xandi Napisano Sierpień 29, 2009 Zgłoś Share Napisano Sierpień 29, 2009 Ostatnio Kaspersky 8.0 beta zaczął wykrywać mi jakieś dziwne wirusy. Co to w ogóle jest i jak to usunąć? xD A tu jest log Z Hijack: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:20:06, on 2009-08-29 Platform: Unknown Windows (WinNT 6.01.3004) MSIE: Internet Explorer v8.00 (8.00.7100.0000) Boot mode: Normal Running processes: F:\Windows\system32\taskhost.exe F:\Windows\system32\Dwm.exe F:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe F:\Program Files\Razer\DeathAdder\razerhid.exe F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 8.0 for Windows Workstations\avp.exe F:\Program Files\Common Files\InstallShield\UpdateService\issch.exe F:\Program Files\ASUS\GamerOSD\GamerOSD.exe F:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe F:\Program Files\Razer\DeathAdder\razertra.exe F:\Program Files\Windows Sidebar\sidebar.exe F:\Program Files\Razer\DeathAdder\razerofa.exe F:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe F:\Program Files\DAEMON Tools Lite\daemon.exe F:\Program Files\WapSter\WapSter AQQ\AQQ.exe F:\Program Files\Xfire\Xfire.exe F:\Program Files\Mozilla Firefox\firefox.exe F:\Windows\explorer.exe C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe F:\Windows\system32\SearchFilterHost.exe F:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - F:\Users\Olek\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll O4 - HKLM\..\Run: [RtHDVCpl] F:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe O4 - HKLM\..\Run: [DeathAdder] F:\Program Files\Razer\DeathAdder\razerhid.exe O4 - HKLM\..\Run: [AVP] "F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 8.0 for Windows Workstations\avp.exe" O4 - HKLM\..\Run: [ISUSScheduler] "F:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [ASUSGamerOSD] F:\Program Files\ASUS\GamerOSD\GamerOSD.exe O4 - HKLM\..\Run: [StartCCC] "F:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKCU\..\Run: [Sidebar] F:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [ISUSPM Startup] F:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKCU\..\Run: [AQQ] F:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] F:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] F:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE') O4 - Startup: Xfire.lnk = F:\Program Files\Xfire\Xfire.exe O8 - Extra context menu item: Add to Anti-Banner - F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 8.0 for Windows Workstations\ie_banner_deny.htm O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 8.0 for Windows Workstations\scieplgn.dll O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{92A8B2B7-4BE1-4914-9999-BD2503F3C4A6}: NameServer = 194.204.159.1,194.204.152.34 O20 - AppInit_DLLs: F:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll,F:\PROGRA~1\KASPER~1\KASPER~1.0FO\kloehk.dll O23 - Service: AMD External Events Utility - AMD - F:\Windows\system32\atiesrxx.exe O23 - Service: ASDR - Unknown owner - F:\Windows\System32\ASDR.exe O23 - Service: ATK Fast User Switch Service (ATKFUSService) - ASUSTeK COMPUTER INC. - F:\Windows\system32\ATKFUSService.exe O23 - Service: Kaspersky Anti-Virus 8.0 (AVP) - Kaspersky Lab - F:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 8.0 for Windows Workstations\avp.exe O23 - Service: Usługa Google Update (gupdate) (gupdate) - Google Inc. - F:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - F:\Windows\system32\hasplms.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe -- End of file - 5321 bytes Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Sierpień 29, 2009 Zgłoś Share Napisano Sierpień 29, 2009 Sprawdź te pliki, w których Kaspersky coś znajduje na VirusTotal i podziel się spostrzeżeniami, jeśli coś rzeczywiście będzie, to jakoś spróbujemy zaradzić. Link do komentarza Udostępnij na innych stronach More sharing options...
xandi Napisano Sierpień 29, 2009 Autor Zgłoś Share Napisano Sierpień 29, 2009 Chętnie bym to zrobił ale tych plików w podanych katalogach po prostu nie ma. Nawet zaznaczyłem opcję "pokaż ukryte pliki i foldery" co zresztą nic nie dało. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Sierpień 29, 2009 Zgłoś Share Napisano Sierpień 29, 2009 2 ostatnie podejrzane pliki są zaszyte w instalatorze H:/Instalki/NewSetup.exe, i go możesz spróbować przesłać na tą stronkę. Pierwsze dwa mogą mieć atrybut pliku systemowego, więc spróbuj wyłączyć ukrywanie plików systemowych, lub też Kaspersky może je usuwać, ale one odtwarzają się przed startem systemu, możesz spróbować wyłączyć przywracanie systemu, zrobić reset i zobaczyć co będzie wtedy, po całym zabiegu możesz włączyć przywracanie systemu. Jeśli nie pomoże daj log ze skanu programem Malwarebytes' Anti-Malware. Link do komentarza Udostępnij na innych stronach More sharing options...
xandi Napisano Sierpień 29, 2009 Autor Zgłoś Share Napisano Sierpień 29, 2009 Ten plik NewSetup.exe skasowałem bo ważył 501MB i dosyć długo wgrywałby się na serwer. I była to instalacja jakiegoś metina ;p I jak zrobiłem restart systemu to tego pliku już nie ma i Kaspersky też go nie wykrywa. Pozostają jeszcze te 2 pliki. W folderze /WINDOWS/system/ tych plików nie ma i jak zrobiłem skanowanie całego folderu to też nic Kaspersky nie wykrył. A jakbym je całkowicie z kwarantanny usunął? I jak próbuje ściągnąć program Malwarebytes' Anti-Malware to podczas instalacji pisze, że pliki są uszkodzone lub gdy klikam na instalację pisze, że plik jest uszkodzony. Może to być spowodowane podkręceniem kompa? Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Sierpień 29, 2009 Zgłoś Share Napisano Sierpień 29, 2009 Co do tej instalki, to część antywirusów błędnie rozpoznaje część instalatorów jako wirusy, więc plik mógł być czysty, więc być może niepotrzebnie ten plik wywalałeś. Usunięcie plików z kwarantanny nic nie da, bo to nie z niej te pliki się odnawiają, raczej jak już wcześniej pisałem z plików przywracania systemu. Podkręcanie kompa nie powinno mieć żadnego wpływu na instalowanie czegokolwiek. Spróbuj pobrać jeszcze raz i wtedy zainstalować, jeśli wtedy nie da rady, to obawiam się, że masz jakieś wredne paskudztwo. Możesz jeszcze spróbować skanu programem Dr.Web CureIt!. Link do komentarza Udostępnij na innych stronach More sharing options...
xandi Napisano Sierpień 29, 2009 Autor Zgłoś Share Napisano Sierpień 29, 2009 Właśnie skanuję kompa programem Dr.Web CureIt!. Pisze, że nie wykrył żadnych wirusów. A jak za pierwszym razem pobrałem ten program i chciałem zainstalować to wyskoczył komunikat po angielsku, że plik jest uszkodzony. A ta instalka gry akurat nie była mi potrzebna więc nie szkoda było wywalać ;p Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Sierpień 29, 2009 Zgłoś Share Napisano Sierpień 29, 2009 Czyli pewnie fałszywe alarmy, lub Kaspersky'emu odbija. Martwią mnie tylko te uszkodzone pliki, ale to może być wina łącza. Profilaktycznie daj logi z OTL-a (OTL.txt oraz Extras.txt, program musisz uruchomić jako administrator). Link do komentarza Udostępnij na innych stronach More sharing options...
kedzior687 Napisano Sierpień 29, 2009 Zgłoś Share Napisano Sierpień 29, 2009 może ściągnij avasta. avasta możesz przedłużać co rok (darmowa wersja) i przeskanuj kompa. ja z kasperskym też miałem wiele razy problemy a avasta przedłużyłem ostatnio na 4 rok. nigdy nie było z nim problemów. na marginesie w tej instalce, którą usunąłeś był plik monitorujący aktywność na klawiaturze, w końcu metin to MMO. Link do komentarza Udostępnij na innych stronach More sharing options...
xandi Napisano Sierpień 29, 2009 Autor Zgłoś Share Napisano Sierpień 29, 2009 Tylko najlepsze jest to, że ten problem jak i problem z napędem występuje w Windowsie 7 RC, a w Windowsie XP wszystko OK ;] Do tego w 7 jest problem z 3dmarkiem06. Albo na początku 1 testu jest tylko czarny ekran albo po którymś teście pisze, że sterownik karty nie odpowiada. Za to w XP bez problemu podkręciłem kartę, która spokojnie przeszła wszystkie testy w 3dmarku06 Coś czuję, że to coś z systemem Link do komentarza Udostępnij na innych stronach More sharing options...
kedzior687 Napisano Sierpień 30, 2009 Zgłoś Share Napisano Sierpień 30, 2009 ufff... co ci ludzie widzą w siódemce... nie mozesz wrócić na XP? widocznie z siódemką sa jeszcze problemy... Link do komentarza Udostępnij na innych stronach More sharing options...
xandi Napisano Sierpień 30, 2009 Autor Zgłoś Share Napisano Sierpień 30, 2009 Teraz właśnie na XP siedzę ;] A jak z Win7 wszystko dobrze będzie to się znowu na niego przesiądę. A na razie z XP będę korzystał. Link do komentarza Udostępnij na innych stronach More sharing options...
