problem z instalacją SP3

[Anonim8]

Dostałem komputer od sąsiada. Chłopina nie może zainstalować SP3. Pojawia się komunikat odmowa dostępu. Coś mnie podkusiło i zrobiłem logi z OTL

Extras.txt

OTL.txt

Edytowane 14 Lutego 2011 przez Belfegor

[picasso]

Chłopina nie może zainstalować SP3.

 

Ale jaki błąd się pokazuje? EDIT: dopisałeś. Do obróbki artykuł MS: KB949377.

 

 

---

Zabrakło GMER, przeszkodą jest emulacja wirtualna (i tu akurat nie pomoże SPTDinst a w Defogger powątpiewam):

 

DRV - [2011-02-13 15:52:05 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)

 

 

W OTL natomiast widać: mapowanie powstałe po podpięciu zainfekowanego USB, wystąpienia "server" (to wygląda na odmianę tego trojana: KLIK), spora ilość pasków narzędziowych oparta na wątpliwym Conduit oraz przestarzały F-Secure (notabene: może to być przeszkoda dla instalacji SP3). Wstępne usuwanie:

 

1. Uruchomić OTL i w sekcji Własne opcje skanowania / skrypt wkleić:

 

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\AutorunsDisabled: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe
O7 - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe
O7 - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\AutorunsDisabled: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe
[2010-12-05 18:32:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Grzesiek\Dane aplikacji\spynet
[2011-01-18 21:44:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\PriceGong
[2010-12-09 17:13:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet
[2011-01-12 18:06:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Toolbar4
[2011-02-14 16:10:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Dane aplikacji\PriceGong
[2010-12-21 13:38:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Dane aplikacji\Toolbar4
[2010-10-19 21:03:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Piotr\Dane aplikacji\spynet
[2010-10-31 21:16:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ula\Dane aplikacji\PriceGong
[2010-11-10 16:54:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ula\Dane aplikacji\spynet
[2010-10-31 21:15:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ula\Dane aplikacji\Toolbar4
[2005-04-08 03:16:43 | 001,432,116 | -H-- | C] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\logs.dat
[2010-03-30 10:19:39 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\searchplugins\daemon-search.xml
[2009-06-13 08:19:38 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\searchplugins\winamp-search.xml
[2010-09-30 15:33:39 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\dadswuj.sys
[1907-05-23 13:17:35 | 000,000,061 | ---- | C] () -- C:\WINDOWS\yttupax.dll
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1605787&SearchSource=3&q={searchTerms}"
IE - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found
O3 - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found.
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file:///C:/WINDOWS/Java/classes/xmldso.cab" (Reg Error: Key error.)
SRV - File not found [Auto | Stopped] --  -- (ThreatFire)
SRV - File not found [On_Demand | Stopped] --  -- (ServiceLayer)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Po restarcie zostanie podany z tego log.

 

2. Przejść do Dodaj / Usuń Programy i odinstalować wszystkie twory paskowe oparte na Conduit: Conduit Engine, uTorrentBar Toolbar, mobilewitch Toolbar i XfireXO Toolbar.

 

3. Do oceny nowe logi z OTL opcji Skanuj + ten powstały z usuwania. Dodatkowo, dorzucić eksport rejestru tego klucza:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\active setup\installed components

 

 

 

 

.

Edytowane 14 Lutego 2011 przez picasso

[Anonim8]

Przepraszam że dopiero teraz załączam logi. Najmocniej przepraszam.

 

 

skan.txt

OTLJ.txt

jklucz.txt

[picasso]

Skrypt przetworzył co trzeba. Na dodatek niewiarygodne wprost wyniki z czyszczenia lokalizacji tymczasowych (około 20 GIGA tempów poleciało).

 

Total Files Cleaned = 22 786,00 mb

Było:

 

Drive C: | 232,88 Gb Total Space | 1,10 Gb Free Space | 0,47% Space Free | Partition Type: NTFS

Jest:

 

Drive C: | 232,88 Gb Total Space | 21,21 Gb Free Space | 9,11% Space Free | Partition Type: NTFS

 

W podanym kluczu Active Setup jest wpis od "servera":

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CBFE80JN-HVN0-8VB4-00HC-30164JIPYM6H}]
"StubPath"="C:\\Documents and Settings\\Jasiek.OPTIMUS-E8F663A\\Dane aplikacji\\spynet\\server.exe Restart"

 

1. Drobnostki do sprzątnięcia w OTL (ów powyższy zapis, resztki po paskach narzędziowych i klika innych detali). Zamknąć Liska, uruchomić OTL i w sekcji Własne opcje skanowania / skrypt wkleić:

 

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "MobileWitch"
FF - prefs.js..extensions.enabledItems: {fcbf663e-8530-46f8-a880-ac5abe9d2b23}:2.5.6.0
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
[2010-11-21 12:26:40 | 000,000,000 | ---D | M] (XfireXO) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}
[2010-12-11 21:02:17 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2010-04-13 15:18:53 | 000,000,000 | ---D | M] (mobilewitch Toolbar) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\{fcbf663e-8530-46f8-a880-ac5abe9d2b23}
[2010-12-11 21:02:18 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\engine@conduit.com
[2010-04-13 15:19:28 | 000,000,883 | ---- | M] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\searchplugins\conduit.xml
[2011-02-15 17:16:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\PriceGong
O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found
O18 - Protocol\Filter\AutorunsDisabled - No CLSID value found
O20 - Winlogon\Notify\AtiExtEvent: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CBFE80JN-HVN0-8VB4-00HC-30164JIPYM6H}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt]
"Start"=dword:00000004

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Należy zająć się tym przestarzałym F-Secure (w domyśle: deinstalacja i wymiana czymś nowoczesnym).

 

3. Jak się ma sprawa z instalacją SP3? Próbowałeś tipy z artykułu?

 

 

 

 

.

[Anonim8]

W podanym kluczu Active Setup jest wpis od "servera":

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CBFE80JN-HVN0-8VB4-00HC-30164JIPYM6H}]

"StubPath"="C:\\Documents and Settings\\Jasiek.OPTIMUS-E8F663A\\Dane aplikacji\\spynet\\server.exe Restart"

 

Nie bardzo wiem, o co chodzi z tym kluczem. U mnie komp jest odłączony od sieci w czasie pracy OTL.

 

Należy zająć się tym przestarzałym F-Secure (w domyśle: deinstalacja i wymiana czymś nowoczesnym).

 

Usunięty.

 

Skrypt przetworzył co trzeba. Na dodatek niewiarygodne wprost wyniki z czyszczenia lokalizacji tymczasowych (około 20 GIGA tempów poleciało).

 

Tak widziałem to od początku. Dane z C zostały przekopiowane na dysk X i Z. Ciężko szło kopiowanie, część została usunięta. Wykonałem defragmentacje.

Jak się ma sprawa z instalacją SP3? Próbowałeś tipy z artykułu?

 

 

SP3 zainstalowany. Obyło się bez problemów. Miałem w zanadrzu inny pomysł, ale nie musiałem go wykorzystać.

 

Dziękuje serdecznie za pomoc. I jeszcze raz przepraszam za opóźnienia w temacie.

 

Pozdrawiam

 

 

 

[picasso]

1. To do aktualizacji (KLIK):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

2. Po wszystkim należy jeszcze wywołać Sprzątanie w OTL oraz wyczyścić foldery Przywracania systemu. Instrukcje oczywiście w przyklejonym (KLIK).

 

 

Nie bardzo wiem, o co chodzi z tym kluczem. U mnie komp jest odłączony od sieci w czasie pracy OTL.

 

Tylko go pokazuję, że był w rejestrze i wstawiła go infekcja. A jak widać w skrypcie OTL, klucz ten usuwałam .... Nie rozumiem co masz na myśli z "odłączony od sieci w czasie pracy OTL", co to ma wspólnego z tym wynikiem rejestru?

 

 

 

.

[Anonim8]

Tylko go pokazuję, że był w rejestrze i wstawiła go infekcja. A jak widać w skrypcie OTL, klucz ten usuwałam .... Nie rozumiem co masz na myśli z "odłączony od sieci w czasie pracy OTL", co to ma wspólnego z tym wynikiem rejestru?

 

Nie dogadaliśmy się. Nie wiedziałem, że ten klucz jest wynikiem infekcji.

Po wszystkim należy jeszcze wywołać Sprzątanie w OTL oraz wyczyścić foldery Przywracania systemu. Instrukcje oczywiście w Przyklejonym

 

Zrobione.

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20

"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

 

Zaraz wykonam.

 

[picasso]

Nie dogadaliśmy się. Nie wiedziałem, że ten klucz jest wynikiem infekcji.

 

Na samym początku wskazałam, że plik server.exe (w katalogach spynet) jest od infekcji i podałam link opisowy (KLIK), który wprawdzie ma pewne niuanse, ale widać że to jest dokładnie ten sam rodzaj. Dlatego prosiłam o eksport rejestru tego szczególnego klucza Active Setup, bo oczekiwałam, że tam jest kolejny fragment tej infekcji (OTL domyślnie nie wykonuje skanu tego miejsca) i tak też się okazało. Ostatnie moje działanie zlikwidowało klucz.

[Anonim8]

Głupio mi strasznie, ale nie przeczytałem od razu podanego prze Ciebie linka. Jeszcze raz przepraszam.

Programy zaktualizowane, system działa stabilnie. Komputer oddany właścicielowi.

Temacik można zamknąć.

Edytowane 16 Lutego 2011 przez picasso
No to zamykamy. //picasso