Aplikacja lub bibliotek DLL (...) nie jest poprawnym


(Lucassith) #1

Witam, występuje u mnie dziwny błąd... Ostatni zainstalowałem pewien program do "ulepszania" systemu windows i niestety jestem prawie na 100% przekonany, że coś nabroił... teraz gdy chce odpalić menu sterowników dźwiękowych wywala mi właśnie taki problem jaki jest w temacie. Z pewnego forum wyczytałem, że może być to infekcja Vundo ale nie jestem pewien.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:14:23, on 2009-06-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Creative\Shared Files\CTAudSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\GIGABYTE\GEST\gest.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe

C:\WINDOWS\CTHELPER.EXE

C:\Program Files\Topos\cFosSpeed\cFosSpeed.exe

C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe

C:\WINDOWS\system32\CTXFIHLP.EXE

C:\Program Files\Ad Muncher\AdMunch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

C:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\WINDOWS\SYSTEM32\CTXFISPI.EXE

C:\Program Files\Topos\cFosSpeed\spd.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\GIGABYTE\GEST\gsvr.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Program Files\Valve\Steam\steam.exe

D:\Program Files\WapSter\WapSter AQQ\AQQ.exe

C:\Program Files\Creative\Sound Blaster X-Fi\Console Launcher\ConsoLCu.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

O4 - HKLM\..\Run: [GEST] C:\Program Files\GIGABYTE\GEST\RUN.exe

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Program Files\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Program Files\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\Topos\cFosSpeed\cFosSpeed.exe

O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [Ad Muncher] "C:\Program Files\Ad Muncher\AdMunch.exe" /bt

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [Creative MediaSource Go] "C:\Program Files\Creative\MediaSource5\Go\CTCMSGoU.exe" /SCB

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Program Files\Common Files\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MSI" TRANSFORMS="C:\Program Files\Common Files\Wise Installation Wizard\WISDD1865F0AD7340FBB23E1822E02396FF_9_09_0203.MST" WISE_SETUP_EXE_PATH="d:\nvidia\winxp\182.06\is\PhysX_9.09.0203_SystemSoftware.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/15108/CTPID.cab

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll

O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe

O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\Topos\cFosSpeed\spd.exe

O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe

O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\gsvr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe


--

End of file - 6050 bytes

(Henio Mazurek) #2

Sam?

Co do Vundo to go tu nie widać.

Do pokazania log z OTL i gmer

http://www.searchengines.pl/index.php?s ... t&p=392369

http://www.gmer.net/


(Lucassith) #3

No sam nie :smiley: jego "super zaje Pro" sposoby np. "Zajefajne Pro defragmentowanie dysku" albo "zajepro zwalnianie pamięci" przyczyniły się do tego. Co do logów, zaraz wstawię.

Coś jest nie tak. Podczas skanowania tego gmer wystąpił błąd .exe a podczas skanowania OTL jakiś błąd pamięci.

--EDIT--

OTL wywalił: Access violation at address 00528BC1 in module OTL.exe. Read of address 00000014. A potem włączyłem i wyłączyłem, i wywalił ten sam błąd tylko że pierwsze cyferki to 0055E419 a drugie to 00000000.


(Henio Mazurek) #4

Mimo tego błędu log powinien powstać. Jak nie powstanie to spróbuj pobrać OTS (w linku niżej) i nim przeskanować.

Jak i ten nie da rady to DDS (też w linku).


(Lucassith) #5

LOG: Extras = http://www.wklej.org/id/114333/ OTL = http://www.wklej.org/hash/94b6ad3383/

Hmm tak patrze na moje logi i widzę:

#


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]


#


"DisableMonitoring" = 1


#


"" =

Czy to nie oznacza, że Kaspersky ma wyłączone monitorowanie?


(Henio Mazurek) #6

Sam mieszałeś w hosts?

Nic tutaj nie widać.

Co do powyższego zapisu w rejestrze - usuń tą wartość lub zmodyfikuj na 0.

W OTL klikasz CleanUp.

Wyłącz na chwilę przywracanie systemu.

http://support.microsoft.com/kb/310405/pll

Wykonaj dokładny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

http://dobreprogramy.pl/index.php?dz=2& ... ntiMalware

Przeczyść rejestr CCleaner'em


(Lucassith) #7

Nie pliku hosts nie ruszałem.


(Henio Mazurek) #8

No to doprowadź go do takiej postaci

Plik otwierasz notatnikiem, przed modyfikacją odznacz we właściwościach pliku restrykcje, bo nie będziesz mógł zapisać zmian.

Wykonaj pozostałe zalecenia.


(Lucassith) #9

To jest trochę dziwne... Malwarebytes: Nic, Rejestr naprawiony, Hosts też tak jak napisałeś... po uruchomieniu ponownym systemu włączył się chkdsk, znalazł i naprawił paręnaście problemów indeksu, ale problem nadal jest...


(Henio Mazurek) #10

No a Malwarebytes to był skan pełny?

Może uszkodzone są pliki systemowe, w końcu checkdisc coś naprawiał.

To nie wygląda na kwestię wirusową.