Skocz do zawartości

Spowolniony internet


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W OTL nie ma czynnej infekcji widocznej. Zaś w GMER:

 

ucjplzy.dll wygląda fikuśnie, a wedłóg google.pl nie istnieje. Nie widac go w tej lokalizacji wiec nie wiem co w nim siedzi.

 

To jest usługa rootkit, przypuszczalnie widoczna w GMER ze względu na brak uprawnień do klucza, ale nie wygląda na to, że jest to czynne. Klucz ControlSet002 jest nieaktywną kopią konfiguracyjną, nie braną przez system pod uwagę i wcale nie ładowaną = marker (not active ControlSet):

 

Reg  HKLM\SYSTEM\ControlSet002\Services\wgqmgxcju\Parameters (not active ControlSet)  

 

Ale plik jest na dysku i w rejestrze jest jeszcze dodatkowa autoryzacja w zaporze:

 

[2008-04-15 14:00:00 | 000,167,833 | RHS- | C] () -- C:\WINDOWS\System32\ucjplzy.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"4921:TCP" = 4921:TCP:*:Enabled:rpnvuw

 

Dorzuć więcej danych, zanim przejdziemy do usuwania:

 

1. Poinstruuj OTL, by przeskanował dodatkową wartość. Przestaw wszystkie pozycje na Brak. W sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i wywołaj przez Skanuj.

 

2. Jest jeszcze nieukryty plik autoodtwarzania o niewiadomej zawartości:

 

O32 - AutoRun File - [2010-03-10 17:49:14 | 000,000,089 | ---- | M] () - D:\AUTORUN.INF -- [ NTFS ]

 

Otwórz go w Notatniku i przeklej tu jego zawartość. Przypuszczalnie będzie tam odnośnik do setupSNK.exe.

 

 

 

 

.

Odnośnik do komentarza

Myslalem ze to wszystko wyjdzie gdzies w tych skanach, przejrzalemje troche zbyt pobierznie zeby zauważyć ze nie ma (w szkole to sie nazywalo 'negatywny stosunek do przedmiotu').

 

zawartość autorun.inf:

[autorun]

OPEN=setupSNK.exe

ICON=\SMRTNTKY\fcw.ico

ACTION=Kreator sieci bezprzewodowej

 

to sie pewnie wjąże ze zmieniona ikonka dysku (ten laptop ma zle rozwiazany klawisz AltGr)

 

druga sprawa to mam po zaladowaniu pulpitu komunikat od TJEnder.exe ze nie mogl sie zaladowac bo mu brakuje biblioteki MSVCRTD.dll zeby mogl ;p, bo tak to nie moze... to jest zly program i trzeba go skasowac.

 

trzecia sprawa to po chwili od zladowania pulpitu okienko odzyskania sprawnosci po bledzie ale info jest tylko ze BCCode: 10000050... i gdzie sa minidumpy, jak bedzie trzeba to sie do nich dobiore, ale to moze byc przypadkowe bo nie widzialem tego wczesniej

 

zapomnialem tez dodac ze proba uruchomienia GMERa w trybie normalnym zakonczyla sie BSODem i restartem wiec skan byl robiony w awaryjnym, natury BSODa nie sdazylem zauwazyc ani nie dlubalem za tym, oczywiscie jak trzeba to podlube (jak mi sie dump uda zidentfikowac).

 

log po skanie otl:

OTL.Txt

 

no tak, o tym TJEnder.exe by\lo w logu z otl, nie zwrocilas na to uwagi pewnie dlatego ze jeszcze nie pora. bo google nie sa zgodne co do niego. ja bym glosowal za wyrzuceniem.

2 zupelnie puste wpisy w uruchamianiu w msconfig - tylko miejsce na ptaszka.

Odnośnik do komentarza
to sie pewnie wjąże ze zmieniona ikonka dysku (ten laptop ma zle rozwiazany klawisz AltGr)

 

Tak. Ten autorun.inf kierujący do setupSNK.exe (Kreator sieci bezprzewodowej) ma odnośnik do ikonki fcw.ico. Dysk twardy mający taki autorun.inf w root powinien mieć przypisaną ikonę "wifi". Już to widziałam na obrazkach od innego użytkownika. Ten plik sam w sobie nie wygląda na szkodliwy, tylko nie rozumiem do dziś dlaczego on ląduje w root twardego.

 

no tak, o tym TJEnder.exe by\lo w logu z otl, nie zwrocilas na to uwagi pewnie dlatego ze jeszcze nie pora. bo google nie sa zgodne co do niego. ja bym glosowal za wyrzuceniem.

2 zupelnie puste wpisy w uruchamianiu w msconfig - tylko miejsce na ptaszka.

 

Bo to nie jest szkodliwy wpis (i patrz na Bleeping):

 

O4 - HKLM..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe  (ISecSoft)

 

A to czy on był odinstalowany i to szczątki, to już inne zagadnienie, pozostawione na koniec. A jeśli coś manipulowałeś teraz w msconfig, OTL domyślnie nie listuje wejść wyłączonych w msconfig. Dopiero należałoby go poinstruować w tej materii. Masz jakieś odptaszone?

 

 

****************************************

 

Na usuwanie pójdą szczątki tego rootkita, autorun.inf, śmieci po iMeshu, obiekty pozostałe po SLOW-PCfighter / Trojan Remover / Anti Trojan Elite, na tyle na ile widzę w raporcie.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
NetSvcs: wgqmgxcju - C:\WINDOWS\system32\ucjplzy.dll ()
[2008-04-15 14:00:00 | 000,167,833 | RHS- | C] () -- C:\WINDOWS\System32\ucjplzy.dll
O32 - AutoRun File - [2010-03-10 17:49:14 | 000,000,089 | ---- | M] () - D:\AUTORUN.INF -- [ NTFS ]
DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe  (ISecSoft)
O34 - HKLM BootExecute: (MACHINE BootExecut) -  File not found
IE - HKU\S-1-5-21-1454471165-1801674531-1606980848-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.imesh.com/"
FF - prefs.js..browser.search.defaultenginename: "iMesh Web Search"
FF - prefs.js..browser.search.order.1: "iMesh Web Search"
FF - prefs.js..keyword.URL: "http://search.imesh.com/webResults.html?src=ffb&q="
[2009-11-29 13:51:40 | 000,002,456 | ---- | M] () -- C:\Documents and Settings\Żaneta\Dane aplikacji\Mozilla\Firefox\Profiles\wbnfb2k3.default\searchplugins\iMeshWebSearch.xml
[2009-11-29 13:51:40 | 000,002,456 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\iMeshWebSearch.xml
[2010-03-25 21:08:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Fighters
[2010-03-25 20:14:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Żaneta\Dane aplikacji\Fighters
[2010-04-01 12:59:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Żaneta\Dane aplikacji\Simply Super Software
[2010-08-02 10:53:25 | 000,000,358 | ---- | M] () -- C:\WINDOWS\Tasks\SLOW-PCfighter-Żaneta-Startup.job
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{474597C5-AB09-49d6-A4D5-2E8D7341384E}]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"4921:TCP"=- 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\iMesh Applications\iMesh\iMesh.exe"=-
"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom przez Wykonaj skrypt. Będzie restart, a po nim otrzymasz log.

 

2. Następnie zajmij się wywaleniem klucza rootkita widzianym w GMER. Uruchom regedit na uprawnieniu SYSTEM przez psexec KLIK (ustęp Kasowanie kluczy rejestru do których nie ma uprawnień) i dla poniższego klucza nadaj jako Właściciela konto SYSTEM, a następnie dodaj na listę konto SYSTEM i przypisz mu Pełną kontrolę, uwzględniając rekursywność. Po tej operacji klucz powinien dać się skasować.

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wgqmgxcju

 

3. Wytwarzasz nowy zestaw logów z OTL, pokazujesz ten też z usuwania z punktu 1.

 

 

 

.

Odnośnik do komentarza

logi:

czyszczenie_otl.txt

Extras.Txt

OTL.Txt

 

rzeczonego klucza w rejestrze nie znalazlem, Gmer tez juz nie wykrywa zadnych modyfikacji rejestru (w trybie awaryjnym, w trybie normalnym ciagle BSOD PAGEE_FAULT_IN_NONPAGED_AREA - zaraz przeskanuje dysk, bo pamiec juz sprawdzalem) Wiec chyba jak cie zobaczyl to zwial sam. W msconfigu nic nie zmienialem.. zaraz tam zajrze czy sie pozmienialo cos.

Odnośnik do komentarza

Zadanie w OTL wykonane. Do obrobienia Dziennik zdarzeń:

 

Error - 2010-08-04 08:12:27 | Computer Name = JOZWIAK-F35B914 | Source = Service Control Manager | ID = 7000

Description = Nie można uruchomić usługi PskSvcRetailInst z powodu następującego

błędu: %%3

 

Usługę widzę i ją usuniemy. Przepuść przez OTL nowy skrypt o zawartości:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\ANETA~1\USTAWI~1\Temp\ISSCAN\PskSvc.exe -- (PskSvcRetailInst)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\avfsfilter.sys -- (AVFSFilter)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKU\S-1-5-21-1454471165-1801674531-1606980848-1004..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe File not found

 

To powinno pójść szybko i nie będzie restartu. Nie ruszam tu wpisów Toshiba oznaczonych jako "not found". Zauważyłam bowiem, że OTL tak listuje te wpisy chyba u wszystkich i nie wygląda mi to po prostu na faktyczny brak. Pamiętam też z poprzedniego forum, że je przetwarzałam w OTL, a one wróciły po usuwaniu.

 

Error - 2010-08-04 08:08:36 | Computer Name = JOZWIAK-F35B914 | Source = DCOM | ID = 10005

Description = Model DCOM odebrał błąd "%1058" podczas próby uruchomienia usługi

BITS z argumentami "" w celu uruchomienia serwera: {4991D34B-80A1-4291-83B6-3328366B9097}

 

Start > Uruchom > eventvwr.msc, wyszukaj ten błąd i przeklej szczegóły.

 

rzeczonego klucza w rejestrze nie znalazlem, Gmer tez juz nie wykrywa zadnych modyfikacji rejestru

 

Jedyne wyjaśnienie to przetworzenie tego w OTL w tym ustępie:

 

Service wgqmgxcju stopped successfully!

Service wgqmgxcju deleted successfully!

 

W msconfigu nic nie zmienialem.. zaraz tam zajrze czy sie pozmienialo cos.

 

Nie powinno. Mój skrypt nie miał nic wspólnego z "odptaszkowaniem" pozycji. Całkowity zanik owszem. Konkretniej dwóch pozycji: wpisu pustego oraz "Anti Trojan Elite".

 

Gmer tez juz nie wykrywa zadnych modyfikacji rejestru (w trybie awaryjnym, w trybie normalnym ciagle BSOD PAGEE_FAULT_IN_NONPAGED_AREA - zaraz przeskanuje dysk, bo pamiec juz sprawdzalem)

 

Jeżeli to się dzieje tylko podczas uruchamiania GMER, to sprawdzanie sprzętu raczej można sobie darować. Ten rodzaj BSOD jest częsty i dość charakterystyczny dla GMERa. Trudno powiedzieć co mu przeszkadza. Przykładowo jeden z moich systemów Vista nigdy nie przeszedł skanu GMER w trybie normalnym, wypluwało ten BSOD, a nawet nie było zainstalowane nic szczególnego.

Hmm, podejrzewałabym Panda Internet Security 2010, tylko ekspozycja podejrzanie marna: jest taki wpis na liście programów, ale ani wcześniejszy log GMER nie pokazał żadnych hooków relatywnych do Panda, ani w OTL nie widzę na filtrowanej liście usług Panda. To jak to: jest ta Panda czy jej nie ma?

 

 

 

.

Odnośnik do komentarza

nie widac zadnego antywirusa

 

log post-scriptum

08052010_102810.txt

 

nie mam eventu o takim stempelku czasowym (wczoraj 8 rano - komp nawet nie byl wlaczony wtedy), ale mam podobny z dzisiaj:

 

Typ zdarzenia: Błąd

Źródło zdarzenia: DCOM

Kategoria zdarzenia: Brak

Identyfikator zdarzenia: 10005

Data: 2010-08-05

Godzina: 09:21:02

Użytkownik: JOZWIAK-F35B914\Żaneta

Komputer: JOZWIAK-F35B914

Opis:

Model DCOM odebrał błąd "Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. " podczas próby uruchomienia usługi BITS z argumentami "" w celu uruchomienia serwera:

{4991D34B-80A1-4291-83B6-3328366B9097}

 

Aby znaleźć więcej informacji, zobacz http://go.microsoft.com/fwlink/events.asp w Centrum pomocy i obsługi technicznej.

 

 

z BSODami to dziwnie rzeczywiscie, bo tylko przy Gmerze i kolejne potrafia byc inne, np 0x44, wiec chyba nie wazne. Zreszta dysk ok

Odnośnik do komentarza
Model DCOM odebrał błąd "Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. " podczas próby uruchomienia usługi BITS z argumentami "" w celu uruchomienia serwera:

{4991D34B-80A1-4291-83B6-3328366B9097}

 

Sprawdź najprostszą rzecz w Start > Uruchom > services.msc, czy Usługa inteligentnego transferu w tle ma odpowiedni Typ startowy tzn. Automatyczny.

 

nie widac zadnego antywirusa

 

Na liście Dodaj / Usuń widnieje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{568161BB-4D77-4534-AB92-55040CD92798}" = Panda Internet Security 2010

 

Sprawdź czy namierzy ten wpis, tzn. go usunie (a chodzi mi i o potencjalne "przyległości", bo klucz sam machnąć ręcznie nie sztuka), oficjalny deinstalator Panda: UNINSTALLER_10.EXE.

 

 

 

.

Odnośnik do komentarza
uninstaller nie pomogł, bo wpis nadal jest, ale na liscie dodaj usuń nie ma tak jak nie było

 

Jest ewentualność, że wpis został ukryty na liście. Można to sprawdzić przed usunięciem klucza.

 

Start > Uruchom > regedit i wejdź w kluczyk:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{568161BB-4D77-4534-AB92-55040CD92798}

 

Popatrz czy widnieje tam wartość SystemComponent ustawiona na 1, lub czy może nazwa DisplayName nie jest w jakiś sposób zmorfowana. Jeden z tych zabiegów służy właśnie do ukrycia wpisu.

 

 

.

Odnośnik do komentarza

Popatrz czy widnieje tam wartość SystemComponent ustawiona na 1, lub czy może nazwa DisplayName nie jest w jakiś sposób zmorfowana. Jeden z tych zabiegów służy właśnie do ukrycia wpisu.

 

Po wstawieniu 0 w system components sie pojawila na liscie, po wstawieniu 0 w noremove dala sie usunac (a miała tylko 1,6Mb wielkosci)

 

ok, cóż jeszcze radziłabyś zrobić, prócz aktualizacji, instalacji antywirusa?

Odnośnik do komentarza

1. W OTL wywołaj funkcję Sprzątanie.

2. Wyzeruj katalogi Przywracania systemu (INSTRUKCJE).

 

Pada pytanie: czy objawy nadal występują?

 

ok, cóż jeszcze radziłabyś zrobić, prócz aktualizacji, instalacji antywirusa?

 

Można jeszcze wyłączyć z Autostartu te zbędne zapisy:

 

O4 - HKLM..\Run: [LanguageShortcut] C:\Program Files\CyberLink\PowerDVD\Language\Language.exe ()

O4 - HKLM..\Run: [LGODDFU] C:\Program Files\lg_fwupdate\fwupdate.exe (BL)

O4 - HKLM..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)

O4 - HKU\S-1-5-21-1454471165-1801674531-1606980848-1004..\Run: [AutoStartNPSAgent] C:\Program Files\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.)

O4 - HKU\S-1-5-21-1454471165-1801674531-1606980848-1004..\Run: [Gadu-Gadu] C:\Program Files\Gadu-Gadu\gg.exe (Gadu-Gadu S.A.)

 

Pozbyć się pewnego oprogramowania, piję do starawego troszkę Nero + poszukanie arternatywy dla niepełnosprawnego Gadu-Gadu 7.7 (Darmowe komunikatory). Sprawdzić czy są nowsze sterowniki Toshiba. Porządna defragmentacja dysku, a z programów np. komercyjny PerfectDisk lub darmowy Puran Defrag Free Edition. Zainteresowanie się szerszym płaszczem zabezpieczeń niż tylko miły i klasyczny antywirus (zapora sieciowa / HIPS / Sandbox).

 

(a miała tylko 1,6Mb wielkosci)

 

Może to być prawda, a może to być także fałsz. W kalkulacje Dodaj / Usuń nie należy dowierzać. Tu masz ciekawy artykuł o "metodologii" tego mechanizmu przeliczania miejsca na dysku: How does Add/Remove Programs get the size and other information?. Najbardziej kuriozalny przypadek jaki kiedykolwiek widziałam to była mała łatka MS przeliczona na ponad 1GB miejsca na dysku.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...