Według antywirusów system czysty, ale niepokojace wpisy w FRST

[Andman]

Witam.

Sprawa dotyczy systemu XP SP3.

Przy pomocy poradników picasso, zarówno z tego forum jak i poprzedniego, staram utrzymywać się system w dobrej kondycji.

Od jakiegoś czasu zaczęły topornie uruchamiać się zwłaszcza przeglądarki i instalatory. Od wywołania do uruchomienia upływało kilkadziesiąt sekund. Menadżer zadań nie pokazywał żadnych obcych (nieznanych) procesów. Skanowanie antywirusem oraz doraźne MBAM też nic nie wykrywało.

Furia mnie ogarnęła i wykonałem logi zgodnie z polityka pomocy na forum. Wpisy ATTENTION  w logu FRST skłoniły mnie do założenia tematu.

 

Proszę o weryfikacje logów i ewentualną pomoc.

 

Pozdrawiam.

 

P.S.

Raport GMER się generuję. Dołączę go po zakończeniu skanowania

Dodaję log z Gmer.

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Gmer.txt

[picasso]

Temat przenoszę do działu Windows. Nie ma tu żadnych oznak infekcji.

 

 

Od jakiegoś czasu zaczęły topornie uruchamiać się zwłaszcza przeglądarki i instalatory. Od wywołania do uruchomienia upływało kilkadziesiąt sekund. Menadżer zadań nie pokazywał żadnych obcych (nieznanych) procesów. Skanowanie antywirusem oraz doraźne MBAM też nic nie wykrywało.

1. Zwraca uwagę kontrolką Microsoft Update (czyli wersja rozszerzona, grubsza niż Windows Update):

 

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1344632400828 (MUWebControl Class)

 

Do wglądu: KLIK

 

2. Ewentualnie do rozważenia jeszcze wpływ Privatefirewall lub małej ilości wolnego miejsca na dysku (~3.12 GB).

 

 

Furia mnie ogarnęła i wykonałem logi zgodnie z polityka pomocy na forum. Wpisy ATTENTION w logu FRST skłoniły mnie do założenia tematu.

Tymi wpisami "ATTENTION" nie ma się co przejmować. Te wpisy nie kierują do infekcji, choć mogą być pozostałościami po niedokładnym jej wyczyszczeniu (zwłaszcza infekcji typu "policja"). Te znaczniki stąd, że jedyny domyślny Shell ustawiony na explorer.exe w systemie jest w kluczu HKLM, a tu są repliki Shell po stronach kont użytkowników (Twoje + konta wbudowane) kierujące na systemowy explorer.exe. FRST zawsze będzie wpisy Shell kont oznaczał, niezależnie od tego, że nie ma tam nic szkodliwego. Są również przecież prawidłowe powłoki uruchamiane po stronie kont.

 

1. Po prostu usuń te wpisy (plus drobne korekty na inne rzeczy). To akcje poziomu kosmetycznego i nie mają żadnego wpływu na wydajność. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-19\...\Winlogon: [shell] Explorer.exe [1035264 2008-04-14] (Microsoft Corporation) 
HKU\S-1-5-20\...\Winlogon: [shell] Explorer.exe [1035264 2008-04-14] (Microsoft Corporation) 
HKU\S-1-5-21-1177238915-1604221776-725345543-1004\...\Winlogon: [shell] Explorer.exe [1035264 2008-04-14] (Microsoft Corporation) 
SearchScopes: HKLM - DefaultScope value is missing.
BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll No File
ShellExecuteHooks: - {4F07DA45-8170-4859-9B5F-037EF2970034} - No File [ ]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe pozycje ArcaBit Prerequistes > Dalej.

 

 

 

.

[Andman]

Dzięki za szybką odpowiedź.
 
Wykonałem.
1. Fix przy pomocy FRST
2.Usunąłem ArcaBit Prerequistes (narzędzie uruchamiałem dwukrotnie. Były dwa wpisy ArcaBit Prerequistes).
 
Pomimo, że w dodatkach IE nie był widoczny MuWebControl Class.
Wyłączyłem Microsoft Update. Usunąłem MuWebControl Class i wykonałem komendę regsvr32 /u C:\WINDOWS\system32\muweb.dll. 
 
Wnioski:
Bardzo długo uruchamia się system. Transfer sprawdziłem, jest ustawiony na DMA.
 
Pytania:
1. Wpis z logu FRST

ATTENTION ======> If the system is having audio adware rpcss.dll is patched. Google the MD5, if the MD5 is unique the file is infected.
C:\WINDOWS\system32\Drivers\volsnap.sys
[2006-03-02 13:00] - [2008-04-14 17:01] - 0052864 ____A (Microsoft Corporation) 56b191ac5fc0df219949c95a6c87afe7

zignorować?
 
2.

Te wpisy nie kierują do infekcji, choć mogą być pozostałościami po niedokładnym jej wyczyszczeniu (zwłaszcza infekcji typu "policja")

Modnej "Policji" nie miałem. Jaki inny powód tych wpisów?
 
3. Co dalej?
 
 
Edycja:
Szanowna picssso.
 
Męczył mnie problem i wykonałem następujące czynności:
Zwiększenie wolnego miejsca na dysku C - bez efektu
Defragmentacja Puran Defrag - bez efektu.
Odinstalowanie Privatefirewall - bez efektu
Deinstalacja MSE - bez efektu
 
Ciągłe system startował ponad 5 minut.
 
Ograniczyłem wyszukiwanie problemu do dwóch domen: fixitpc.pl i poprzedniej gdzie picasso administrowała.
Zwrócił się wynik poszukiwań http://searchengines.pl/topic/5989-optymalizacja-i-odchudzanie-xp/page-2?do=findComment&comment=54487.

 

Pomimo, że wcześniej sprawdzałem kontroler IDE ATA/ATAPI wróciłem do powyższych ustawień.

I w Podstawowym kanale IDE -> właściwości ->ustawienia zaawansowane ujrzałem: urządzenie główne; tryb transferu DMA; bieżący transfer: tylko PIO.

Odinstalowałem sterownik, restart i obecnie wszystko wróciło do normy.

 

Picasso, Twoja wiedza przekazywana użytkownikom jest bezcenna.

Dziękuję za pomoc i tą bezpośrednią w temacie, i tą zarchiwizowaną.

 

Teraz posprzątam po użytych narzędziach.

 

A wolnej chwili proszę zamknąć temat.

 

 

 

 

 

Fixlog.txt

Edytowane 13 Lutego 2014 przez Andman