MBAM=ponad 250 infekcji

[3MOON]

Witam!

System Win XP Pro. Komputerek spowolniony. W przeglądarce przeszkadzał głównie MyWebSearch. Jest jeszcze trochę innych śmieci ale sam sobie nie dam rady. Z innych rzeczy to nie mogę zainstalować dwóch aktualizacji systemu i może coś być z podmianką tapety bo nie mam na pulpicie tego co powinienem mieć.

GMER.txt

OTL.Txt

Extras.Txt

[picasso]

Tytuł nie koresponduje do zawartości: w tytule o wykrytych infekcjach przez MBAM, a w poście brak raportu z MBAM, by ocenić wagę detekcji. Ale sądzę, że głównie tam było adware MyWebSearch. Następnie: posługujesz się przestarzałymi wersjami narzędzi: OTL 3.2.20.1 (aktualna wersja to 3.2.29.1) + GMER 1.0.15.15530 (aktualny to 1.0.15.15641). Te narzędzia zawsze należy pobierać od początku, ze względu na poprawki / dodanie nowych komend / mocniejszą detekcję. GMER zrobiony z pominięciem wytycznych w ogłoszeniu, czyli podczas aktywności sterowniki emulacji napędów SPTD:

 

DRV - [2009-08-24 10:00:48 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\System32\Drivers\sptd.sys -- (sptd)

 

Póki co, nie widzę infekcji w stanie czynnym, jest tylko mapowanie w MountPoints2 pozostawione po podpinaniu zarażonego USB oraz puste wpisy po paskach narzędziowych. Usuwanie tego przybiera charakter kosmetyczny i nie będzie mieć znaczenia dla podnoszenia wydajności. W zainstalowanych programach formy zabytkowe, Firefox 2.0 (?!), Java 5 (?!).

 

1. Pobierz najnowszą wersję OTL, uruchom i w polu Własne opcje skanowania / skrypt wklej co podane poniżej i Wykonaj skrypt.

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb"
IE - HKU\S-1-5-21-4085802407-1179916739-49554425-1005\..\URLSearchHook: _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-4085802407-1179916739-49554425-1005\..\URLSearchHook: {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - Reg Error: Key error. File not found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {6D023EBF-70B8-45A6-9ED5-556515FA0FE4} - No CLSID value found.
O2 - BHO: (no name) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKU\S-1-5-21-4085802407-1179916739-49554425-1005\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-4085802407-1179916739-49554425-1005\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O3 - HKU\S-1-5-21-4085802407-1179916739-49554425-1005\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
O3 - HKU\S-1-5-21-4085802407-1179916739-49554425-1005\..\Toolbar\WebBrowser: (no name) - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file://C:\WINDOWS\Java\classes\xmldso.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\System32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\System32\Drivers\usbaapl.sys -- (USBAAPL)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\System32\Drivers\PCASp50.sys -- (PCASp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\System32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\System32\Drivers\GEARAspiWDM.sys -- (GEARAspiWDM)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\System32\DRIVERS\adiusbaw.sys -- (adiusbaw)
DRV - File not found [Kernel | Auto | Stopped] -- C:\windows\System32\Drivers\adildr.sys -- (ADILOADER)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TBSB07183.TBSB07183Toolbar]
 
:Commands
[emptyflash]
[emptytemp]

 

2. Przedstaw log z AD-Remover z opcji Scan.

 

 

Komputerek spowolniony.

 

Mało RAM, obładowany Autostart, nieznany stopień fragmentacji dysku.

 

 

Z innych rzeczy to nie mogę zainstalować dwóch aktualizacji systemu

 

Nie opisałeś na czym polega ten problem i jaka jest metoda instalacji aktualizacji. Jeśli to problem z pobieraniem z Windows Update, wyszukaj te łatki do pobrania indywidualnego w Microsoft Download Center i instaluj ręcznie z dysku.

 

 

może coś być z podmianką tapety bo nie mam na pulpicie tego co powinienem mieć

 

Opisz dokładniej.

 

 

.

[3MOON]

A no zaliczyłem straszne gapiostwo z tymi logami. Niżej nowy zestaw. OTL przy próbie wykonania skryptu zawiesił komputer na twardo. Próbowałem dwa razy. Tapetka zmieniła mi się na czarne tło po ingerencji programu mbam. Zmieniłem na inną i jest więc może to jakiś przypadek. Jeśli chodzi o instalacje poprawek to screen niżej. Próbowałem instalować w systemie i przy wyłączaniu komputera.

Ad-Report-SCAN1.txt

GMER.txt

OTL.Txt

Extras.Txt

mbam-log-2011-10-08 (11-42-35).txt

protection-log-2011-10-08.txt

[picasso]

W MBAM nic ciekawego, wg przypuszczeń lwia część to tylko adware instalowane na życzenie (MyWebSearch / Fast Browser Search), w sumie w pierwszej kolejności należało to odinstalować normalnie przez Dodaj / Usuń i dopiero po tym poprawić skanerem (metoda bardziej naturalna). Skrypt OTL nie wykonał się, ale różnica w logu jest, tzn. nie widać już wpisów "not found" sterowników i pojawił się zbędny Akamai NetSession Interface (możesz odinstalować). Kończąc sprawę śmietniska adware:

 

1. Uruchom AD-Remover w trybie Clean, co wykończy znalezione przez niego odpadki adware.

 

2. Poprawka dla wpisów, których w/w procedura nie usunie. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
"Tabs"="res://ieframe.dll/tabswelcome.htm"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{C55BBCD6-41AD-48AD-9953-3609C48EACC7}"=-
"{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"_{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"=-
"{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A}"=-
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D023EBF-70B8-45A6-9ED5-556515FA0FE4}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TBSB07183.TBSB07183Toolbar]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

3. Zrób nowy log z AD-Remover z opcji Scan. Logi z OTL i GMER są zbędne.

 

 

Tapetka zmieniła mi się na czarne tło po ingerencji programu mbam. Zmieniłem na inną i jest więc może to jakiś przypadek.

 

W raporcie z narzędzia nie widzę żadnego wpisu, który mógłby być z tym związany. Przyjmuję teorię o czkawce i nie mam tu nic więcej do roboty.

 

 

Jeśli chodzi o instalacje poprawek to screen niżej. Próbowałem instalować w systemie i przy wyłączaniu komputera.

 

Nie rozumiem co masz na myśli pod sformułowaniem "instalować w systemie". Czy próbowałeś pobrać z linków indywidualnych KB975560 + KB977914 i z dysku je instalować z ominięciem Windows Update? A jeśli tak, to jaki błąd zwraca ten proces?

 

 

 

 

.

[3MOON]

OK zrobione. Co do poprawek to są ściągnięte przez Windows Update i jest info w prawym dolnym rogu (żółta tarczka:)), że są do zainstalowania. I tu wyjaśnienie instalacji w systemie czyli standardowo. Próbowałem też indywidualnie i niby wszechno ok (instalacja przeprowadzona pomyślnie) ale po restarcie znowu mam info, że owe poprawki są do zainstalowania.

Ad-Report-SCAN2.txt

[picasso]

AD-Remover + FIX.REG wykonały robotę. Tylko jeden mikro wpis po Miśku pozostał:

 

HKCU_Main|SearchAssistant - hxxp://search.bearshare.com/sidebar.html?src=ssb

 

Start > Uruchom > regedit i w kluczu:

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

 

Wyzeruj wartość SearchAssistant

 

 

Próbowałem też indywidualnie i niby wszechno ok (instalacja przeprowadzona pomyślnie) ale po restarcie znowu mam info, że owe poprawki są do zainstalowania.

 

Poprawki pobrane z Windows Update nadal są w SoftwareDistribution na dysku. Wykonaj reset Windows Update za pomocą narzędzia Fix-it z KB971058. Zaznacz tryb agresywny, który kasuje SoftwareDistribution. Jeżeli Windows Update po tej operacji nie zacznie ściągać w kółko tych łat, sprawa załatwiona.

 

 

.

Edytowane 10 Grudnia 2011 przez picasso
10.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso