Pliki DWHxxxx.tmp w katalogu Temp

[DragonFire]

Witaj Picasso

 

Załączam dwa logi z OTL

 

Mam problem z procesem, którego nie widać w menadżerze procesów, a który uruchamia mi się codziennie popołudniu. Mam Symantec Endpoint Protection 11 i zgłasza mi on kilkanaście do kilkudziesięciu infekcji w plikach dwh(przypadkowy numer).tmp, które tworzą mi się w katalogu Temp. Nic poza tym się nie dzieje.

 

Przeszukując sieć w poszukiwaniu rozwiązania, znalazłem taki opis.

M.in. pisze tam, że plik ten potrafi się ukrywać... i faktycznie, nigdzie nie ma pliku o nazwie dwh.exe i mgking.exe.

 

Sprawdziłem system następującymi programami, które NIC nie znalazły:

Powyższy SEP11, Dr Web, ESET Online Scanner, Arca MicroScan, Trojan Remover, Prevx, Super AntiSpyware, Twój Malwarebytes , Spybot Search&Destroy, TDSKiller.

 

A takie coś mi się pokazuje co dnia:

 

Pojęcia nie mam jak się tego pozbyć

 

Zauważyłem, że gdy się zaczynają pokazywać te wpisy w logu SEP, uruchamiają się dwa procesy: dllhost oraz svchost. Gdzieś poczytałem o tym dllhost i to ma ponoć uruchamiać aplikacje .net, więc może ten dwh uruchamia się z jakiegoś innego pliku niż właśnie dwh.exe.

Z kolei na jakimś forum znalazłem opis, że gdy się wyłączy jakąś usługę, bodajże Com Surrogate, to problem znika, ale nie chcę sprawdzać, bo przecież może nawalić coś innego, prawda?

OTL.Txt

Extras.Txt

[picasso]

Dwh.exe a Dwh*.tmp to zupełnie inne pliki.

 

Mam problem z procesem, którego nie widać w menadżerze procesów, a który uruchamia mi się codziennie popołudniu. Mam Symantec Endpoint Protection 11 i zgłasza mi on kilkanaście do kilkudziesięciu infekcji w plikach dwh(przypadkowy numer).tmp, które tworzą mi się w katalogu Temp. Nic poza tym się nie dzieje.

 

Codziennie po południu = czyli w grę wchodzi harmonogram ustawiony w aplikacji. Poczytaj tu, jest to problem Symantec jako takiego: KLIK / KLIK. Mówisz: Symantec Endpoint Protection 11. Który build?

 

 

---

W raportach nie widzę oznak infekcji. Komentarze:

 

1. Są naruszenia w obszarze łańcucha Winsock:

 

O10:[b]64bit:[/b] - NameSpace_Catalog5\Catalog_Entries\000000000003 [] -  File not found
O10:[b]64bit:[/b] - NameSpace_Catalog5\Catalog_Entries\000000000004 [] -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000003 [] -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] -  File not found

Komenda resetu Winsock wbudowana w system (oraz to samo realizowane w Fixit MS) nie resetuje Namespace (tylko Protocol). Autoruns zaś miał poważny bug przy usuwaniu tego typu (nie sprawdzałam jednak aktualnej wersji), polegający na tym, że po usuwaniu tych wpisów padała sieć, a na Windows x64 jeszcze gorsze objawy (błąd Usługi powiadamiania o zdarzeniach). Wypinanie martwych dostawców ewentualnie do przeprowadzenia ręcznie. Nie możesz się jednak pomylić, bo źle edytując można doprowadzić do poważnych skutków ubocznych. Zanim podam ten rodzaj edycji zaprezentuj co masz aktualnie w tym kluczu:

 

Start > w polu szukania wklep regedit > z prawokliku wyeksportuj do obejrzenia ten klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5

 

 

2. Nieaktualizowany system. Uzupełnij o SP2 i IE8.

 

64bit-Windows Vista Ultimate Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)
Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

3. Komentowałam już Twoje raporty pod kątem software: KLIK. Mam te same zastrzeżenia, choć podejrzewam, że będziesz niereformowalny.

 

• Spyware Terminator to program, którego nie będę polecać. Producent się w przeszłości skompromitował sztuczkami charakterystyczmi dla producentów adware, a mimo że tego nie robi już, za takie coś dostaje ode mnie dożywotnią dyskwalifikację. I ten pasek Crawler, który dodaje do instalacji.... Ponadto, w ostatnim temacie nie podoba Ci się MBAM, a za to posługujesz się znacznie słabszym ... Spybot Search & Destroy. Nie bez przyczyny do skanowania systemów wykorzystuję ten pierwszy a nie ten drugi.
  
• Przestarzały Konnekt. Naprawdę proponuję, byś testowo sprawdził nowoczesne komunikatory WTW i Miranda (natywne wersje x64), a jeśli będziesz miał problem w konfiguracji / "podrobieniu Konnekta", pomogę. Wiem, że porzucenie Konnekta jest trudne, działa siła przyzwyczajenia i są pozory poprawnej bezproblemowej pracy na Vista x64. Ale jak mówię to pozory.
  
• Zaktualizuj przeglądarki Firefox i Opera.
  

 

 

 

.

[DragonFire]

Poczytaj tu, jest to problem Symantec jako takiego: KLIK / KLIK (ostatni post). Mówisz: Symantec Endpoint Protection 11. Który build?

 

Czytałem, myślałem nad tym, ale doszedłem do postu, w którym gościu ma 12 wersję i ma ten sam problem. Więc naprawianie tego im nie wyszło.

 

Nie wiem, który build, gdzie to ma pisać?

reg.txt

[picasso]

1. Na temat Symantec:

 

Nie wiem, który build, gdzie to ma pisać?

 

Chodzi mi o podanie dokładnej wersji programu, czyli w stylu 11.x.x.x, a taka informacja powinna być w oknie typu "About".

 

Czytałem, myślałem nad tym, ale doszedłem do postu, w którym gościu ma 12 wersję i ma ten sam problem.

 

Jest napisane, która wersja rozwiązuje problem oraz podane kilka obejść, ale nie jestem w stanie tego potwierdzić naocznie (nie posiadam tego klienta).

 

The last I have is this was fixed in RU6 MP1 (11.0.6100.x), I haven't seen this issue occur with that particular build. /Fingers Crossed.

 

Release Update 6 Maintenance Patch 1 (RU6 MP1)

 

DWHxxxx.tmp files are scanned and re-detected when new definitions arrive or during a scheduled scan

Fix ID: 1925607

Symptom: DWHxxxx.tmp files are scanned and re-detected when new definitions arrive or during a scheduled scan.

Solution: After extracting a quarantined item to a temp file, the file is deleted immediately after it is processed.

 

Dlatego pytam o dokładny build Twojej aplikacji. Przy okazji, wyczyść sobie lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

 

 

2. Na temat Winsock. Numer 3+4 to Dostawca obszaru nazw PNRP, czyli plik systemowy:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000000
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000000
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000000
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000000
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

 

OTL zgłasza "not found", co nie powinno mieć miejsca. Proszę wykonaj skanowanie wykazujące czy ten plik jest w systemie oraz czy są alternatywne kopie które można w prosty sposób przemigrować. Jeśli nie będzie, podam 32-bitową i 64-bitową wersję biblioteki wyekstraktowaną z obrazu Vista x64 SP1 i sobie wstawisz. Uruchom SystemLook x64, w oknie wklej co podane niżej i kliknij w Look.

 

:filefind
pnrpnsp.dll

 

 

 

.

[DragonFire]

Bardziej pod wieczór napiszę jak się sprawy mają, bo teraz nie mam czasu.

 

Co do "About"

Mam tylko takie coś:

Gdzie to znaleźć????

[picasso]

A do czego kieruje "Help and Support"?

 

Sprawdź Właściwości pliku C:\Program Files (x86)\Common Files\Symantec Shared\ccApp.exe jaka wersja pliku jest podana w karcie Szczegóły.

[DragonFire]

Dobra, mam; 11.0.6000.550

 

Zrobiłem tak, jak było opisane w jednym z Twoich linków. Usunąłem zawartość katalogu kwarantanny i zawartość katalogu temp oraz jakieś jeszcze dwa inne katalogi tam, gdzie była kwarantanna, ale nie pamiętam ich nazw.

Problem znikł. Cały dzień wczoraj patrzyłem, co się dzieje. Ale SEP nic nie wychwycił.

 

Niby jest ok, ale zauważam coś innego zamiast tego. Może to nic takiego, ale na kilka sekund w czasie, kiedy normalnie występowały wcześniejsze objawy, teraz procesor jest użyty w jakiś 60%. Po tej chwili wszystko wraca do normy. Tak na szybkiego sprawdzałem co mi tyle użycia zajmuje i to znów były jakies dwa procesy, ale jeden tak szybko się włączał i wyłączał, że nie zauważyłem jego nazwy, a drugi to System (nie ma nazwy pliku) i w opisie NT Kernel coś tam, bo też szybko latał i trudno było zauważyć jego opis.

 

A co do Twoich punktów:

#1: Skoro to tak wygląda, to nie będę tego ruszał, bo potem bym nie wrócił

#2: Tutaj, jak i w punkcie niżej, co do oprogramowania, zastanawiałem się co Ci odpisać, bo nie bardzo lubie zmieniać coś, co dobrze działa. Uważam, że póki do niczego nie jest mi potrzebne to SP2, jak i IE8, to nie będę tego ruszał.

#3: Rozśmieszyłaś mnie linijką

podejrzewam, że będziesz niereformowalny

. Bardzo dobra uwaga.

 

Spyware Terminator to program, którego nie będę polecać. Producent się w przeszłości skompromitował sztuczkami charakterystyczmi dla producentów adware, a mimo że tego nie robi już, za takie coś dostaje ode mnie dożywotnią dyskwalifikację. I ten pasek Crawler, który dodaje do instalacji.... Ponadto, w ostatnim temacie nie podoba Ci się MBAM, a za to posługujesz się znacznie słabszym ... Spybot Search & Destroy. Nie bez przyczyny do skanowania systemów wykorzystuję ten pierwszy a nie ten drugi.

 

Już miałem Ci coś napisać na temat tego Terminatora, ale jakimś cudem, nie wystartował mi przy tej instalacji Windows - jakaś usługa nie chciała się zainstalować, więc stwierdziłem, że faktycznie z nim coś jest nie tak. Ja tam nie miewam problemów z jakimiś dziwnymi toolbarami, po prostu ich nie instaluje z x programem.

SS&D mi się utarł i z przyzwyczajenia z niego korzystam, ale niestety musze stwierdzić, że nigdy nie znajduje mi tego, co chciałbym, żeby znalazł i też się na nim zawodzę. A Malwarebytes uważam, że jest tak samo cienki, jak i SS&D.

 

Przestarzały Konnekt. Naprawdę proponuję, byś testowo sprawdził nowoczesne komunikatory WTW i Miranda (natywne wersje x64), a jeśli będziesz miał problem w konfiguracji / "podrobieniu Konnekta", pomogę. Wiem, że porzucenie Konnekta jest trudne, działa siła przyzwyczajenia i są pozory poprawnej bezproblemowej pracy na Vista x64. Ale jak mówię to pozory.

 

Może i przestarzały, ale działa i nie mam z nim problemów. Próbowałem tą Mirandę, ale jak dla mnie wygląda ona strasznie ubogo. Porzucenie Konnekta trudne nie jest, trudne było porzucenie WP Kontakt na rzecz Spika (niby to samo, ale jednak trudna sprawa ), bo gonitwa za nowością nie pozwalała korzystać z tego samego programu, ale pod inną nazwą. Trudne było porzucenie Spika na rzecz AQQ, bo Spik w Viście nie działał... A najtrudniejszym było przeniesienie się z ulubionego AQQ na Konnekta... Wybacz Picasso, ale ja mam już dość tych migracji. Póki co, Konnekt działa świetnie, nie mam z nim problemów, więc też nie będę go zmieniał tylko dlatego, że nie podoba się on Tobie.

 

Zaktualizuj przeglądarki Firefox i Opera

YYYY? Firefox to może i nie jest aktualizowany na bieżąco, ale Opera... się aktualizuje automatycznie w tle.

 

Co do tego pliku pnr, to do czego on jest? Bo niektóre antywirusy zgłaszają go jako robala. Kiedyś go wywaliłem chyba z Avasta i system już nie wstał

 

log:

SystemLook 04.09.10 by jpshortstuff

Log created at 18:06 on 21/01/2011 by smo

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "pnrpnsp.dll"

No files found.

 

-= EOF =-

[picasso]

Dobra, mam; 11.0.6000.550

 

To starszy build niż łatka 11.0.6100. Tak więc nasuwa się instalacja tego patcha, który obiecuje trwałą korektę defektu.

 

Niby jest ok, ale zauważam coś innego zamiast tego. Może to nic takiego, ale na kilka sekund w czasie, kiedy normalnie występowały wcześniejsze objawy, teraz procesor jest użyty w jakiś 60%. Po tej chwili wszystko wraca do normy. Tak na szybkiego sprawdzałem co mi tyle użycia zajmuje i to znów były jakies dwa procesy, ale jeden tak szybko się włączał i wyłączał, że nie zauważyłem jego nazwy, a drugi to System (nie ma nazwy pliku) i w opisie NT Kernel coś tam, bo też szybko latał i trudno było zauważyć jego opis.

 

A czy wtedy właśnie nie następuje aktualizacja baz i tłowy skan? Proces SYSTEM czytaj dosłownie, a jego duża zajętość wskazuje na aktywność któregoś ze sterowników i Symantec podchodzi pod tę klasyfikację.

 

Co do tego pliku pnr, to do czego on jest? Bo niektóre antywirusy zgłaszają go jako robala. Kiedyś go wywaliłem chyba z Avasta i system już nie wstał

 

To plik Windows "Dostawca obszaru nazw PNRP" (krótkie wyjaśnienie w artykule dla XP, ale nie sugeruj się że to dla XP, ten plik jest w Vista i 7: KLIK). Nic dziwnego, że po usunięciu system nie wstał. Nie wolno takiego pliku wpiętego w Winsock usuwać (to wymaga wielu skomplikowanych czynności), a jeśli to plik systemowy tym bardziej (plik się wymienia czystą kopią, nigdy nie usuwa). Pliki wyekstraktowane z rozpakowanego SP1 x64 dla Vista:

 

Wersja 64-bitowa biblioteki: KLIK. Plik wstaw do C:\Windows\system32

Wersja 32-bitowa biblioteki: KLIK. Plik wstaw do C:\Windows\SysWOW64

 

Po wstawieniu plików na osobisty użytek zrób sobie log z OTL. Te linijki powinny zniknąć:

 

O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000003 [] -  File not found
O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000004 [] -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000003 [] -  File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] -  File not found

 

YYYY? Firefox to może i nie jest aktualizowany na bieżąco, ale Opera... się aktualizuje automatycznie w tle.

 

W Twoim logu:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{18E65799-76BD-46EF-9E53-972FE5A40736}" = Opera 10.62
"Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3)

 

Aktualna wersja to Opera 11.00 + Firefox 3.6.13.

 

Uważam, że póki do niczego nie jest mi potrzebne to SP2, jak i IE8, to nie będę tego ruszał.

 

Tylko, że to ma na celu zabezpieczenie systemu. Montujesz chmarę programów, a zaniedbujesz podstawy.

 

Wybacz Picasso, ale ja mam już dość tych migracji. Póki co, Konnekt działa świetnie, nie mam z nim problemów, więc też nie będę go zmieniał tylko dlatego, że nie podoba się on Tobie.

 

Nie tyle co mi się "nie podoba" (jeśli gust masz na myśli), ja patrzę na niego technicznie i pod kątem zabezpieczeń. Nie spodziewaj się, że produkt z przełomu 2005/2006 jest bezpieczny użytkowo. Ja ze swojej strony mam czyste sumienie, że nie przemilczałam faktu posługiwania się lamusem. Nie bez przyczyny w dziale Malware wytykam wszystkim stare wersje. Ale OK. Twoja decyzja.

 

 

 

.

[DragonFire]

A czy wtedy właśnie nie następuje aktualizacja baz i tłowy skan?

 

Tłowy skan uruchamia się tylko podczas startu systemu. A aktualizacje, to spróbuję przyuważyć jak to z nimi jest.

 

Co do Opery, to pokaże Ci coś ciekawego.

Skan z przed chwili:

 

Oraz "O Operze":

 

 

Tylko, że to ma na celu zabezpieczenie systemu. Montujesz chmarę programów, a zaniedbujesz podstawy.

 

Tylko, że największe problemy mam przez siebie samego z tego powodu, iż jak coś włączę, a potem pomyślę, to mi się ładuje zawsze jakiś trojan. To ja powinienem sobie do głowy załadować przynajmniej SP10, albo najlepiej SP100, a nie system

 

Nie spodziewaj się, że produkt z przełomu 2005/2006 jest bezpieczny użytkowo

 

Nie spodziewam się, aby mnie mógł poparzyć ... Myślę, że bardziej niebezpieczną może się okazać kobieta nie potrafiąca korzystać z kuchenki gazowej, niż Konnekt.

[picasso]

Co do Opery, to pokaże Ci coś ciekawego.

 

OTL nie dorobił tych danych, pobrał je z Twojego rejestru. Jest to wyciąg z klucza deinstalacji, czyli taki wpis starszej Opery u Ciebie jest w gałęzi 32-bitowej:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{18E65799-76BD-46EF-9E53-972FE5A40736}

 

U mnie OTL prawidłowo pokazuje obecność Opery 11 (niezależnie od bitów systemu) i to Opery nadpisanej systemem wewnętrznej aktualizacji przeglądarki z wersji 10 na 11. Tu na szybko zrobiony test na 64-bitowym systemie, Opera 10.62 i jej wygląd w rejestrze, a następnie uruchomienie aktualizacji Opera i przebicie wersją 11 (dane o starszej wersji całkowicie wymazane i zastąpione):

 

 

Skoro jawnie posiadasz 11, ale OTL nie widzi tego w rejestrze, nasuwa się jakiś błąd nadpisu danych przy aktualizacji. Inną możliwością byłoby posiadanie Opery nie-instalacyjnej czyli portable (wtedy OTL oczywiście nie poda wpisu w rejestrze), ale to nie wygląda na scenariusz tutaj = na Twoim obrazku Opera jest rozsiana po dysku w katalogach Program files i AppData (portable tak się nie zachowuje, ogranicza się do jednego folderu).

 

 

Nie spodziewam się, aby mnie mógł poparzyć

 

Jeszcze przypominam, że Konnekt korzysta z kontrolki Internet Explorer, która to przeglądarka jest u Ciebie w stadium niezaktualizowanym (build 7.0.6001.18000). Statsy Secunia: KLIK.

 

Tylko, że największe problemy mam przez siebie samego z tego powodu, iż jak coś włączę, a potem pomyślę, to mi się ładuje zawsze jakiś trojan. To ja powinienem sobie do głowy załadować przynajmniej SP10, albo najlepiej SP100, a nie system

 

To Twoje decyzja, że nie aktualizujesz systemu. Żaden, nawet najlepszy program zabezpieczający, nie zastępuje łat Windows Update. Jest wiele sposobów wykonania malware, nie tylko przez ręczne uruchomienie i nie tylko za pośrednictwem strony szkodliwej (infekcje wklejkowe zarażające prawidłowe strony www).

 

 

 

.

[DragonFire]

I znów muszę zerknąć do tego tematu. Bo właśnie mi się pojawił kolejny z tych dziwnych plików tmp. Ech, chyba faktycznie trzeba będzie spatchować tego Symanteca

[picasso]

Mówiłeś:

 

Zrobiłem tak, jak było opisane w jednym z Twoich linków. Usunąłem zawartość katalogu kwarantanny i zawartość katalogu temp oraz jakieś jeszcze dwa inne katalogi tam, gdzie była kwarantanna, ale nie pamiętam ich nazw.

Problem znikł. Cały dzień wczoraj patrzyłem, co się dzieje. Ale SEP nic nie wychwycił.

 

Tam w jednym z linków było napisane, by (po wyczyszczeniu lokalizacji Temp) odznaczyć opcję "Run an Active scan when new definitions arrive". Nie mogę tego sprawdzić, bo jak mówiłam nie mam tego programu. Czy masz opcję podobną do tej?

"Niestety" najlepszym wariantem wydaje się tu być jednak trwałe rozwiązanie (łatka Symantec mówiąca o korekcji tego defektu) a nie jakieś obejścia i na siłę kombinowanie.

 

 

 

.

[DragonFire]

Tak, mam takie coś, ale zupełnie w innym miejscu, niż jest tam podane. Odznaczyłem ją, ale dzisiaj mi sie znowu ten pliczek pojawił - tylko jeden, więc może nie ma paniki?