JacekBe Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Dobry wieczór! Posiadam Windows XP Home 32 bitowy. 13 listopada przy przeglądaniu stron internetowych litery zamieniły się w krzaki/paski, IE się zmulił, do tego ikony plików spakowanych rarem zrobiły się czarne, a ikona napędu DVD zmieniła się na domyślną Windowsa, a ikony plików htm na "telewizorki" (jak exe). Walczę z tym dziadostwem od 13 listopada i wreszcie udało mi się zrobić log Gmera. Początkowo miałem z nim problemy, pierwsze użycie = reset komputera (sam się wyłączył tuż po dwukliku), potem pochodził kilka godzin i też się zresetował (czego niestety nie widziałem, tak zeznaje żona), kolejny test przeszedł, ale przestał reagować przy próbie zapisania logu, potem ze dwa, gdzie się po drodze zawieszał i wreszcie dzisiaj się udało. Avira 13.11 wykryła i przeniosła do kwarantanny takich oto delikwentów: TR/Expl.Nuker.NSNuke.D Trojan, TR/Dldr.Java.Agent.BI Trojan, TR/Dldr.Java.Agent.BH Trojan, a także pliki zawierające recognition pattern of the JAVA/Agent.a Java virus, JAVA/Agent.CK Java virus. W międzyczasie Kaspersky Virus Removal Tool znalazł kolejnego trojana (niestety nie pamiętam co to było, możliwe że TR/Proxy.Horst.1710408 Trojan). W końcu dzisiaj ruszył Gmer, dodatkowo zrobiłem logi OTL, już wydawało się, że jest nieźle, ikony wróciły do starej postaci, ale po restarcie znowu są nie takie jak trzeba. Wrzucam logi: gmer.txt OTL.Txt Extras.Txt Proszę o pomoc. Jacek Odnośnik do komentarza
picasso Opublikowano 17 Listopada 2010 Zgłoś Udostępnij Opublikowano 17 Listopada 2010 Log z OTL robiony na nieprawidłowych ustawieniach, zaznaczyłeś Wszystko a nie Użyj filtrowania, analiza takich raportów trwa dwa razy dłużej. Zaś w raportach nie widzę żadnych znaków czynnej infekcji ani przekojarzenia asocjacji rozszerzeń. A ten "podejrzany" sterownik to przypuszczalnie po użyciu któregoś z mini skanerów Kasperskiego (np. AVZ Antiviral Toolkit): DRV - [2010-11-16 23:00:38 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\utm0ndi2.sys -- (utm0ndi2)[2010-11-16 23:00:37 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\utm0ndi2.sys Co najwyżej można zrobić kosmetykę usunia wpisów "not found" i "error", ale to nie jest aż takie istotne dopóki nie jest rozwiązany problem główny. To potem. Komentarze do Dziennika zdarzeń: Error - 2010-11-16 13:13:37 | Computer Name = BERNACCY | Source = Service Control Manager | ID = 7022Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania. Kilka wystąpień tego błędu. To znany problem zawieszeń tej usługi Hewlett-Packard, powodujący także potworne wydłużanie startu. Usługę wyłącz: Start > Uruchom > services.msc, wyszukaj tę usługę, wywołaj jej Właściwości, tam Typ startu ustaw na Wyłączona, a usługę Zatrzymaj. Error - 2010-11-17 07:54:09 | Computer Name = BERNACCY | Source = Userenv | ID = 1512Description = System Windows nie może zwolnić pliku rejestru. Pamięć używana przez ten rejestr nie została zwolniona. Najczęstszą tego przyczyną są usługi uruchamiane z konta użytkownika. Próbuj skonfigurować te usługi, aby były uruchamiane z konta LocalService lub NetworkService. Jeśli ten problem będzie się powtarzać, skontaktuj się z administratorem sieci. SZCZEGÓŁY - Zasoby systemowe nie wystarczają do ukończenia żądanej usługi. Ten błąd mogą powodować także antywirusy i inne zaborcze programy. Do rozwiązywania tego typu problemów służy User Hive Profile CleanUp Service. Avira 13.11 wykryła i przeniosła do kwarantanny takich oto delikwentów: TR/Expl.Nuker.NSNuke.D Trojan, TR/Dldr.Java.Agent.BI Trojan, TR/Dldr.Java.Agent.BH Trojan, a także pliki zawierające recognition pattern of the JAVA/Agent.a Java virus, JAVA/Agent.CK Java virus.W międzyczasie Kaspersky Virus Removal Tool znalazł kolejnego trojana (niestety nie pamiętam co to było, możliwe że TR/Proxy.Horst.1710408 Trojan). Lokalizacje! Nazwy nic nie mówią, musi być podana ścieżka dostępu / precyzyjna nazwa pliku gdzie to zostało namierzone. 13 listopada przy przeglądaniu stron internetowych litery zamieniły się w krzaki/paski, IE się zmulił, do tego ikony plików spakowanych rarem zrobiły się czarne, a ikona napędu DVD zmieniła się na domyślną Windowsa, a ikony plików htm na "telewizorki" (jak exe).(...) już wydawało się, że jest nieźle, ikony wróciły do starej postaci, ale po restarcie znowu są nie takie jak trzeba Czy te zmiany ikon to na pewno sprawa infekcji? Może poszło cache ikon. Spróbuj zresetować cache: prawoklik na Pulpit > Właściwości > Ustawienia > przestaw głębię kolorów z 32-bit na 16-bit, odczekaj chwilę i przestaw z powrotem na 32-bit. . Odnośnik do komentarza
JacekBe Opublikowano 18 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 18 Listopada 2010 Log z OTL robiony na nieprawidłowych ustawieniach, zaznaczyłeś Wszystko a nie Użyj filtrowania, analiza takich raportów trwa dwa razy dłużej. Przepraszam, miało być dobrze, a wyszło jak zwykle... Komentarze do Dziennika zdarzeń:Error - 2010-11-16 13:13:37 | Computer Name = BERNACCY | Source = Service Control Manager | ID = 7022 Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania. Kilka wystąpień tego błędu. To znany problem zawieszeń tej usługi Hewlett-Packard, powodujący także potworne wydłużanie startu. Usługę wyłącz: Start > Uruchom > services.msc, wyszukaj tę usługę, wywołaj jej Właściwości, tam Typ startu ustaw na Wyłączona, a usługę Zatrzymaj. Zrobione Error - 2010-11-17 07:54:09 | Computer Name = BERNACCY | Source = Userenv | ID = 1512Description = System Windows nie może zwolnić pliku rejestru. Pamięć używana przez ten rejestr nie została zwolniona. Najczęstszą tego przyczyną są usługi uruchamiane z konta użytkownika. Próbuj skonfigurować te usługi, aby były uruchamiane z konta LocalService lub NetworkService. Jeśli ten problem będzie się powtarzać, skontaktuj się z administratorem sieci. SZCZEGÓŁY - Zasoby systemowe nie wystarczają do ukończenia żądanej usługi. Ten błąd mogą powodować także antywirusy i inne zaborcze programy. Do rozwiązywania tego typu problemów służy User Hive Profile CleanUp Service. Zrobione Lokalizacje! Nazwy nic nie mówią, musi być podana ścieżka dostępu / precyzyjna nazwa pliku gdzie to zostało namierzone. Już się poprawiam: Avira z 13.11: Beginning disinfection: N:\rmvb\Portable - NFS Underground 2\SetupReg.exe [DETECTION] Is the TR/Expl.Nuker.NSNuke.D Trojan [NOTE] The file was moved to the quarantine directory under the name '4e6aa1f8.qua'. C:\Documents and Settings\Jacek\Dane aplikacji\Sun\Java\Deployment\cache\6.0\44\66987e2c-6b490301 [DETECTION] Is the TR/Dldr.Java.Agent.BI Trojan [NOTE] The file was moved to the quarantine directory under the name '56b68e70.qua'. C:\Documents and Settings\Jacek\Dane aplikacji\Sun\Java\Deployment\cache\6.0\43\44fc60eb-747e7b83 [DETECTION] Is the TR/Dldr.Java.Agent.BH Trojan [NOTE] The file was moved to the quarantine directory under the name '04b4d4e6.qua'. C:\Documents and Settings\Jacek\Dane aplikacji\Sun\Java\Deployment\cache\6.0\35\61bec763-2308d6c4 [DETECTION] Contains recognition pattern of the JAVA/Agent.a Java virus [NOTE] The file was moved to the quarantine directory under the name '62879b21.qua'. C:\Documents and Settings\Jacek\Dane aplikacji\Sun\Java\Deployment\cache\6.0\1\444294c1-1be58589 [DETECTION] Contains recognition pattern of the JAVA/Agent.CK Java virus [NOTE] The file was moved to the quarantine directory under the name '2751b61a.qua'. Avira z 15.11: Begin scan in 'C:\Documents and Settings\Jacek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\BQ3N7J3T\rmvirut[1].exe' C:\Documents and Settings\Jacek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\BQ3N7J3T\rmvirut[1].exe [DETECTION] Is the TR/Proxy.Horst.1710408 Trojan [WARNING] An error has occurred and the file was not deleted. ErrorID: 26004 [WARNING] The source file could not be found. [NOTE] Attempting to perform action using the ARK library. [WARNING] The file could not be copied to quarantine! [WARNING] The file does not exist! Czy te zmiany ikon to na pewno sprawa infekcji? Może poszło cache ikon. Spróbuj zresetować cache: prawoklik na Pulpit > Właściwości > Ustawienia > przestaw głębię kolorów z 32-bit na 16-bit, odczekaj chwilę i przestaw z powrotem na 32-bit. Pomogło. Niestety Gmer pochodził 4 godziny, skończył zadanie i komputer znowu się zawiesił. W końcu się udało zapisać wynik, ale potem znowu brak odpowiedzi. Kiepsko to wszystko wygląda. Logi: OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2010 Zgłoś Udostępnij Opublikowano 18 Listopada 2010 Niestety Gmer pochodził 4 godziny, skończył zadanie i komputer znowu się zawiesił. W końcu się udało zapisać wynik, ale potem znowu brak odpowiedzi.Kiepsko to wszystko wygląda. Ale co wygląda "kiepsko"? Nie sugeruj się faktem zawieszenia systemu podczas działania GMER. Bardzo wiele osób nie może przejść tego skanu, na całkowicie czystych komputerach. Oceniając wyniki z Avira: nie wydaje mi się, że tu jest problem infekcji czynnej w systemie, a wyniki wyglądają na mało istotne. Pierwsza grupa to w 99% cache Java. W drugiej grupie wynik z rmvirut[1].exe w Tymczasowych plikach internetowych = to wygląda na pobraną ze strony AVG szczepionkę do usuwania Viruta (czy tak?), a jeśli, to narzędzie tego rodzaju może być błędnie oceniane przez inny skaner. Sumarycznie: nadal nie widzę tu problemu infekcji, a defekt pomieszanych ikon został naprawiony (zaś wykorzystana metoda naprawy udowadnia, że problem leżał w błędnym keszu). Mogę więc wykonać drobną kosmetykę, polegającą na usunięciu wpisów "not found" / "error" plus sprzątnięciu lokalizacji tymczasowych (co obejmuje m.in. i cache Java). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\splitcam.sys -- (SPLITCAM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MSI\Core Center\RushTop.sys -- (RushTopDevice) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\PCASp50.sys -- (PCASp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\MTiCtwl.sys -- (MagicTune) DRV - File not found [Kernel | On_Demand | Stopped] -- I:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) DRV - [2010-11-16 23:00:38 | 000,007,168 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\utm0ndi2.sys -- (utm0ndi2) O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll File not found O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll File not found O3 - HKU\S-1-5-21-861567501-1482476501-839522115-1004\..\Toolbar\ShellBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll File not found O3 - HKU\S-1-5-21-861567501-1482476501-839522115-1004\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-861567501-1482476501-839522115-1004..\Run: [] File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (Reg Error: Value error.) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\emu\SEGA M2\SegaM2\emulator.exe"=- "C:\rmvb\AoE2P\Age of Empires II Conquerors Expansion.exe"=- :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. Komputer będzie restartował, a po tym otrzymasz log. 2. W Dodaj / Usuń możesz nieco posprzątać. Czyli odinstalować te różne paski narzędziowe dodane do przeglądarek (Yahoo! Companion, Skype Toolbars, Google Toolbar, Megaupload Toolbar), chyba że któryś jest wykorzystywany. Zaktualizuj do wersji Adobe Reader X. Jest tu i bogaty zestaw przestarzałych Java: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 22"{3248F0A8-6813-11D6-A77B-00B0D0150050}" = J2SE Runtime Environment 5.0 Update 5"{3248F0A8-6813-11D6-A77B-00B0D0150070}" = J2SE Runtime Environment 5.0 Update 7"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7 Cały majdan uprzątniesz za pomocą JavaRa. W systemie ma pozostać jedynie najnowsza Java 6 Update 22 (JRE). DRV - [2002-07-27 17:01:06 | 000,005,306 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)DRV - [2002-07-27 17:01:06 | 000,005,306 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex)DRV - [1999-09-10 12:06:00 | 000,025,244 | ---- | M] (Adaptec) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\ASPI32.SYS -- (ASPI32) Te strasznie stare sterowniki TBPanel znikną po deinstalacji narzędzia VDOTool. Kolejna staroć, czyli sterowniki ASPI Adapteca, można zastąpić przez nowsze Frog Aspi. . Odnośnik do komentarza
JacekBe Opublikowano 19 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2010 No cóż najwyraźniej przy następnej okazji będę musiał wziąć coś na nerwy i działać mniej chaotycznie (ew. to znak upływających lat ) Faktycznie mogła to być szczepionka na Viruta. Ikony są w porządku. 1. OTL zrobił swoje: 11192010_082854.txt 2. Powywalałem dodatki, Acrobat uaktualniony, sprzątanie Javy i aktualizacja ASPI przeprowadzone. Logi z OTL: OTL.Txt Extras.Txt Czyżby szczęśliwy koniec nie-zawirusowania? Odnośnik do komentarza
picasso Opublikowano 19 Listopada 2010 Zgłoś Udostępnij Opublikowano 19 Listopada 2010 OTL wykonał swoje, jesteś także do przodu o 870MB miejsca na dysku (tyle "kosztowały" Twoje śmieci w lokalizacjach tymczasowych). 1. Drobnica na koniec, bo deinstalacje nie były perfekcyjne i zostały szczątki. Czyli do OTL sobie wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPANEL.SYS -- (Cardex) O3 - HKU\S-1-5-21-861567501-1482476501-839522115-1004\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O3 - HKU\S-1-5-21-861567501-1482476501-839522115-1004\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. [2010-11-14 21:20:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Iza\Dane aplikacji\MEGAUPLOADTOOLBAR Uruchom jak uprzednio, ale tym razem nie będzie restartował. Po ukończeniu pracy wywołaj opcję Sprzątanie. 2. Ostatni komentarz, jakoś tego nie wychwyciłam wcześniej. HDD Regenerator to nie jest dobry pomysł, więcej szkód niż pożytku. Oprogramowanie z prawdziwego zdarzenia: MHDD + Victoria. Acrobat uaktualniony ? Ciągle widzę na liście programów przestarzałą wersję (i to tę, która ma lukę zabezpieczeń powodującą autowykonanie infekcji z wklejek iframe): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish Czyżby szczęśliwy koniec nie-zawirusowania? Na to wygląda. . Odnośnik do komentarza
JacekBe Opublikowano 19 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 19 Listopada 2010 (edytowane) OTL posprzątał. Acrobat w wersji X, na 100 % HDD Inspector usunięty (i tak praktycznie nieużywany). Dzięki wielkie za cierpliwość i pomoc. Pozdrawiam Jacek Edytowane 19 Listopada 2010 przez picasso Temat ukończony, toteż go zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi