Nieznane mi sterowniki + 2 bootkity

DjSon231 · 6 Luty 2013 21:37

Witam!

PROBLEM 1:

Jestem doświadczonym informatykiem, lecz od jakichś kilku miesięcy mam problem. Mam system Windows 7 Ultimate x64 i jak się zaloguję to czasem wyłącza się płynnie ekran, jak normalnie w Windowsach i nic. Pokazuje się myszka. Kontrolka używania procesora co sekundę miga, wydaje lekkie światełko. Dodatkowo też co sek. może 2, trzy razy mignie kontrolka używania karty sieciowej. Kilka razy mi się zdarzyło nawet przed ładowaniem Winlogon.exe (aplikacja logowania do systemu). Grzebałem trochę w Narzędziach Administracyjnych i w Podglądzie Zdarzeń z tamtych godzin, znalazłem takie info.:

Nie można uruchomić usługi DgiVecp z powodu następującego błędu: 

Nie można odnaleźć określonego pliku.

,

Załadowanie sterownika \Driver\aq8jg5cp dla urządzenia PCI\VEN_1095&DEV_3512&SUBSYS_03060398&REV_01\4&5d18f2df&0 nie powiodło się.

,

Załadowanie sterownika \Driver\a1kdqfj1 dla urządzenia PCI\VEN_1095&DEV_3512&SUBSYS_03060398&REV_01\4&5d18f2df&0 nie powiodło się.

,

Załadowanie sterownika \Driver\a3gi0oa3 dla urządzenia PCI\VEN_1095&DEV_3512&SUBSYS_03060398&REV_01\4&5d18f2df&0 nie powiodło się.

. Miałem takich kilka, za każdym razem inne sterowniki. PROBLEM 2: Ostatnio jak mnie te sterowniki zaciekawiły, postanowiłem zeskanować komputer Rootkit Scanem (z SpyBot 2 S&D). W szybkim skanowaniu wykrył mi:

Master Boot Records

3 MBR's checked.

Unknown MBR's: PsyhicalDrive1, PsyhicalDrive2

.

Powiem też, że czasem testuję zachowanie wirusów, lecz robię to w piaskownicy Comodo. Na końcu skanuję komputer ESET Nod32 Antyvirus 6.0 (najnowsze aktualizacje) i SpyBotem2.

Lukash1 · 7 Luty 2013 11:33

http://tzatziki-solvedproblems.blogspot … ivecp.html

To kontroler SATA…

Użyj MBRCheck w celu detekcji.

[http://www.fixitpc.pl/topic/8-dezynfekc … t__p__6557](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page view findpost p 6557)

W ogóle to : analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html

DjSon231 · 7 Luty 2013 12:08

adciy73f - nowy sterownik, który pojawił się w Podglądzie Zdarzeń. Jednak przejrzałem cały Podgląd Zdarzeń i za każdym razem te ‘dziwne’ sterowniki próbują się załadować. MBRCheck pokazał poprawny MBR Windowsowy. Zeskanowałem komputer jeszcze raz Rootkit Scannerem i wszystko było ok, lecz mnie dziwi, czemu te MBR nagle zniknęły? Zobaczymy w przyszlości, czy ciemny ekran z myszką. Dziękuję i pozdrawiam :).

Lukash1 · 7 Luty 2013 12:58

Wejdź w menedżer urządzeń > widok > pokaż ukryte > rozwiń Sterowniki niezgodne z P&P, przypatrz się co tam siedzi, sprawdź szczegóły.

Pobierz HiJackFree przeglądnij cały autostart.

Coś te sterowniki próbujące się ładować są podejrzane…

DjSon231 · 7 Luty 2013 13:20

Znalazłem podejrzane sterowniki:

cpuz134, (kiedyś jak sprawdzałem logi z OTL to pokazywało mi się, że siedzi w X:\Users\...\AppData\Temp\cpuz134 lecz tego folderu nie było, nawet ukrytego.) 

peauth,

sptd (powinienem usunąć z dawnego Daemona, co mi wirusy ściągał),

VgaSave (podobno z kart graficznych, lecz ów takiej karty nie posiadam),

VD_FileDisk (Virtual Disk, to coś jest chyba z Alkohola, którego posiadam).

Mnie jeszcze też jedno dziwi:

W kontrolerach magazynu, jeden kontroler jest niezaaktualizowany, bądź nie istnieje, ale Menedżer Urządzeń go pokazuje, a mianowicie A10LN1XT IDE Controller.

Nie mogę go zmienić na nowszą wersję, bo nie jest w Windows Update. Szukałem też w internecie, lecz nic.

//Edit 1:

NOD wszystkie ściągane z DobreProgramy pliki, wykrywa jako Win32/DobreProgramy. Wiem, to są Downloadery programów. Tak samo jak z Instalki, Cnet i Chip, tylko że każda strona ma inne wirusy. Np. cnet ma Admin coś tam, Chip miał InstallCore, potem OpenInstall, a na Instalki to mnie nawet nie wpuszcza.

//Edit 2:

Wyłączyłem ochronę w NOD’zie i pobrałem to. Ściąga mi tylko a2HijackFree.exe (103 B), zamiast 3.3 MB.

falcon89 · 7 Luty 2013 13:27

Ściągaj z linków bezpośrednich (po prawej stronie).

Lukash1 · 7 Luty 2013 13:37

emulator wirtualnego napędu

To bodajże sterownik od Total Commander / ewentualnie od czegoś innego = raczej zdrowy

Podstawowy sterowniki video.

Kliknij prawym > odinstaluj

– Dodane czwartek, 7 lut 2013, 14:43 –

to też mam - więc jest ok

Wejdź we właściwości > szczegóły > podaj Identyfikator sprzetu

DjSon231 · 7 Luty 2013 22:26

Hmmmm… Dziwi mnie ten Kontroler magazynu. ID jest kilka, ale podam:

PCI\VEN_1095&DEV_3512&SUBSYS_03060398&REV_01

PCI\VEN_1095&DEV_3512&SUBSYS_03060398

PCI\VEN_1095&DEV_3512&CC_010400

PCI\VEN_1095&DEV_3512&CC_0104

Wszedłem też w Usługi i jaką usługę z dziwną nazwą znalazlem:

alu0egtj.

Lukash1 · 8 Luty 2013 00:47

Czyli chodzi tu o to samo urządzenie Silicon Image SiI 3112 SATALink Controller. Może na dvd do mobo masz ten sterownik. Dałbyś zrzuty z menedżera urządzeń z zakładek : ogólne i sterownik.

Wklej w wiersz polecenia :

[enter]

Wklej zawartość do posta.

DjSon231 · 8 Luty 2013 09:44

Hmm… Początkowo chciałem sprawdzić w Regedit, czy ów klucz istnieje. Oczywiście, nie ma go, więc nie ma sensu nic wklejać, a wszystkie te na a, ‘dziwne’ sterowniki to SCSI Miniport i sterowniki do Amd64 którego nie posiadam; ani karty graficznej, ani procesora. Wszystko zintegrowane, Intelowskie (laptop eMachines E725).

//Edit:

Zrzuty:

Lukash1 · 8 Luty 2013 10:21

Jedno przeczy drugiemu, jak jest w Usługi to i w rejestrze jest…chyba że to usługa widmo…

Infekcje chyba można wykluczyć, problem jest raczej natury hardware/software, wyłączyłbym na próbę ten kontroler bo i tak ma awarie > restart.

Atis · 8 Luty 2013 10:59

Sterowniki SCSI o losowych nazwach zaczynających się na A tworzone są przez programy do emulacji napędów (Deamon tools, Alcohol 120% itp.)

Żeby usunąć takie sterowniki musisz odinstalować program oraz sterownik sptd.sys.

Pobierz i uruchom SPTDinst, a następnie kliknij Uninstall.

Lukash1 · 8 Luty 2013 13:34

Atis , na 100% masz rację, choć sam pierwszy raz widzę coś podobnego, a Alcohola używam… ale to faktycznie będzie stary szczątek po przekombinowanym DeamonTools.

Atis · 8 Luty 2013 13:49

Takie sterowniki widać w każdym logu z OTL jeśli w tle działa sptd.sys.

Przykład: http://www.wklejto.pl/txt148829

Nie można tego normalnie usunąć, bo po restarcie zostanie utwórzony nowy sterownik o innej nazwie.

Najpierw trzeba całkowicie odinstalować sptd.

Spybot nie jest dobry do wykrywania rootkitów.

Dobre programy to Gmer, TDSSKiller, aswMBR

DjSon231 · 8 Luty 2013 16:34

Oczywiście, TDSSKiller wykrył mi SPTD, lecz już go dwukrotnie usuwałem. Zobaczymy w przyszłości, czy coś się poprawi. Usunę go też w rejestrze (sptd) i w menedżerze urządzeń.

//Edit:

Nie mogę usunąć w rejestrze całego klucza SPTD, a mianowicie podklucza Cfg. Próbowałem uzyskać do niego dostęp ale za każdym razem się to nie udawało.

Lukash1 · 8 Luty 2013 19:08

Użyłeś do usuwania SPTDinst ? Jak dalej lipa to spróbuj przyznać sobie pełne uprawnienia (prawy> uprawnienia) do tego klucza i próbuj usuwać.

DjSon231 · 9 Luty 2013 09:34

Łukash , użyłem dwukrotnie SPTDInst i nic. Tak samo z uprawnieniami.

Atis · 9 Luty 2013 10:49

Uruchom MiniRegTool i wklej:

Zaznacz opcję Delete Keys/Values including Locked/Null embedded i kliknij Go

http://download.bleepingcomputer.com/fa … egTool.zip

DjSon231 · 9 Luty 2013 13:40

Hmmm… Nie potrzebny mi był ten program. W zaawansowanych ustawiłem Pełną kontrolę na moim profilu i usunąłem. Kontrolera magazynów już nie ma. Były 2, lecz się zmyły. Sterowników, które miały bardzo dziwną nazwę nie ma. Zobaczymy w przyszłości, czy problem będzie się ponawiać. Dziękuję wam za pomoc i pozdrawiam.