Skocz do zawartości

Zarchiwizowany

Ten temat jest archiwizowany i nie można dodawać nowych odpowiedzi.

b3rt

Samoczynne zmiany ustawień systemu i inne ciekawostki

Polecane posty

Ostatnio zacząłem mieć dziwne problemy z kompem. Przede wszystkim wszystko zaczęło chodzić zauważalnie wolniej. Na uruchomienie niektórych programów, a nawet systemu muszę czekać nawet do minuty/kilku minut. W grach również zauważyłem widoczny spadek wydajności (czyt. gry które zawsze chodziły idealnie potrafią się teraz bezczelnie przyciąć). Mało tego, w samym systemie również zaczęły się dziać dziwne rzeczy. Zdarza się że samoczynnie zmieniają się niektóre ustawienia, np. widok ikon czy wyświetlanie ukrytych ikon (zawsze mam ukryte, dzisiaj same z siebie się odsłoniły) itp. Niektóre programy też szaleją, np. AQQ pokazywało mi dzisiaj komunikaty o multilogowaniu z różnych, dziwnych IP. Zrobiłem skany Avirą, Emisoft Anti-Malware i Malwarebytes, ale nikt nic nie znalazł. Nie przypominam sobie również aby COMODO pytał o dostęp do sieci jakichś niezidentyfikowanych programów. Mój system to WinXP SP2. Co mógłbym jeszcze zrobić aby znaleźć przyczynę takiego działania?

Aha, załączam log z OTL, może ktoś coś znajdzie w nim:

OTL logfile created on: 2010-09-12 18:58:02 - Run 1
OTL by OldTimer - Version 3.2.12.0     Folder = C:\Documents and Settings\b3rt\Moje dokumenty\Pobieranie
Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

3,00 Gb Total Physical Memory | 2,00 Gb Available Physical Memory | 73,00% Memory free
5,00 Gb Paging File | 4,00 Gb Available in Paging File | 85,00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 195,31 Gb Total Space | 122,43 Gb Free Space | 62,68% Space Free | Partition Type: NTFS
Drive D: | 270,44 Gb Total Space | 213,70 Gb Free Space | 79,02% Space Free | Partition Type: NTFS
E: Drive not present or media not loaded
F: Drive not present or media not loaded
G: Drive not present or media not loaded
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: B3RT-BFEF793E2D
Current User Name: b3rt
Logged in as Administrator.

Current Boot Mode: Normal
Scan Mode: Current user
Company Name Whitelist: Off
Skip Microsoft Files: Off
File Age = 30 Days
Output = Standard

[color="#E56717"]========== Processes (SafeList) ==========[/color]

PRC - [2010-09-12 18:54:53 | 000,576,000 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\b3rt\Moje dokumenty\Pobieranie\OTL.exe
PRC - [2010-09-10 09:51:38 | 008,004,608 | ---- | M] (Creative Team S.A.) -- C:\Program Files\WapSter\WapSter AQQ\AQQ.exe
PRC - [2010-09-08 21:48:14 | 000,014,808 | ---- | M] (Mozilla Corporation) -- C:\Program Files\Mozilla Firefox\plugin-container.exe
PRC - [2010-09-08 21:48:13 | 000,910,296 | ---- | M] (Mozilla Corporation) -- C:\Program Files\Mozilla Firefox\firefox.exe
PRC - [2010-07-28 15:49:04 | 001,935,656 | ---- | M] (Emsi Software GmbH) -- C:\Program Files\Emsisoft Anti-Malware\a2service.exe
PRC - [2010-06-03 11:09:26 | 002,039,240 | ---- | M] (COMODO) -- C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
PRC - [2010-06-03 11:09:16 | 001,778,480 | ---- | M] (COMODO) -- C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
PRC - [2010-05-03 09:35:22 | 000,267,432 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe
PRC - [2010-04-01 11:16:20 | 000,357,696 | ---- | M] (DT Soft Ltd) -- C:\Program Files\DAEMON Tools Lite\DTLite.exe
PRC - [2010-03-02 10:28:31 | 000,282,792 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010-02-24 09:28:09 | 000,135,336 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\sched.exe
PRC - [2010-02-19 17:00:24 | 000,148,744 | ---- | M] (COMODO) -- C:\Program Files\COMODO\COMODO livePCsupport\CLPSLS.exe
PRC - [2010-01-14 21:11:00 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009-12-18 08:12:46 | 002,121,728 | ---- | M] (Trend Media Corporation Limited) -- C:\Program Files\FlashGet Network\FlashGet 3\Flashget3.exe
PRC - [2007-09-02 13:58:52 | 000,495,616 | ---- | M] () -- C:\Program Files\RocketDock\RocketDock.exe
PRC - [2006-05-03 10:48:46 | 000,307,200 | ---- | M] (ta2027) -- C:\Program Files\Styler\Styler.exe
PRC - [2004-08-04 00:44:20 | 001,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe


[color="#E56717"]========== Modules (SafeList) ==========[/color]

MOD - [2010-09-12 18:54:53 | 000,576,000 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\b3rt\Moje dokumenty\Pobieranie\OTL.exe
MOD - [2007-09-02 13:57:36 | 000,069,632 | ---- | M] () -- C:\Program Files\RocketDock\RocketDock.dll
MOD - [2006-05-02 05:10:50 | 000,053,248 | ---- | M] (ta2027) -- C:\Program Files\Styler\StylerHelper.dll
MOD - [2004-08-04 00:44:02 | 001,028,096 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\mfc42.dll
MOD - [2004-08-04 00:42:34 | 001,050,624 | R--- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
MOD - [2004-08-03 23:01:18 | 000,102,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msscript.ocx
MOD - [2001-10-26 17:28:30 | 000,053,248 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\mfc42loc.dll


[color="#E56717"]========== Win32 Services (SafeList) ==========[/color]

SRV - [2010-09-01 13:03:33 | 002,854,488 | ---- | M] () [Auto | Running] -- C:/Program Files/Common Files/Akamai/rswin_3746.dll -- (Akamai)
SRV - [2010-07-28 15:49:04 | 001,935,656 | ---- | M] (Emsi Software GmbH) [Auto | Running] -- C:\Program Files\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware)
SRV - [2010-06-03 11:09:16 | 001,778,480 | ---- | M] (COMODO) [Auto | Running] -- C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent)
SRV - [2010-05-03 09:35:22 | 000,267,432 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010-04-25 21:27:00 | 003,755,048 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand | Stopped] -- C:\WINDOWS\System32\GameMon.des -- (npggsvc)
SRV - [2010-02-24 09:28:09 | 000,135,336 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010-02-19 17:00:24 | 000,148,744 | ---- | M] (COMODO) [Auto | Running] -- C:\Program Files\COMODO\COMODO livePCsupport\CLPSLS.exe -- (CLPSLS)


[color="#E56717"]========== Driver Services (SafeList) ==========[/color]

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\XDva349.sys -- (XDva349)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\ZhyperMU\ZhyperMU 2010 MUGUARD R2\zhypermu muguard 2010\MuGuard\llck1.sys -- (LLRING0)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\AsrCDDrv.sys -- (AsrCDDrv)
DRV - [2010-08-05 12:46:28 | 000,138,384 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\PnkBstrK.sys -- (PnkBstrK)
DRV - [2010-07-10 00:38:00 | 010,604,128 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nv4_mini.sys -- (nv)
DRV - [2010-06-28 14:13:32 | 000,071,008 | ---- | M] (Emsi Software GmbH) [File_System | On_Demand | Running] -- C:\Program Files\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc)
DRV - [2010-06-12 12:29:44 | 000,229,312 | ---- | M] (COMODO) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\cmdGuard.sys -- (cmdGuard)
DRV - [2010-06-03 11:10:54 | 000,087,824 | ---- | M] (COMODO) [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\inspect.sys -- (Inspect)
DRV - [2010-06-03 11:10:53 | 000,025,240 | ---- | M] (COMODO) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\cmdhlp.sys -- (cmdHlp)
DRV - [2010-04-27 19:13:52 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2010-03-01 09:05:24 | 000,124,784 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2010-02-16 13:24:01 | 000,060,936 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009-07-10 05:03:04 | 001,381,632 | R--- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\viahduaa.sys -- (VIAHdAudAddService)
DRV - [2009-05-11 11:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009-05-11 09:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008-10-30 15:14:20 | 000,117,888 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2008-02-14 08:12:00 | 001,389,056 | R--- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\monfilt.sys -- (monfilt)
DRV - [2007-06-29 14:47:34 | 000,034,304 | ---- | M] (AMD, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AmdLLD.sys -- (AmdLLD)
DRV - [2007-04-16 16:46:34 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM)
DRV - [2005-02-11 10:22:48 | 000,081,728 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mgmt.sys -- (k750mgmt)
DRV - [2005-02-11 10:21:10 | 000,089,872 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mdm.sys -- (k750mdm)
DRV - [2005-02-11 10:21:02 | 000,006,576 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750mdfl.sys -- (k750mdfl)
DRV - [2005-02-11 10:19:20 | 000,055,216 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\k750bus.sys -- (k750bus) Sony Ericsson 750 driver (WDM)
DRV - [2005-01-07 17:07:18 | 000,138,752 | ---- | M] (Windows ? Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Hdaudbus.sys -- (HDAudBus)
DRV - [2004-08-03 23:07:56 | 000,059,264 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\USBAUDIO.sys -- (usbaudio) Sterownik audio USB (WDM)
DRV - [2001-08-17 23:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir)


[color="#E56717"]========== Standard Registry (SafeList) ==========[/color]


[color="#E56717"]========== Internet Explorer ==========[/color]

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

[color="#E56717"]========== FireFox ==========[/color]

FF - prefs.js..browser.startup.homepage: "http://www.google.pl/"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.7.1
FF - prefs.js..extensions.enabledItems: {19503e42-ca3c-4c27-b1e2-9cdb2170ee34}:1.2.1.30

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010-09-11 20:10:01 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Firefox 3.6.9\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010-09-08 21:48:17 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2010-09-04 09:58:26 | 000,000,000 | ---D | M]
FF - HKLM\software\mozilla\Mozilla Thunderbird 3.1.2\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins

[2010-07-23 19:11:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\b3rt\Dane aplikacji\Mozilla\Extensions
[2010-07-23 19:11:04 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\b3rt\Dane aplikacji\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010-09-11 20:20:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\b3rt\Dane aplikacji\Mozilla\Firefox\Profiles\loug3ykd.default\extensions
[2010-08-31 20:44:11 | 000,000,000 | ---D | M] (FlashGot) -- C:\Documents and Settings\b3rt\Dane aplikacji\Mozilla\Firefox\Profiles\loug3ykd.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
[2010-04-07 23:23:38 | 000,000,000 | ---D | M] (FoxyTunes) -- C:\Documents and Settings\b3rt\Dane aplikacji\Mozilla\Firefox\Profiles\loug3ykd.default\extensions\{463F6CA5-EE3C-4be1-B7E6-7FEE11953374}
[2010-08-18 19:49:40 | 000,000,000 | ---D | M] (Adblock Plus) -- C:\Documents and Settings\b3rt\Dane aplikacji\Mozilla\Firefox\Profiles\loug3ykd.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
[2010-08-27 19:07:32 | 000,000,000 | ---D | M] (Download Statusbar) -- C:\Documents and Settings\b3rt\Dane aplikacji\Mozilla\Firefox\Profiles\loug3ykd.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
[2010-04-07 22:38:22 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions
[2009-10-06 11:40:40 | 000,098,304 | ---- | M] (OGPlanet Inc.) -- C:\Program Files\Mozilla Firefox\plugins\npOGPPlugin.dll
[2010-04-01 19:33:11 | 000,002,767 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\allegro-pl.xml
[2010-04-01 19:33:11 | 000,001,406 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fbc-pl.xml
[2010-04-01 19:33:11 | 000,000,917 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\merlin-pl.xml
[2010-04-01 19:33:11 | 000,000,858 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\pwn-pl.xml
[2010-04-01 19:33:11 | 000,001,183 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-pl.xml
[2010-04-01 19:33:11 | 000,001,683 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wp-pl.xml

O1 HOSTS File: ([2001-10-26 15:45:16 | 000,000,742 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (FlashGetBHO) - {b070d3e3-fec0-47d9-8e8a-99d4eeb3d3b0} - C:\Documents and Settings\b3rt\Dane aplikacji\FlashGetBHO\FlashGetBHO3.dll (Trend Media Group)
O3 - HKLM\..\Toolbar: (StylerToolBar) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Program Files\Styler\TB\StylerTB.dll (StyleFantasist)
O4 - HKLM..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe (AMD)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [COMODO Internet Security] C:\Program Files\COMODO\COMODO Internet Security\cfp.exe (COMODO)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.DLL (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKCU..\Run: [AQQ] C:\Program Files\WapSter\WapSter AQQ\AQQ.exe (Creative Team S.A.)
O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
O4 - HKCU..\Run: [RocketDock] C:\Program Files\RocketDock\RocketDock.exe ()
O4 - Startup: C:\Documents and Settings\b3rt\Menu Start\Programy\Autostart\Styler.lnk = C:\Documents and Settings\b3rt\Dane aplikacji\Microsoft\Installer\{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}\_585b207a.exe ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Download all by FlashGet3 - C:\Documents and Settings\b3rt\Dane aplikacji\FlashGetBHO\GetAllUrl.htm ()
O8 - Extra context menu item: Download by FlashGet3 - C:\Documents and Settings\b3rt\Dane aplikacji\FlashGetBHO\GetUrl.htm ()
O15 - HKCU\..Trusted Domains: kuaiche.com ([software] http in Trusted sites)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 194.204.152.34 194.204.159.1
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Moja bieżąca strona główna) - About:Home
O24 - Desktop WallPaper: C:\Documents and Settings\b3rt\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Documents and Settings\b3rt\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010-04-07 22:22:49 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{0829f740-b81b-11df-8f82-0025221bcc70}\Shell - "" = AutoRun
O33 - MountPoints2\{0829f740-b81b-11df-8f82-0025221bcc70}\Shell\AutoRun\command - "" = G:\WD SmartWare.exe -- File not found
O33 - MountPoints2\{35451eaf-b1fd-11df-8f61-0025221bcc70}\Shell - "" = AutoRun
O33 - MountPoints2\{35451eaf-b1fd-11df-8f61-0025221bcc70}\Shell\AutoRun\command - "" = H:\WD SmartWare.exe -- File not found
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

[color="#E56717"]========== Files/Folders - Created Within 30 Days ==========[/color]

[2010-09-12 17:02:07 | 000,080,980 | ---- | C] (BioWare Corp.) -- C:\WINDOWS\Uninstall Jade Empire.exe
[2010-09-05 19:54:25 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2010-09-05 19:43:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\b3rt\Ustawienia lokalne\Dane aplikacji\Ascaron Entertainment
[2010-09-04 13:59:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\LightScribe
[2010-09-04 13:58:48 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\LightScribe
[2010-09-04 10:16:01 | 000,000,000 | ---D | C] -- C:\Documents and Settings\b3rt\Dane aplikacji\The Bat! Pwd
[2010-09-04 09:58:23 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Thunderbird
[2010-09-04 09:56:37 | 000,000,000 | ---D | C] -- C:\Documents and Settings\b3rt\Ustawienia lokalne\Dane aplikacji\Identities
[2010-09-04 09:43:07 | 000,000,000 | ---D | C] -- C:\Program Files\Emsisoft Anti-Malware
[2010-09-04 09:43:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\b3rt\Moje dokumenty\Anti-Malware
[2010-09-03 19:18:46 | 000,000,000 | ---D | C] -- C:\Program Files\IconTweaker
[2010-09-01 13:03:17 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Akamai
[2010-09-01 09:35:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\b3rt\Moje dokumenty\Ubisoft
[2010-08-27 19:06:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\b3rt\Ustawienia lokalne\Dane aplikacji\Western Digital
[2010-08-20 19:33:30 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\ASign
[2010-08-15 19:36:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\b3rt\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files
[2010-08-15 19:36:05 | 000,000,000 | --SD | C] -- C:\Documents and Settings\b3rt\Moje dokumenty\Moje wideo
[2010-08-14 14:05:23 | 000,000,000 | ---D | C] -- C:\Program Files\StarCraft II
[2010-08-14 14:05:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\b3rt\Moje dokumenty\StarCraft II
[2010-08-14 14:05:23 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Blizzard Entertainment
[2010-08-14 14:05:23 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Blizzard Entertainment
[2010-07-03 17:09:18 | 001,654,869 | ---- | C] (Dynu Systems Inc.) -- C:\Documents and Settings\All Users\Dane aplikacji\DynuEncrypt.dll
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color="#E56717"]========== Files - Modified Within 30 Days ==========[/color]

[2010-09-12 18:57:09 | 000,002,942 | ---- | M] () -- C:\WINDOWS\System32\secushr.dat
[2010-09-12 18:44:19 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2010-09-12 17:21:34 | 000,490,614 | ---- | M] () -- C:\WINDOWS\System32\perfh015.dat
[2010-09-12 17:21:34 | 000,432,492 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2010-09-12 17:21:34 | 000,083,864 | ---- | M] () -- C:\WINDOWS\System32\perfc015.dat
[2010-09-12 17:21:34 | 000,067,448 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2010-09-12 17:21:33 | 001,087,636 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI
[2010-09-12 17:18:54 | 004,980,736 | -H-- | M] () -- C:\Documents and Settings\b3rt\NTUSER.DAT
[2010-09-12 17:17:16 | 000,002,239 | ---- | M] () -- C:\Documents and Settings\b3rt\Menu Start\Programy\Autostart\Styler.lnk
[2010-09-12 17:17:13 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[2010-09-12 17:17:11 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2010-09-12 17:16:33 | 000,000,188 | -HS- | M] () -- C:\Documents and Settings\b3rt\ntuser.ini
[2010-09-12 17:02:07 | 000,080,980 | ---- | M] (BioWare Corp.) -- C:\WINDOWS\Uninstall Jade Empire.exe
[2010-09-12 10:11:36 | 000,011,776 | ---- | M] () -- C:\Documents and Settings\b3rt\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010-09-12 00:26:55 | 004,287,536 | -H-- | M] () -- C:\Documents and Settings\b3rt\Ustawienia lokalne\Dane aplikacji\IconCache.db
[2010-09-06 18:49:26 | 000,011,448 | ---- | M] () -- C:\Documents and Settings\b3rt\.recently-used.xbel
[2010-09-06 06:20:45 | 000,017,848 | ---- | M] () -- C:\Documents and Settings\b3rt\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
[2010-09-06 06:20:37 | 000,117,360 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010-09-05 19:42:47 | 000,413,696 | ---- | M] (Creative Labs) -- C:\WINDOWS\System32\wrap_oal.dll
[2010-09-05 19:42:47 | 000,110,592 | ---- | M] (Portions ? Creative Labs Inc. and NVIDIA Corp.) -- C:\WINDOWS\System32\OpenAL32.dll
[2010-09-05 19:40:40 | 000,000,644 | ---- | M] () -- C:\WINDOWS\System32\secustat.dat
[2010-09-05 14:12:33 | 000,021,840 | ---- | M] () -- C:\WINDOWS\System32\SIntfNT.dll
[2010-09-05 14:12:33 | 000,017,212 | ---- | M] () -- C:\WINDOWS\System32\SIntf32.dll
[2010-09-05 14:12:33 | 000,012,067 | ---- | M] () -- C:\WINDOWS\System32\SIntf16.dll
[2010-09-05 07:34:21 | 000,000,477 | ---- | M] () -- C:\WINDOWS\win.ini
[2010-09-05 07:34:21 | 000,000,227 | ---- | M] () -- C:\WINDOWS\system.ini
[2010-09-05 07:34:21 | 000,000,223 | RHS- | M] () -- C:\boot.ini
[2010-09-04 22:10:58 | 000,002,562 | ---- | M] () -- C:\WINDOWS\diagwrn.xml
[2010-09-04 22:10:58 | 000,001,908 | ---- | M] () -- C:\WINDOWS\diagerr.xml
[2010-09-01 13:02:31 | 000,000,000 | ---- | M] () -- C:\bholog
[2010-08-29 15:20:26 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[8 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[color="#E56717"]========== Files Created - No Company Name ==========[/color]

[2010-09-06 18:49:26 | 000,011,448 | ---- | C] () -- C:\Documents and Settings\b3rt\.recently-used.xbel
[2010-09-05 14:12:33 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll
[2010-09-05 14:12:33 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll
[2010-09-05 14:12:33 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll
[2010-09-03 19:24:58 | 000,002,239 | ---- | C] () -- C:\Documents and Settings\b3rt\Menu Start\Programy\Autostart\Styler.lnk
[2010-09-01 13:02:31 | 000,000,000 | ---- | C] () -- C:\bholog
[2010-08-05 12:37:46 | 000,138,384 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2010-07-09 21:04:40 | 000,041,872 | ---- | C] () -- C:\WINDOWS\System32\xfcodec.dll
[2010-06-04 20:34:32 | 000,000,046 | ---- | C] () -- C:\WINDOWS\adiras.ini
[2010-05-24 18:14:24 | 000,474,704 | ---- | C] () -- C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat
[2010-05-15 16:32:21 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2010-05-03 12:55:48 | 000,000,025 | ---- | C] () -- C:\WINDOWS\libem.INI
[2010-04-28 18:42:42 | 000,000,421 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010-04-27 19:13:52 | 000,691,696 | ---- | C] () -- C:\WINDOWS\System32\drivers\sptd.sys
[2010-04-07 23:11:38 | 000,011,776 | ---- | C] () -- C:\Documents and Settings\b3rt\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010-04-02 17:17:34 | 000,179,091 | ---- | C] () -- C:\WINDOWS\System32\xlive.dll.cat
[2004-07-17 11:36:38 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys

[color="#E56717"]========== Alternate Data Streams ==========[/color]

@Alternate Data Stream - 116 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:BEB15613
< End of report >

PS. Format w razie czego odpada. Jest to ostateczna ostateczność, i jeśli istnieje jakieś inne rozwiązanie, to wolałbym właśnie je zastosować.

Link do komentarza
Udostępnij na innych stronach

Przydadzą się dokładniejsze logi, bo widzę nieaktywne już infekcje, ale aktywnych jeszcze nie widzę.

1. Ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów.

2. W OTL w sekcji Rejestr - skan dodatkowy zaznacz opcję Użyj filtrowania, poza tym pozaznaczaj również opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie i kliknij skanuj.

3. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku.

Logi powstałe w krokach 2 oraz 3 (czyli dwa logi z OTL oraz log z GMERa) wrzuć na forum. Najlepiej jako załącznik do posta, albo na wklej.org i daj linki na forum.

Link do komentarza
Udostępnij na innych stronach

Log z OTL #1 oraz #2. Problem jest z logiem z GMER. Włączyłem wczoraj szukanie, ale poddałem się. Po sześciu godzinach dalej skanowało i końca nie było widać. Tak się składa że potrzebowałem kompa do kilku ważnych rzeczy, a każda, dowolna operacja bądź uruchomienie dowolnego programu podczas działania GMERa powoduje u mnie zawieszenie się systemu. Także loga jak na razie nie ma. W razie gdyby był koniecznie, niezbędnie potrzebny to włączę go kiedyś na noc, albo jak pójdę do pracy (w dziewięć godzin powinien się chyba uwinąć), ale wolałbym tego nie robić (nie lubię mieć włączonego kompa jak z niego nie korzystam - szkoda prądu itd.)

Link do komentarza
Udostępnij na innych stronach

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
RECYCLER /alldrives
autorun.inf /alldrives
C:\WINDOWS\xhunter1.sys
C:\WINDOWS\System32\XDva349.sys
C:\WINDOWS\vtany.sys
C:\WINDOWS\System32\secushr.dat
C:\WINDOWS\System32\secustat.dat

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\XDva349.sys -- (XDva349)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\ZhyperMU\ZhyperMU 2010 MUGUARD R2\zhypermu muguard 2010\MuGuard\llck1.sys -- (LLRING0)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\AsrCDDrv.sys -- (AsrCDDrv)
@Alternate Data Stream - 116 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:BEB15613

:Commands
[emptyflash]
[emptytemp]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log.

Skoro GMER nie działa prawidłowo, to spróbujemy użyć RootRepeal.

1. Ściągnij program RootRepeal.

2. Uruchom go i przejdź do karty Report. Tam kliknij opcję Scan.

3. W oknie, które się pojawi zaznacz wszystkie opcje.

4. W następnym oknie zaznacz tylko dysk systemowy.

5. Program będzie przechodził przez kolejne karty i będzie odnotowywał to co znajdzie.

6. Po zakończeniu skanowania pojawi się raport w oknie programu i równocześnie zostanie otwarty notatnik, w którym będziesz miał log.

Log z RootRepeal oraz log powstały po pracy OTL wrzuć na forum. Do tego dorzuć nowe logi z OTL, wygenerowane w ten sam sposób, co poprzednio.

[edit]

Jeśli nie tworzyłeś katalogu C:\bholog, to napisz co on zawiera.

Link do komentarza
Udostępnij na innych stronach

Log powstały po wykonaniu skryptu:

http://wklej.org/id/388459/

Log z RootRepeal:

http://wklej.org/id/388463/

I dwa logi z ponownego skanowania OTL:

http://wklej.org/id/388464/

http://wklej.org/id/388465/

bholog nie jest katalogiem. Jest to plik bez rozszerzenia, ważący 0 kb. Jest już tam od jakiegoś czasu. Nawet nie zwróciłem na niego uwagi.

PS. Teraz widzę że jak się go usunie, to po restarcie pojawia się ponownie.

PS2. Znowu się mi same pozmieniały ustawienia widoku, ikon itd. :/

Link do komentarza
Udostępnij na innych stronach

W logu z RootRepeal nie widać niczego złego. Możesz ponownie włączyć emulację napędów za pomocą programu Defogger.

Jeśli nie dodawałeś do zaufanych domen strony kuaiche.com, to uruchom raz jeszcze OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL 
O15 - HKCU\..Trusted Domains: kuaiche.com ([software] http in Trusted sites)

:Commands
[emptyflash]
[emptytemp]

i kliknij Uruchom skrypt.

Poza powyższym niczego złego w logach już nie widzę. Widzę natomiast jakieś oprogramowanie do modyfikowania wyglądu systemu i w sumie to ono może działać takie cuda.

Wykonaj jeszcze jedno pełne skanowanie programem Malwarebytes' Anti-Malware i wrzuć na forum loga. Może teraz coś znajdzie, ale w to jednak wątpię. Poza tym możesz jeszcze spróbować wykonać skanowanie narzędziem Eset Online Scanner.

Link do komentarza
Udostępnij na innych stronach

Widzę natomiast jakieś oprogramowanie do modyfikowania wyglądu systemu i w sumie to ono może działać takie cuda.

Całkiem możliwe, aczkolwiek te programy mam zainstalowane odkąd postawiłem system, czyli gdzieś od kwietnia, i do tej pory wszystko było ok. Dopiero tydzień temu zaczęły się klocki.

Aha, folder _OTL utworzony na dysku C: może zostać usunięty, czy raczej powinien zostać?

Link do komentarza
Udostępnij na innych stronach

W obydwu logach nie widzę zagrożeń.

Proponuję zaktualizować system oraz Internet Explorera, może to naprawi problem. Jeśli nie, to od strony wirusów i podobnych tworów wszystko wydaje się być w porządku.

Ewentualnie możesz jeszcze spróbować spytać się jeszcze na forum BleepingComputer, czy oni coś widzą, ale jednak wątpię, by coś więcej znaleziono.

Link do komentarza
Udostępnij na innych stronach



  • Kto przegląda   0 użytkowników

    • Brak zalogowanych użytkowników przeglądających tę stronę.
×
×
  • Utwórz nowe...