service prodrv06 deleted successfully!

C:\Windows\SysWOW64\drivers\prodrv06.sys moved successfully.

Service sfhlp01 stopped successfully!

Service sfhlp01 deleted successfully!

C:\Windows\SysWOW64\drivers\sfhlp01.sys moved successfully.

Service prosync1 stopped successfully!

Service prosync1 deleted successfully!

C:\Windows\SysWOW64\drivers\prosync1.sys moved successfully.

 

OTL by OldTimer - Version 3.2.31.0 log created on 10242011_132935

Odnośnik do komentarza
  Cytat
Używany był na tym komputerze program Virtual Clone Driver, był usunięty, ale np wpis w msconfig w miejscu uruchamiania pozostał. Proszę o pomoc w usunięciu pozostałości.

 

1. Virtual Clone Drive nie używa sterownika SPTD, posiłkuje się własnym, czyli:

 

DRV:64bit: - [2011-01-15 18:21:04 | 000,036,352 | ---- | M] (Elaborate Bytes AG) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\VClone.sys -- (VClone)

Usunięcie tego sterownika:

- Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > w menu Widok włącz pokazywanie ukrytych i w gałęzi "Sterowniki niezgodne z Plug and Play" szukaj tego obiektu do deinstalacji.

- Następnie przepuść skrypt OTL o zawartości:

 

:OTL
DRV:64bit: - [2011-01-15 18:21:04 | 000,036,352 | ---- | M] (Elaborate Bytes AG) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\VClone.sys -- (VClone)

2. OTL w domyślnej konfiguracji nie skanuje wyłączonych w msconfig wpisów. Jeśli chcesz usunąć taki rodzaj wpisu, to udaj się wprost do rejestru. Virtual Clone Drive startuje przez rejestr, czyli wyłączony wpis w msconfig powinien siedzieć tu:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

 

 

  Cytat
A i przypominam sobie, że również był trial Alcohol 120%...

 

To jest prawdopodobny twórca SPTD. Deinstalacja Alcohol nie usuwa z systemu sterownika SPTD.

 

 

 

 

.

Odnośnik do komentarza

OTL.Txt

 

  Pokaż ukrytą zawartość

 

 

Extras.Txt

 

  Pokaż ukrytą zawartość

 

 

1. Sterownika nie znalazłem, ale skrypt wykonałem ze skutkiem pomyślnym.

 

2. Wpis w rejestrze został przeze mnie usunięty.

 

3. SPTD został przeze mnie usunięty programem SPTDinst.

Odnośnik do komentarza
  Cytat
Jak usunąć tę usługę

 

Czy Ty aby nie przesadzasz? Nie widzę podstaw do zajmowania się tym.

 

 

  Cytat
czy z logów z tego posta wszystko wporządku?

 

Tak. I jeszcze możesz sobie zaktualizować wtyczkę Adobe Flash w IE, bo masz ją zainstalowaną w starszej wersji 10 (czyli: instalacja Flash musi się odbyć z poziomu IE).

 

 

  Cytat
I jak skasować folder TDSSKiller_Quarantine z dysku C:?

Czy jest jakaś funkcja tak jak np. w OTL Czyszczenie czy po prostu PPM i usuń?

 

Nie ma żadnej funkcji auto, po prostu usuń to ręcznie.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...