mist Opublikowano 30 Lipca 2011 Zgłoś Udostępnij Opublikowano 30 Lipca 2011 Witam jak w temacie mam problem prawdopodobnie z win32.malware.gen (tak rozpoznaje webroot cloud antivirus ale sobie nie radzi) Przy uruchamianiu jakiejkolwiek aplikacji tworzy plik z postfixem mgr.exe (foto niżej) webroot od razu go usuwa i tyle potrafi... właściwości powstającego pliku system windows7 64bit proszę o pomoc w pozbyciu się tego irytującego problemu w logu gmera nie za wiele info, bo mogę zaznaczyć/odznaczyć (zaznaczone) rejestr, usługi, pliki reszta nieaktywna... OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 31 Lipca 2011 Zgłoś Udostępnij Opublikowano 31 Lipca 2011 w logu gmera nie za wiele info, bo mogę zaznaczyć/odznaczyć (zaznaczone) rejestr, usługi, pliki reszta nieaktywna... Log z GMER bezużyteczny. Przecież jest napisane, że GMER nie jest przeznaczony dla systemów 64-bit. Usuwam Załącznik. Przy uruchamianiu jakiejkolwiek aplikacji tworzy plik z postfixem mgr.exe (foto niżej)webroot od razu go usuwa i tyle potrafi... właściwości powstającego pliku Nie widzę w raportach czynnej infekcji i śladów tego zachowania. Aczkolwiek opis zagadnienia brzmi nieciekawie. Otóż fragment "mgr" do nazwy klonu pliku dostawia okropna infekcja plików wykonywalnych + HTML Ramnit: KLIK Installation When run, Virus:Win32/Ramnit.AB creates a mutex name that is generated using the volume and serial number of the system drive. It drops malware having a file name prefix the same as the infected host file and appends "mgr", as in the following example format: mgr.exe Tu jest system 64-bit, czyli należy się spodziewać, że infekcja jest zawężona tylko do 32-bitowych plików. Zastosuj skaner Kaspersky Virus Removal Tool i przedstaw z niego raport. Kaspersky wykrywa Ramnit pod nazwą Nimnul, a pliki HTML zainfekowane tym wirusem pod jeszcze inną nazwą. Są też inne nieprawidłowości zanotowane w logu, ale mają nikłe znaczenie przy powyższych objawach: 1. Czy przypadkiem nie używałeś jakiegoś narzędzia resetującego zasady? Raport jest wytapetowany kuriozalną ilością nieczynnych polis na zerze. 2. Ta kolekcja zapisów jest nieprawidłowa dla Windows 7: O29:64bit: - HKLM SecurityProviders - (msapsspc.dll) - File not foundO29:64bit - HKLM SecurityProviders - (digest.dll) - File not foundO29:64bit: - HKLM SecurityProviders - (msnsspc.dll) - File not foundO29 - HKLM SecurityProviders - (msapsspc.dll) - File not foundO29 - HKLM SecurityProviders - (digest.dll) - File not foundO29 - HKLM SecurityProviders - (msnsspc.dll) - File not found 3. Są pewne błędy w Dzienniku zdarzeń (próba ładowania jakiegoś dziwnego sterownika UuEFoZdo i wyłączony NetBIOS): Error - 2011-07-30 08:21:09 | Computer Name = Marcin | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: archlp UuEFoZdo Error - 2011-07-30 08:21:10 | Computer Name = Marcin | Source = Service Control Manager | ID = 7001Description = Usługa Pomoc TCP/IP NetBIOS zależy od usługi NetBT, której nie można uruchomić z powodu następującego błędu: %%1058 Wszystko co powiedziane wyżej skorygujesz importując do rejestru odpowiednie wpisy. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="credssp.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT] "Start"=dword:00000001 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UuEFoZdo] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\archlp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "NoDispAppearancePage"=- "NoDispBackgroundPage"=- "NoDispSettingsPage"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDriveTypeAutoRun"=dword:00000091 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System] [HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\System] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\System] [HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\System] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\System] [HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\System] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik . Odnośnik do komentarza
mist Opublikowano 31 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2011 Dziękuję bardzo za zainteresowanie, Picasso W między czasie poczyniłem parę kroków. Tak jak piszesz infekcja dotyczy plików wykonywalnych - zacząłem je wszystkie podmieniać na zdrowe gdy nie przynosiło to zadowalających efektów skorzystałem z pomocy eset nod32 i chyba to rozwiązało problem... jeszcze nie wiem do końca... eset wykrył i (chyba) wyleczył masę plików zainfekowanych ramnit.h i ramnit.a (załączam log) Także kaspersky removal tool już nic chyba nie wniósł (załączam log) Co do Twoich uwag nr 1 i 2 nie za bardzo rozumiem o co chodzi... co rozumiesz poprzez narzędzie resetujące zasoby? jakiś przykład? nr 3: także nie wiem cóż to może być sterownik UuEFoZdo co do wyłączonego portu netbios odpowiedzialny za to jest prawdopodobnie soft "Windows Worms Doors Cleaner" który zastosowałem Zastosowałem zalecany przez Ciebie fix.reg, który "włączył" netbios. O dokładnych rezultatach dam znać jutro, jeszcze raz dziękuję za zainteresowanie. eset log.txt Odnośnik do komentarza
picasso Opublikowano 31 Lipca 2011 Zgłoś Udostępnij Opublikowano 31 Lipca 2011 Widzę, że zakres szkód nie był aż tak obszerny jak na typ infekcji - a też, jak zaznaczyłam, dotknięta powinna być tylko część 32-bit systemu. Wygląda na to, że się udało. Gdyby któryś program odmówił po akcji leczenia posłuszeństwa, przeinstaluj z nowego instalatora. Dodatkowe kroki: 1. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Dostarcz nowy log z OTL (Extras nie potrzebuję już). Co do Twoich uwag nr 1 i 2 nie za bardzo rozumiem o co chodzi... co rozumiesz poprzez narzędzie resetujące zasoby? jakiś przykład? Program lub fiks deklarujący resetowanie blokad (np. zablokowana zmiana ustawień kompozycji, wyłączony menedżer zadań, zablokowany dostęp do Windows Update). Obejrzałam betę Webroot i tam jest coś w ten deseń w module "Antimalware Tools" (Reset system policies), ale tego nie sprawdzałam i nie mogę potwierdzić czy to pochodna użycia tego, a też te polisy widziane u Ciebie pachną mi raczej narzędziem w stylu "FixPolicies". nr 3: także nie wiem cóż to może być sterownik UuEFoZdo Też nie wiem co to, ale w Dzienniku odnotowane jako nie mogące się nawet uruchomić + mój FIX.REG powinien to zlikwidować z rejestru. co do wyłączonego portu netbios odpowiedzialny za to jest prawdopodobnie soft "Windows Worms Doors Cleaner" który zastosowałem Nabrałam takich podejrzeń. Pod żadnym pozorem nie stosować WWDC na systemach Vista i Windows 7! To narzędzie robi szkody na tych platformach: KLIK. Zweryfikuj czy podany w linku klucz Internet występuje w Twoim rejestrze, jeśli = wyrzuć. Także kaspersky removal tool już nic chyba nie wniósł (załączam log) Ten log zbędny, wyniki typu "OK" i oznaczające obiekty pakowane ("Packed" / "Archive") mnie zupełnie nie interesują. Zachowuję tylko log z ESET, podający konkretne dane infekcyjne. . Odnośnik do komentarza
mist Opublikowano 1 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 1 Sierpnia 2011 Dzięki za rady, wykonałem zalecane kroki. Używałem programu Sunrise Seven (konfiguracja, wł/wył. paru rzeczy, usług) i to zapewne soft typu "FixPolicies". Oprócz tego ręcznie wyłączyłem parę imo zbędnych mi usług. Dzięki za info o WWDC - ląduje w narzędziach dla win xp. Klucz internet w rejestrze był i został usunięty. Zrobiłem kilka testów i wszystko wydaje się działać poprawnie. Eset nod chyba zagości u mnie na dłużej. Jeszcze raz dziękuję za pomoc, imo problem rozwiązany. Pozdrawiam. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2011 Używałem programu Sunrise Seven (konfiguracja, wł/wył. paru rzeczy, usług) i to zapewne soft typu "FixPolicies". Oprócz tego ręcznie wyłączyłem parę imo zbędnych mi usług. A to możliwe. Rzeczywiście w tym programie są takie opcje. 1. Pod kątem infekcji i wad w raporcie: w porządku, mój FIX.REG zrobił co należy i wszystko zostało skorygowane, ESET jak mówisz rozprawił się z Ramnit i nic więcej się nie dzieje. Po akcji Ramnit pozostał pusty wpis: O4 - HKCU..\Run: [ABBYY Screenshot Reader Retail] File not found Na obrazkach pokazywałeś mi, że plik ScreenshotReader.exe był dotknięty wirusem. Plik należy odtworzyć. Jak sądzę, tu już sobie poradzisz. 2. Aktualizacje (istotne pod kątem zabezpieczeń): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 26"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.0 Lite"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Szczegóły aktualizacyjne w tym wątku: INSTRUKCJE. 3. Dodatkowa uwaga, masz zdecydowanie za mało miejsca na dysku systemowym: Drive C: | 30,00 Gb Total Space | 5,70 Gb Free Space | 18,99% Space Free | Partition Type: NTFS 30GB na system i to jeszcze 64-bit (zapotrzebowanie wyższe niż na 32-bit) to jest mimimum pobożnie zakładające, że na tym systemie nic szczególnego się nie będzie dziać. Skutek to mizerne niecałe 6GB wolnego, co może mieć negatywny wpływ na performance systemu. Jeśli to log już po zadanym przeze mnie czyszczeniu lokalizacji tymczasowych i punktów Przywracania systemu, to niewiele mogę tu już zrobić. Ale to jeszcze wykonalne: Usunięcie pobranych aktualizacji, czyli opróżnienie całego katalogu C:\Windows\SoftwareDistribution\Download. Usunięcie kopii zapasowych stworzonych instalacją Service Pack 1: KLIK. Ogólna diagnostyka za pomocą darmowego programu SpaceSniffer (wywołany przez Uruchom jako Administrator, a przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space). . Odnośnik do komentarza
mist Opublikowano 2 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2011 udało mi się odzyskać trochę miejsca (4GB) SpaceSniffer'em - bardzo fajny i pomocny program! dzięki za namiar w katalogu C:\Windows\SoftwareDistribution\Download nic prawie nie miałem, kopii po sp1 też nie było, może dlatego, że sys instalowany ze zintegrowanym już sp1 przywracanie systemu wyłączone - nie korzystam Odnośnik do komentarza
picasso Opublikowano 2 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2011 w katalogu C:\Windows\SoftwareDistribution\Download nic prawie nie miałem, kopii po sp1 też nie było, może dlatego, że sys instalowany ze zintegrowanym już sp1 Z gołym Download możliwe (samokasacja mogła nastąpić), zintegrowany SP1 to oczywiście przyczyna dla braku kopii zapasowych (z podanych logów nie da się precyzyjnie ustalić metody wprowadzenia SP1 w system). przywracanie systemu wyłączone - nie korzystam To akurat cenna funkcja na Vista i Windows 7 i nie polecam tego mieć wyłączonego. Przywracanie na tych systemach działa inaczej niż na starym XP i często jest ostatnim ratunkiem, gdyż można go użyć nawet jeśli system nie startuje (WinRE). Niestety przy widzianych tu proporcjach dysku nie za bardzo Cię stać na obszerny magazyn. Jeśli nie ma więcej problemów / pytań, temat zamykam. . Odnośnik do komentarza
mist Opublikowano 2 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2011 Proporcje dysku może nie za szczęśliwe ale mi odpowiadają (zmusza do świeżej instalacji systemu co jakiś czas) do opcji przywracania systemu mam uraz z czasów xp i nauczyłem się żyć bez tego. Może w win7 jest lepiej z przywracaniem ale "przemeblowanie" poprzez powiększenie C to duży wysiłek. Planuje przy wymianie dysku lub platformy/kompa. Mam jeszcze jeden problem... nie wiem dokładnie kiedy i co go spowodowało ale nie mogę podłączyć żadnych "obcych" urządzeń przez usb, tzn. nowych urządzeń. Dotyczy to wszystkiego: pendrive'y, myszki, foto aparaty - system nie potrafi ich zainstalować, nie znajduje sterowników plug_and_play nawet online. Włączony windows update nie pomaga... Odnośnik do komentarza
picasso Opublikowano 2 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2011 (zmusza do świeżej instalacji systemu co jakiś czas) Wyglądasz mi na sadomasochistę. Do opcji przywracania systemu mam uraz z czasów xp i nauczyłem się żyć bez tego. Za bardzo trzymasz się porównań z archaicznym XP. Przywracanie systemu w Windows 7 ma tylko wspólną nazwę a nie technikę (działa przez cieniowanie woluminu a nie filtr plików) i jest o wiele mocniejszym odkręcaniem stanu. Co więcej, Przywracanie można robić punktowo. Tzn. jeśli Przywracanie jest czynne, na swojej wersji Windows masz opcję przywracania poprzednich wersji wybranych plików / folderów bez używania softów "Recovery": KLIK. Wystarczy prawoklik > Właściwości > Poprzednie wersje > Przywróć .... To oczywiście teraz dla Ciebie niedostępne. Mam jeszcze jeden problem... nie wiem dokładnie kiedy i co go spowodowało ale nie mogę podłączyć żadnych "obcych" urządzeń przez usb, tzn. nowych urządzeń. Dotyczy to wszystkiego: pendrive'y, myszki, foto aparaty - system nie potrafi ich zainstalować, nie znajduje sterowników plug_and_play nawet online. Włączony windows update nie pomaga... Stosowałeś Sunrise Seven, co od razu nasuwa pytanie czy naruszyłeś w nim FileRepository? Tu masz z forum dwa przykłady konsekwencji tego ściśle niepożądanego czynu: KLIK / KLIK. Jeśli rzeczywiście zbroiłeś to w systemie, to prędzej "zmusza do świeżej instalacji systemu" niż pojemność. Gdybyś miał włączone Przywracanie systemu, folder byłby do odzyskania. Memento tematu. . Odnośnik do komentarza
mist Opublikowano 3 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2011 świeży system raz na jakiś czas=raz na rok i rzadziej... ale i to chyba za często bo bardzo niechętnie to robię. Opcję czyszczenia filerepository miałem odznaczoną w sunriseSeven ale może kiedyś tam go rzeczywiście wyczyściłem (na dzień dzisiejszy waga filerepository to niecałe 5MB - to chyba mało?) No i znowu się czegoś dowiedziałem - ostrożniej używać softu typu sunrise7 Z opresji ratuje mnie windows xp na drugim dysku, którego uruchamiam jeśli chce podpiąć coś "obcego" przez usb... chyba rzeczywiście jestem masochistą W takim razie "świeża instalacja systemu" zbliża się wielkimi krokami :/ A jaką pojemność partycji systemowej mi proponujesz? Odnośnik do komentarza
picasso Opublikowano 3 Sierpnia 2011 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2011 Opcję czyszczenia filerepository miałem odznaczoną w sunriseSeven ale może kiedyś tam go rzeczywiście wyczyściłem (na dzień dzisiejszy waga filerepository to niecałe 5MB - to chyba mało?) Default Sunrise Seven to odznaczona opcja. I ja sądzę, że wyczyściłeś to rzeczywiście, tylko opcja się ustawiła na powrót na domyślną. Na czynność dokonaną wskazuje zaledwie 5MB wagi. Ten folder na moim Windows 7 32-bit (postawionym co dopiero, bo płyta główna była wymieniana) waży ~700MB. W wirtualnej maszynie Windows 7 64-bit rozmiar nieco większy.... Na obu układach nic nie było kombinowane, więc można przyjąć, że jest to pewien oczekiwany próg. Mógłbyś spróbować kombinacji z próbą skopiowania tego katalogu wprost z płyty instalacyjnej: otwórz w 7-zip obraz ...\sources\install.wim i z odpowiedniej ścieżki podciągnij cały katalog. A jaką pojemność partycji systemowej mi proponujesz? Jako minimalny punkt wyjściowy przyjęłabym 2x co masz teraz, czyli 60GB. . Odnośnik do komentarza
mist Opublikowano 3 Sierpnia 2011 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2011 Mógłbyś spróbować kombinacji z próbą skopiowania tego katalogu wprost z płyty instalacyjnej: otwórz w 7-zip obraz ...\sources\install.wim i z odpowiedniej ścieżki podciągnij cały katalog. Udało się! urządzenia, które wcześniej nie działały windows wykrywa ale dopiero po wejściu w menedżer urz. i prawym na urządzeniu aktualizuj sterownik>>automatycznie Próba skopiowania katalogu udała się poprzez mini windows xp z płyty hirens boot. Bezpośrednio pod windows7 i xp nie było to możliwe (zabezpieczenia, uprawnienia, ochrona przed zapisem etc). Dziękuję, problem rozwiązany, można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi