worm.autorun, nie działają aktualizacje

[bpm]

Dzień dobry,

 

system chodzi bardzo wolno, przeskanowany dwukrotnie za pomocą MBAM, który znalazł m.in. robaka worm.autorun

 

Niestety to jeszcze XP, wiem dobrze że Microsoft zakończył wsparcie dla XP (wsparcie dla Office 2007, który jest na tym komputerze jeszcze jest), ale zauważyłem, że Aktualizacje automatyczne nie działają. Objawy są takie, że nie można otworzyć za pomocą IE strony Windows Update. Nie otwiera się również żadna strona Microsoft w IE.

 

Natomiast podczas próby wyłączenia usługi Aktualizacji automatycznych pojawia się błąd o treści:

 

"Nie można otworzyć usługi wuaaserv do zapisu na komputerze Komputer lokalny.

Błąd 5: Odmowa dostępu."

 

Bardzo proszę o pomoc w tym temacie.

 

MBAM1

MBAM2

FRST

Addition

Shortcut

Gmer

[Miszel03]

W systemie widać nieciekawe instalacje, po za tym jakieś stare igraszki na powłoce startowej (MBAM chyba nie usunął dobrze tego robaka). Jeśli zaś chodzi o problem z aktualizacjami, stronami to wygląda na to, że łańcuch sieciowy został uszkodzony i wdrążam jego rekonstrukcje.  

 

1. Wyczyść punkty przywracania systemu - KLIK.

 

2. Przez panel sterowania odinstaluj:

• Wrapper adware / PUP: Internet Explorer 8 Packages. 
• Sugeruję  również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.  

3. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1935655697-329068152-1417001333-1004\...\Winlogon: [shell] C:\WINDOWS\Explorer.exe [1035264 2008-04-15] (Microsoft Corporation) 
S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X]
S4 IntelIde; Brak ImagePath
C:\Documents and Settings\All Users\Pulpit\Adobe Reader XI.lnk
C:\Documents and Settings\All Users\Pulpit\OpenFM.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Liceum klasa 2\Matematyka podstawowa.lnk
C:\Documents and Settings\PC\Pulpit\TomTom MyDrive Connect.lnk
C:\Documents and Settings\PC\Menu Start\Programy\TomTom\Odinstaluj TomTom MyDrive Connect.lnk
C:\Documents and Settings\PC\Menu Start\Programy\TomTom\TomTom MyDrive Connect.lnk
CMD: netsh winsock reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[bpm]

Wykonane zgodnie z zaleceniami.

 

Fixlog

Frst

Addition

Shortcut

[Miszel03]

Całość pomyślnie wykonana i od strony infekcyjnej wygląda to już w porządku.

Jak podsumowujesz aktualną sytuację? 

 

Zastanawiam się tylko nad poniższymi wpisami.

 

Winsock: Catalog9 01 bmnet.dll => Brak pliku
Winsock: Catalog9 02 bmnet.dll => Brak pliku
Winsock: Catalog9 03 bmnet.dll => Brak pliku

 

Są pomimo zastosowania kompleksowego resetu katalogu. Tutaj mogło dojść do uszkodzenia Zmiennej środowiskowej Patch. Widoczne ścieżki są relatywne.

 

Pokaż mi stan Patch.

• Kliknij jednocześnie klawisz  oraz R. Uruchomi się narzędzie Uruchamianie.
• W polu ścieżek wpisz cmd i ENTER.
• Uruchomi się okno konsoli komend. 
• W oknie konsoli wpisz komendę set i ENTER.
• Skopiuj wynik i zaprezentuj go na forum. 

[bpm]

System wyraźnie przyspieszył, jednak w dalszym ciągu IE nie otwiera żadnej strony Microsoft oraz nie można wyłączyć usługi aktualizacji automatycznych.

 

Jeśli chodzi o wpisy Winsock kilka razy po starcie pojawiło się info od blueconnect, że "Winsock został naprawiony, zrestartuj system."

 

Path:

 

Microsoft Windows XP [Wersja 5.1.2600]
© Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\PC>set
ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\PC\Dane aplikacji
CLASSPATH=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=PC-44877CB363D1
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\PC
LOGONSERVER=\\PC-44877CB363D1
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\QuickTime\QTSystem\
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 13, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0f0d
ProgramFiles=C:\Program Files
PROMPT=$P$G
QTJAVA=C:\Program Files\Java\jre6\lib\ext\QTJava.zip
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\PC\USTAWI~1\Temp
TMP=C:\DOCUME~1\PC\USTAWI~1\Temp
USERDOMAIN=PC-44877CB363D1
USERNAME=PC
USERPROFILE=C:\Documents and Settings\PC
windir=C:\WINDOWS
__COMPAT_LAYER=EnableNXShowUI

C:\Documents and Settings\PC>

 

[picasso]

Jest tu kilka uszkodzeń:

 

1. Po pierwsze, masa plików Microsoftu nie ma podpisu cyfrowego, w tym pliki powiązane z działaniem sieci:

 

==================== Bamital & volsnap ======================

C:\WINDOWS\system32\services.exe
[2008-04-15 14:00] - [2009-02-09 13:25] - 0111104 _____ (Microsoft Corporation) 02A467E27AF55F7064C5B251E587315F

C:\WINDOWS\system32\rpcss.dll
[2008-04-15 14:00] - [2009-02-09 12:53] - 0401408 _____ (Microsoft Corporation) A37311D9D628C1042A2836731787F0F3

C:\WINDOWS\system32\dnsapi.dll
[2008-04-15 14:00] - [2011-03-03 08:55] - 0149504 _____ (Microsoft Corporation) 6599CFCB40329C37282E4E80E813E799

==================== Usługi (filtrowane) ====================

S4 Browser; C:\WINDOWS\System32\browser.dll [78336 2012-07-06] (Microsoft Corporation) [Brak podpisu cyfrowego]
R2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego]
R2 Dnscache; C:\WINDOWS\System32\dnsrslvr.dll [45568 2009-04-20] (Microsoft Corporation) [Brak podpisu cyfrowego]
R2 Eventlog; C:\WINDOWS\system32\services.exe [111104 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego]
R3 EventSystem; C:\WINDOWS\system32\es.dll [253952 2008-07-07] (Microsoft Corporation) [Brak podpisu cyfrowego]
R3 FastUserSwitchingCompatibility; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego]
R2 LanmanServer; C:\WINDOWS\System32\srvsvc.dll [99840 2010-08-27] (Microsoft Corporation) [Brak podpisu cyfrowego]
R2 lanmanworkstation; C:\WINDOWS\System32\wkssvc.dll [132096 2009-06-10] (Microsoft Corporation) [Brak podpisu cyfrowego]
R3 Nla; C:\WINDOWS\System32\mswsock.dll [246784 2008-06-20] (Microsoft Corporation) [Brak podpisu cyfrowego]
R2 PlugPlay; C:\WINDOWS\system32\services.exe [111104 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego]
R2 RpcSs; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego]
R2 ShellHWDetection; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego]
R2 Spooler; C:\WINDOWS\system32\spoolsv.exe [58880 2010-08-17] (Microsoft Corporation) [Brak podpisu cyfrowego]
R2 Themes; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego]

===================== Sterowniki (filtrowane) ======================

R1 AFD; C:\WINDOWS\System32\drivers\afd.sys [138496 2011-08-17] (Microsoft Corporation) [Brak podpisu cyfrowego]
S3 HTTP; C:\WINDOWS\System32\Drivers\HTTP.sys [265728 2009-10-20] (Microsoft Corporation) [Brak podpisu cyfrowego]
S3 hwusbapp; C:\WINDOWS\System32\DRIVERS\ewusbapp.sys [65152 2006-05-31] (QUALCOMM Incorporated) [Brak podpisu cyfrowego]
S3 hwusbser; C:\WINDOWS\System32\DRIVERS\ewusbser.sys [65152 2006-05-31] (QUALCOMM Incorporated) [Brak podpisu cyfrowego]
R0 KSecDD; C:\WINDOWS\system32\Drivers\KSecDD.sys [92928 2009-06-24] (Microsoft Corporation) [Brak podpisu cyfrowego]
R1 MRxSmb; C:\WINDOWS\System32\DRIVERS\mrxsmb.sys [456320 2011-07-15] (Microsoft Corporation) [Brak podpisu cyfrowego]
R0 Mup; C:\WINDOWS\system32\Drivers\Mup.sys [105472 2011-04-21] (Microsoft Corporation) [Brak podpisu cyfrowego]
R3 NdisTapi; C:\WINDOWS\System32\DRIVERS\ndistapi.sys [10496 2011-07-08] (Microsoft Corporation) [Brak podpisu cyfrowego]
R3 NDProxy; C:\WINDOWS\system32\Drivers\NDProxy.sys [40960 2013-11-27] (Microsoft Corporation) [Brak podpisu cyfrowego]
R3 Srv; C:\WINDOWS\System32\DRIVERS\srv.sys [357888 2011-02-17] (Microsoft Corporation) [Brak podpisu cyfrowego]
R1 Tcpip; C:\WINDOWS\System32\DRIVERS\tcpip.sys [361600 2008-06-20] (Microsoft Corporation) [Brak podpisu cyfrowego]
S3 UIUSys; C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS [6909 2006-06-09] (Conexant Systems, Inc) [Brak podpisu cyfrowego]
S3 usbccgp; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [32384 2013-08-09] (Microsoft Corporation) [Brak podpisu cyfrowego]
R3 usbehci; C:\WINDOWS\System32\DRIVERS\usbehci.sys [30336 2009-03-18] (Microsoft Corporation) [Brak podpisu cyfrowego]
S3 usbscan; C:\WINDOWS\System32\DRIVERS\usbscan.sys [14976 2013-07-03] (Microsoft Corporation) [Brak podpisu cyfrowego]
S3 usb_rndisx; C:\WINDOWS\System32\DRIVERS\usb8023x.sys [12928 2013-02-12] (Microsoft Corporation) [Brak podpisu cyfrowego]

 

Ten odczyt może oznaczać uszkodzenie plików lub uszkodzenie bazy podpisów cyfrowych (Catroot lub Catroot2).

 

2. Po drugie, uszkodzony Winsock (brak pliku Bytemobile).

 

Winsock: Catalog9 01 bmnet.dll => Brak pliku
Winsock: Catalog9 02 bmnet.dll => Brak pliku
Winsock: Catalog9 03 bmnet.dll => Brak pliku

 

Wpisy mogą być nadal pomimo resetu Winsock ponieważ procesy Bytemobile są aktywne i mogą przywracać te wejścia.

 

 

O ile Winsock można próbować reperować poprzez przeinstalowanie Bytemobile, to większy problem jest tu z plikami Microsoftu. Przy założeniu, że to pliki per se są uszkodzone a nie Catroot2, naprawa ręczna zdaje się tu być nieopłacalna - musi być uruchomiony ogólny system sprawdzania i podstawiania plików MS, czyli albo sfc /scannow (na XP jest to słaby system) albo reperacja nakładkowa systemu. Za bazę naprawczą muszą być wzięte pliki z SP3, by zachować podstawową zgodność. Te procesy i tak wyzerują aktualizacje nowsze niż SP3.

[bpm]

Dziękuję bardzo za porady. Temat uważam za zakończony. Pozdrawiam.