System wolno działa - dziwne procesy: svc.exe, xvsfym.exe, u2lj.exe

[tomo]

Log z Gmera z trybu awaryjnego bo w normalnym niestety BSOD.

MBRCheck nadal się wiesza wiec log z Bootkit Remover.

 

 

Log z usuwania OTLPE:

otlpe_skrypt.txt

 

Reszta logów:

Extras.Txt

OTL.Txt

 

gmer.txt

 

bootkit remover.txt

[picasso]

Czy Internet Explorer się uspokoił? Czy notujesz jakieś dziwne problemy? Potwierdź, ponieważ w logach nie widzę już żadnych nawrotów i oczekuję na zielone światło, by przejść do sprzątania po narzędziach. Jest tu jeden szczątek "not found" po pliku svc2.exe w rejestrze, ale to było spodziewane, bo by nie kombinować, w FIX.TXT nie dałam importu do rejestru do hive podmontowanego pod inną nazwą. Sprzątanie tego to bułka z masłem. Dodatkowo wywalenie pozostałości po Catchme GMERa oraz czyszczenie lokalizacji tymczasowych i folderów Przywracania systemu.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1659004503-343818398-725345543-1003..\Run: [NetLog2] C:\WINDOWS\svc2.exe File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

 

Uruchom przez Wykonaj skrypt.

 

2. Pokaż log z usuwania i nowy z OTL.

 

 

 

.

[tomo]

Jeśli chodzi o IE to nic się nie pokazuje na starcie i wyglada na to że jest ok.

 

Żadnych innych objawów nie zauwazyłem.

 

Jedyne co to po wykonanu skryptu na dole okna OTL wyświetlił się napis Processin complete czy jakoś tak ale nie wrócił do pulpitu ani nie zrestartował się. Zrobiłem Alt+Ctrl+del, zamknałem OTL i uruchomiłem explorer.exe. Potem zrestartowałem kompa. Log pojawił się jak ponownie uruchomilem OTL jak chcialem zrobić następny skan.

 

 

otl_z_usuwania.txt

OTL.Txt

Extras.Txt

 

Zgrany MBR zgodnie z instrukcją we wczesniejszym poście wysłałem na PW.

[picasso]

To dla mnie jest dowodem, że infekcja została wyleczona i możemy przejść do drobnostek:

 

 

CZĘŚĆ SPRZĄTAJĄCA:

 

1. Pozbądź się wszystkich szczątków narzędziowych:

 

• Odinstaluj USBFix.
  
• W OTL wywołaj funkcję Sprzątanie. To usunie elementy samego siebie i ComboFixa.
  
• Możesz z dysku wyrzucić wszystkie inne tu używane narzędzia / ich logi oraz katalogi: C:\Kaspersky Rescue Disk 10.0, C:\Documents and Settings\DOMOWY\DoctorWeb
  

2. Dla pewności wykonaj jeszcze ostatni potwierdzający skan przez Malwarebytes' Anti-malware.

 

 

CZĘŚĆ ZABEZPIECZAJĄCA:

 

1. Zmień wszędzie hasła logowania. Rootkit MBR ma predyspozycje do tworzenia wycieków danych.

 

2. Obowiązkowa aktualizacja zabezpieczająca:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)

 

Nie dość, że strefa sito, to jeszcze nie otrzymasz żadnych aktualizacji automatycznie, bo Microsoft odciął systemy starsze niż XP SP3 od tego modelu.... Doprowadź do stanu: Service Pack 3. Po instalacji uruchom Windows Update i pobierz wszystkie dostępne łaty zabezpieczające. Wśród nich jest bardzo istotna, zabezpieczająca przed nową formą infekcji via skróty LNK (infekcja przez samo otworzenie dysku USB), całkiem inna technika niż autorun.inf.

 

 

3. Podobnie rzecz się ma z oprogramowaniem:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{FB8148DD-C575-4B0A-9F6C-0CFC46937930}" = Opera 10.10
"Adobe Acrobat 4.0" = Adobe Acrobat 4.0
"Gadu-Gadu" = Gadu-Gadu 7.7

Jest nowsza Opera. Gadu także jest punktowane nie bez przyczyny, i bardzo słabe bezpieczeństwo, i brak kompatybilności sieciowej z .... własną siecią, i reklamy. Oglądaj temat Darmowe komunikatory, patrz na tabelki kompatybilności z Gadu i dobieraj coś porządniejszego (WTW, Miranda, Kadu, AQQ) ....

 

 

4. Zimmunizuj system na okoliczność infekcji USB via autorun.inf. W Panda USB Vaccine wykorzystaj opcję Computer Vaccination.

 

5. Brak tu jakiegokolwiek antywirusa i zapory sieciowej. Może taki darmowy komplet próbnie: COMODO Internet Security instalowane z ominięciem antywirusa + Avira AntiVir Personal. MBAM pozostaje skanerem na żądanie.

 

 

Zgrany MBR zgodnie z instrukcją we wczesniejszym poście wysłałem na PW.

 

Tak, odebrałam już. Dziękuję.

 

 

.

[tomo]

Oto skan z MBAM

 

mbam-log-2010-08-26 (19-20-57).txt

[picasso]

Ogólnie = wszystko co pokazane usuwaj. Tylko mam dwie wątpliwości o co chodzi. Hmm, zadałam komendę [clearallrestorepoints] czyszczenia punktów Przywracania, która w OTL się spokojnie wykonała ("Restore points cleared and new OTL Restore Point set!"), a tu nadal jakieś znaleziska w katalogu Przywracania systemu System Volume Information. W takim razie wyzeruj ten katalog ręcznie: url="https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__50#entry50"]INSTRUKCJE[/url]. Natomiast to C:\userinit.exe to przecież mój plik i wątpię, by był zarażony, moim zdaniem to jest błąd oceny MBAM.

[tomo]

Zainstalowałem wszystko zalecane.

 

Po zainstalowaniu Aviry przeskanowałem cały system na wszelki wypadek. Poniżej załączam log bo coś się jeszcze znalazło.

 

AVSCAN-20100826-224141-8059B074.txt

 

Ogólnie wszystko śmiga jak nalezy. Jedynie co mnie jeszcze zastanawia to dlaczego po starcie systemu ikonka od karty sieciowej oraz ikonka od HP Digital Imaging monitor pojawia się gdzies po około 2 minutach od załadowania systemu. W tym czasie nie widać aby dysk jakoś pracował czy coś. Wydaje mi się że to było zanim zacząłem instalować comodo i avire bo wtedy pojawiała się ta ikonka od Centrum zabezpieczeń i ona też właśnie się tak po długim czasie od uruchomienia systemu dopiero pojawiała w trayu.

Jakiś pomysł o co chodzi?

[picasso]

Po zainstalowaniu Aviry przeskanowałem cały system na wszelki wypadek. Poniżej załączam log bo coś się jeszcze znalazło.

 

Te wyniki z Avira nie wyglądają na relatywne do zaistniałych tu problemów:

 

Begin scan in 'D:\' 
D:\instalki\xp sp1 crack\xpsp1howto.zip
[0] Archive type: ZIP
  [DETECTION] Is the TR/Agent.12800.V Trojan
--> WindowsXP Product Key Viewer.exe
  [DETECTION] Is the TR/Agent.12800.V Trojan
Begin scan in 'E:\'
E:\GTA\GTAWIN\GTAWIN.EXE
    [DETECTION] Contains recognition pattern of the W95/CIH Windows virus

 

Ten pierwszy był już widzialny w MBAM. Jak widać, jest to krakers, program do wyciągania klucza Windows, i dlatego się go skanery czepiają, mimo że jest tu "świadome użytkowanie". Drugi wynik jest w ogóle niejasny. Nie dowierzam, by plik gry był zainfekowany tym starym wirusem. Dla świętego spokoju rzuć plik GTAWIN.EXE na VirusTotal.

 

 

Jedynie co mnie jeszcze zastanawia to dlaczego po starcie systemu ikonka od karty sieciowej oraz ikonka od HP Digital Imaging monitor pojawia się gdzies po około 2 minutach od załadowania systemu. W tym czasie nie widać aby dysk jakoś pracował czy coś. Wydaje mi się że to było zanim zacząłem instalować comodo i avire bo wtedy pojawiała się ta ikonka od Centrum zabezpieczeń i ona też właśnie się tak po długim czasie od uruchomienia systemu dopiero pojawiała w trayu.

Jakiś pomysł o co chodzi?

 

1. Spojrzałam jeszcze w ostatnie dostarczone logi, konkretniej na Dziennik zdarzeń i tam są dwa takie błędy:

 

Error - 2010-08-26 10:16:35 | Computer Name = DOM | Source = Service Control Manager | ID = 7022
Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania.
 
Error - 2010-08-26 10:16:35 | Computer Name = DOM | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   i2omgmt

 

Pierwszy wynik to znajoma sprawa, czyli badziewne sterowniki Hewlett-Packard. Figurująca tu Usługa HP CUE DeviceDiscovery wykazuje tendencje do wieszania się przy starcie, co może mieć negatywny wpływ na szybkość reakcji startowych. Obejście to wyłączenie usługi. Drugi element i2omgmt w domyślnej konfiguracji XP jest pusty, czyli usługa bez pliku. Tu próbuje się uruchamiać i nie może. W związku z tym obie rzeczy przekonfiguruję na wyłączone. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hpqddsvc]
"Start"=dword:00000004
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i2omgmt]
"Start"=dword:00000004

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik > restart systemu

 

 

2. Dodatkowo, przy pierwszych podejściach jako zainfekowany stał plik aec.sys (Microsoft Kerner Acoustic Echo Canceller), był owszem pomyślnie wymieniony, ale już miałam przypadki, że to nie jest równoznaczne z kondycją całego urządzenia relatywnego do określonego pliku (aka plik czysty, ale urządzenie w stanie z wykrzyknikiem). Na wszelki wypadek spójrz także jeszcze w Menedżer urządzeń Start > Uruchom > devmgmt.msc czy nie ma jakiś wykrzykników / pytajników. Gdyby coś było to przepisz informacyjnie dla mnie, a podane urządzenie odinstaluj i restart systemu.

 

 

 

.

[tomo]

Na virustotal pokazało coś takiego:

 

Antivirus results

AhnLab-V3 - 2010.08.27.00 - 2010.08.26 - -

AntiVir - 8.2.4.46 - 2010.08.26 - W95/CIH

Antiy-AVL - 2.0.3.7 - 2010.08.26 - -

Authentium - 5.2.0.5 - 2010.08.26 - -

Avast - 4.8.1351.0 - 2010.08.26 - -

Avast5 - 5.0.594.0 - 2010.08.26 - -

AVG - 9.0.0.851 - 2010.08.26 - Win32/Small

BitDefender - 7.2 - 2010.08.27 - Win95.CIH.299

CAT-QuickHeal - 11.00 - 2010.08.24 - -

ClamAV - 0.96.2.0-git - 2010.08.26 - -

Comodo - 5870 - 2010.08.27 - -

DrWeb - 5.0.2.03300 - 2010.08.27 - -

eSafe - 7.0.17.0 - 2010.08.26 - -

eTrust-Vet - 36.1.7820 - 2010.08.27 - -

F-Prot - 4.6.1.107 - 2010.08.26 - -

F-Secure - 9.0.15370.0 - 2010.08.26 - Win95.CIH.299

Fortinet - 4.1.143.0 - 2010.08.26 - -

GData - 21 - 2010.08.27 - Win95.CIH.299

Ikarus - T3.1.1.88.0 - 2010.08.26 - -

Jiangmin - 13.0.900 - 2010.08.26 - -

Kaspersky - 7.0.0.125 - 2010.08.27 - -

McAfee - 5.400.0.1158 - 2010.08.27 - -

McAfee-GW-Edition - 2010.1B - 2010.08.26 - -

Microsoft - 1.6103 - 2010.08.26 - -

NOD32 - 5400 - 2010.08.26 - -

Norman - 6.05.11 - 2010.08.26 - -

nProtect - 2010-08-26.01 - 2010.08.26 - -

Panda - 10.0.2.7 - 2010.08.26 - -

PCTools - 7.0.3.5 - 2010.08.27 - -

Prevx - 3.0 - 2010.08.27 - -

Rising - 22.62.03.01 - 2010.08.26 - -

Sophos - 4.56.0 - 2010.08.26 - -

Sunbelt - 6799 - 2010.08.27 - -

SUPERAntiSpyware - 4.40.0.1006 - 2010.08.27 - -

Symantec - 20101.1.1.7 - 2010.08.27 - -

TheHacker - 6.5.2.1.356 - 2010.08.26 - -

TrendMicro - 9.120.0.1004 - 2010.08.26 - -

TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.27 - -

VBA32 - 3.12.14.0 - 2010.08.25 - -

ViRobot - 2010.8.26.4009 - 2010.08.26 - -

VirusBuster - 5.0.27.0 - 2010.08.26 - -

File info:

MD5: fbb838f6e908e267efc2446e689c8d7b

SHA1: 7a73e8504621707d4212f9050efcd58490a53430

SHA256: 3e617223d29bde8623b9789ad0b244c0f309ae4b0ac996d5dc1fa67cf59c036d

File size: 909824 bytes

Scan date: 2010-08-26 23:41:38 (UTC)

 

 

 

A co do reszty to teraz znacznie szybciej startuje, a w Menadzeże urządzeń nie ma żadnych wykrzykników. Wszystkie urządzenia OK.

 

ps. czy wyłączenie tej usługi HP ma na coś wpływ? Bo wyglada na to ze załadował się do traya ten HP Digital Imaging Monitor ale nie mogę go uruchomić.

[picasso]

Nadal nie jestem przekonana co do wyników z VirusTotal. Cóż, zakładając że to naprawdę jakiś pattern wirusa, nie pozostaje nic innego jak plik skasować, tylko to oczywiście spowoduje braki....

 

ps. czy wyłączenie tej usługi HP ma na coś wpływ? Bo wyglada na to ze załadował się do traya ten HP Digital Imaging Monitor ale nie mogę go uruchomić.

 

Hmmm, wg opisu usługa wykonuje detekcję urządzeń głównie dla Solution Center i nie powinno być naruszenia funkcjonalności. A jak to się objawia? Czy zwraca określony błąd (jaki)? Przeprowadź jeszcze jeden test: zamiast wyłączenia usługi HP, przestaw jej rodzaj startu na mniej "inwazyjny". Start > Uruchom > services.msc, na liście wyszukaj naszego delikwenta i z dwukliku wywołaj właściwości, w Typ startowy przestaw z aktualnego Wyłączony na Ręczny. Zresetuj system i sprawdź jak to się ma do długości startu oraz działania tego monitora w obszarze powiadomień.

 

Niestety, z tego co ja wiem nie ma żadnego fiksa na tę przypadłość usługi HP, a rzekome "łatki" HP niepomocne (ostatecznie jednak sprawdź czy w aktualizacjach na stronie HP nie ma czegoś nowego). W sieci cała chmara osób cierpiąca na to samo. Całkowite wyłączenie usługi jest obejściem a nie rozwiązaniem.

 

 

.

[tomo]

Jesli chodzi o tą usługę to w trybie ręcznym a całkiem wyłączona nie ma różnicy w czasie ładowania. Jedynie w automatycznym zamula na starcie.

 

Wydawało mi się, że po wyłączeniu tej usługi przestała działać opcja "uruchom/pokaż nawigatora" dostępna w prawego przyciku myszy na ikonce HP Digital imaging z traya. ale po włączeniu też nie działa. Może przesintaluje soft, żeby to jeszcze sprawdzić.

 

 

Wszystko inne super.Ładuje się szybko, programy też ładnie się odpalają.

 

Proszę o instrukcje czy coś jeszcze trzeba zrobić z komputerem aby było ok.

 

Może defragmentację? Tylko jakim programem, żeby defragmentował wszystkie obszary dysku a nie tylko same dane?

Czy pefrectdisk będzie dobry? A może jakis darmowy?

[picasso]

Wydawało mi się, że po wyłączeniu tej usługi przestała działać opcja "uruchom/pokaż nawigatora" dostępna w prawego przyciku myszy na ikonce HP Digital imaging z traya. ale po włączeniu też nie działa. Może przesintaluje soft, żeby to jeszcze sprawdzić.

 

W takim razie przeinstaluj soft HP, a Usługę HP CUE DeviceDiscovery na trwałe wyłącz.

 

Może defragmentację? Tylko jakim programem, żeby defragmentował wszystkie obszary dysku a nie tylko same dane?

Czy pefrectdisk będzie dobry? A może jakis darmowy?

 

Defragmentacja to dobry pomysł. PerfectDisk jak najbardziej. Z darmowych zaś możesz skorzystać z Puran Defrag Free Edition, który ma opcję Boot Time Defragmentation do prowadzenia defragmentacji specjalnych plików systemowych, takich jak: MFT, pamięć wirtualna, pliki rejestru i dziennika.

 

 

 

.

[tomo]

Ok wszystko pieknie działa.

 

Pytanie jeszcze jedno moje i myślę że można zamykać temat. Czy włączenie w BIOSie opcji Wirus Warning może zapobiec infekcji w MBR i czy warto to włączyć?

 

pozdrawiam i dziękuję bardzo za wszelką pomoc

 

Tomo

[picasso]

Czy włączenie w BIOSie opcji Wirus Warning może zapobiec infekcji w MBR i czy warto to włączyć?

 

To nie jest takie proste, ponieważ włączenie tej opcji może wzmóc komunikaty typu fałszywe alarmy. Info: KLIK. Więcej zamieszania aniżeli faktów zdowodowanych. Ta opcja to przeżytek.

 

Rozumiem, że temat mogę zamknąć, toteż wieszam kłódkę.