Po infekcji nie mogę uruchomić usługi Zapora systemu

[Marek63]

Witam.

Komputer stacjonarny, z win xp sp3

Skaner mbam znalazł i usunął do kwarantanny 4 rootkity, jak w załączniku. Bezpośrednio przed był problem z syfem "twój komputer został zablokowany przez policję", zapłać 400zł i tym podobne bzdury.

Niestety, jak w temacie: teraz nie mogę uruchomić zapory sytemowej, ani z poziomu panelu sterowania, ani services.msc.

Nie mogłem również przywrócić komputera do paru starszych punktów przywracania - myślałem, że to przywróci usługę zapory.

Zauważylem również, że ikona połączenia sieciowego w trayu po starcie systemu długo się nie pojawia, ok 15min, gdy na nią kliknę z prawokliku i nacisnę "stan" - okno otwiera się również po kilkunastu minutach. Ale połączenie z internetem mam.

Załączam również logi z otl oraz gmer.

Pozdrawiam

 

ps. zauważylem równiez brak procesu alg.exe w menedżerze zadań

OTL.Txt

Extras.Txt

gmer.txt

mbam.txt

[picasso]

Problemy prawdopodobnie są wynikiem uszkodzenia usługi WMI przez "policję":

 

========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\Admin\wgsdgsdgdsgsd.dll -- (winmgmt)

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
netsh firewall reset /C
 
:OTL
DRV - [2011-10-03 10:23:09 | 000,000,000 | ---- | M] () [Kernel | On_Demand | Unknown] -- C:\WINDOWS\3274895890 -- (12f232c3)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Marek63]

Witam ponownie i dziękuję za odpowiedź. Minęło sporo czasu i trochę się u mnie działo. Otóż skorzystałem z opcji naprawy systemu windows z płyty instalacyjnej, by oddzyskać sprawną zaporę. Pomogło. Ale pojawił się nowy problem, nie działały w ogóle aktualizacje automatyczne, nie można było uruchomić uslugi aktualizacji automatycznych, nie działał windows update z poziomu przeglądarki.

 

Już kilka dni temu spróbowałem tego fixa, ale nie pomoglo:

 

http://support.micro...om/kb/943144/pl

 

W końcu udało się wg metody nr III z tej stronki:

 

http://forum.centrum...=posts&m=614421

 

W związku z powyższym, wstrzymalem się z wykonaniem skryptu i załączam nowy log z OTL, ale nie wiem czy słusznie, Picasso?

Proszę o dalsze instrukcje.

OTL.Txt

[picasso]

Usługa WMI została naprawiona Reperacją Windows. Czyli akcje dopasowane do aktualnego stanu to:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
netsh firewall reset /C
 
:OTL
DRV - [2011-10-03 10:23:09 | 000,000,000 | ---- | M] () [Kernel | On_Demand | Unknown] -- C:\WINDOWS\3274895890 -- (12f232c3)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Zaznacz opcję Pomiń pliki Microsoftu.

 

 

 

.

[Marek63]

Wkleiłem skrypt i po restarcie OTL wygenerował log, który nazwałem otl1.txt

Potem wykonalem 2pkt z opcją skanuj, tu wygenerował się drugi log OTL.txt

otl1.txt

OTL.Txt

[picasso]

Zrobione co należy. Na zakończenie:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i kwarantannę.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{91120415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)

 

 

 

.

[Marek63]

ad1 zrobione

ad1 usunąłem stare punkty przywracania i utworzyłem nowy.

tego też użyć:

TFC-Tem File Cleaner by OldTimer?

ad3

-z java ciekawa rzecz, wczoraj aktualizowalem ręcznie z java control panel, bo mam wyłączone aktualizacje automatyczne i mam już java7 update10, ale zniknęła ikona java z panelu sterowania - zatem nie rozumiem, dlaczego powyżej jest wpis o update9, teraz panel odpalam z folderu Java w Program Files.

- pytanie o silverlight 5 - można nadpisać, czy odinstalować silverlight 4?

- czy aktualizację Office2003 trzeba jakoś przygotować z poziomu windows, czy wystarczy w moim przypadku od razu zainstalować sp3 z:

http://www.microsoft...tails.aspx?id=8

nie instalowałem programu Outlook z Office2003, czy to ma jakieś znaczenie dla późniejszej aktualizacji?

[picasso]

-z java ciekawa rzecz, wczoraj aktualizowalem ręcznie z java control panel, bo mam wyłączone aktualizacje automatyczne i mam już java7 update10, ale zniknęła ikona java z panelu sterowania - zatem nie rozumiem, dlaczego powyżej jest wpis o update9, teraz panel odpalam z folderu Java w Program Files.

 

Proponuję całkowicie odnstalować Java i po tym na czysto zainstalować wersję 10.

 

 

- pytanie o silverlight 5 - można nadpisać, czy odinstalować silverlight 4?

 

To samo co wyżej.

 

 

- czy aktualizację Office2003 trzeba jakoś przygotować z poziomu windows, czy wystarczy w moim przypadku od razu zainstalować sp3 z

 

Od razu wchodź w ten biznes.

 

 

tego też użyć:

TFC-Tem File Cleaner by OldTimer?

 

Ten proces już był prowadzony komendą [emptytemp] w skrypcie. Ale możesz powtórzyć po przeprowadzeniu wszystkich deinstalacji / aktualizacji oprogramowania.

 

 

 

.

[Marek63]

Zrobione.

Na zakończenie, podczas instalacji silverlight był do pobrania agent aktualizacji produktów Microsoft - odhaczyłem, ale nie wiem, czy słusznie, bo np teraz po instalacji sp3 do Office2003 być może są kolejne poprawki. Gdy kliknę np w Word kartę Pomoc/Sprawdź aktualizacje przenosi mnie do witryny:

http://office.micros...=EC010227221045

ale nadal nie wiem, czy dla mojego Office2003 są nowsze aktualizacje. Natomiast, gdy włączam aktualizacje automatyczne Windows od czasu do czasu - nie zauważyłem, by kiedykolwiek pobierane były poprawki dla Office2003.

Czy Ccleaner robi to samo co TFC-Tem File Cleaner by OldTimer?

 

edit:

Jest jeszcze jedna sprawa, o której zapomniałem, a nie ustąpiła po reparacji systemu z płyty instalacyjnej. Na 100% miałem wyłączone usługi:

Menedżer połączeń usługi Dostęp zdalny

Telefonia

 

Obecnie obie są uruchomione i nie mogę ich zatrzymać, da się z tym żyć, ale coś te wirusy policyjne jednak namieszały.

[picasso]

Czy Ccleaner robi to samo co TFC-Tem File Cleaner by OldTimer?

 

To nie są procesy tożsame. TFC czyści wszystkie profile oraz wymusza restart, by ukończyć proces.

 

 

Na zakończenie, podczas instalacji silverlight był do pobrania agent aktualizacji produktów Microsoft - odhaczyłem, ale nie wiem, czy słusznie

 

Agenta aktualizacji zaktualizuj.

 

 

ale nadal nie wiem, czy dla mojego Office2003 są nowsze aktualizacje. Natomiast, gdy włączam aktualizacje automatyczne Windows od czasu do czasu - nie zauważyłem, by kiedykolwiek pobierane były poprawki dla Office2003.

 

Po głównym wydaniu Service Pack dla Office 2003 powinny być jeszcze nowsze łatki. Automatyczne aktualizacje zapewne dlatego nic nie wykrywają, gdyż w systemie jest wersja podstawowa Windows Update. Wyszukiwanie aktualizacji pobocznych produktów (w tym Office) wymaga instalacji rozszerzenia Microsoft Update. I uwaga na to rozszerzenie, mogą wystąpić skutki uboczne w postaci spowolnienia systemu: KLIK.

 

 

Jest jeszcze jedna sprawa, o której zapomniałem, a nie ustąpiła po reparacji systemu z płyty instalacyjnej. Na 100% miałem wyłączone usługi:

Menedżer połączeń usługi Dostęp zdalny

Telefonia

 

Obecnie obie są uruchomione i nie mogę ich zatrzymać, da się z tym żyć, ale coś te wirusy policyjne jednak namieszały.

 

A ja wątpię, by to było powiązane z infekcją. Zatrzymać się nie da, ale czy zmieniałeś Typ uruchomienia + restart systemu?

 

 

.

[Marek63]

To nie są procesy tożsame. TFC czyści wszystkie profile oraz wymusza restart, by ukończyć proces.

ok, użyłem TFC.

Agenta aktualizacji zaktualizuj.

nie wiem za bardzo, jak to zrobić - widziałem 'agenta' pierwszy raz przy instalacji silverlight, czy mam powtórnie instalować silverlight i wraz z nim zainstalować agenta? coś czuję, że pytanie jest głupie:(

Po głównym wydaniu Service Pack dla Office 2003 powinny być jeszcze nowsze łatki. Automatyczne aktualizacje zapewne dlatego nic nie wykrywają, gdyż w systemie jest wersja podstawowa Windows Update. Wyszukiwanie aktualizacji pobocznych produktów (w tym Office) wymaga instalacji rozszerzenia Microsoft Update. I uwaga na to rozszerzenie, mogą wystąpić skutki uboczne w postaci spowolnienia systemu: KLIK.

mam zagwozdkę, przed chwilą mowa była o 'agencie' aktualizacji do produktów microsoft, a teraz dodatkowe windows update i microsoft update - to tak jakby były dostępne 3 wersje update?

przeczytałem temat pod 'klikiem' i widzę, że mogę się narazić na spowolnienie systemu, z drugiej strony bez microsoft update mogę zapomnieć o łatkach do Offce2003, to po co jest ten agent instalowany opcjonalnie z silverlight?

przeczytałem również to:

http://support.microsoft.com/kb/901037

z tego z kolei wynika, że jest dość prosty sposób na wyłączenie microsoft update, nie kapuję tylko dlaczego ludzie mają zainstalowane oba update, jak pod 'klikiem' wyżej, i trzeba zdejmować kontrolki microsoft update dość zaawansowanymi metodami. czy nie powinno być tak, że albo windows update, albo microsoft update działa, a nie oba naraz?

być może infantylne pytanie, czy jest inny sposób na bieżącą aktualizację Office2003 bez narażania się na powyższe nieprzyjemności?

A ja wątpię, by to było powiązane z infekcją. Zatrzymać się nie da, ale czy zmieniałeś Typ uruchomienia + restart systemu?

zrobiłem tak:

mając uruchomione usługi: Menedżer połączeń usługi Dostęp zdalny oraz Telefonia w trybie 'ręczny' - przestawiłem na 'wyłącz' i restart, i usługi nie uruchomiły się.

następnie przestawiłem na 'ręczny' i restart, po restarcie znowu obie usługi były uruchomione i nie dało się ich zatrzymać, jak pierwotnie zgłaszałem.

czyli wygląda na to, że trzeba je ustawić w tryb 'wyłącz', by nie uruchamiały się po restarcie? wcześniej takiego zjawiska nie doświadczałem - tzn były nieuruchomione ustawione na 'ręczny'.

[picasso]

mam zagwozdkę, przed chwilą mowa była o 'agencie' aktualizacji do produktów microsoft, a teraz dodatkowe windows update i microsoft update - to tak jakby były dostępne 3 wersje update?

 

Są dwie wersje: Windows Update (podstawowe aktualizacje Windows) + Microsoft Update (aktualizacje rozszerzone o produkty poboczne). Agent aktualizacji to aktualizacja dla Windows Update, by prawidłowo wykrywało nowe łatki. Domyślnie w nieaktualizowanym XP jest zainstalowana przestarzała wersja, którą trzeba zaktualizować z osobna. O którego agenta chodzi cytuję z tematu na forum:

 

Uwaga: zainstalowany SP3 może nie zostać wykryty przez skaner Windows Update, który namolnie będzie podawał link do instalacji SP3 (przykład). Problem wynika z przestarzałej wersji Agenta aktualizacji, należy zainstalować zaktualizowaną wersję Windows Update Agent (KB949104). Niestety najnowsza wersja nie jest dostępna jako pobieranie indywidualne, aczkolwiek można się poratować wstępnie ostatnią z udostępnianych bezpośrednio:

 

[buttons=http://download.windowsupdate.com/WindowsUpdate/redist/standalone/7.4.7600.226/WindowsUpdateAgent30-x86.exe]Windows Update Agent 7.4.7600.226[/buttons]

 

 

z tego z kolei wynika, że jest dość prosty sposób na wyłączenie microsoft update, nie kapuję tylko dlaczego ludzie mają zainstalowane oba update, jak pod 'klikiem' wyżej, i trzeba zdejmować kontrolki microsoft update dość zaawansowanymi metodami. czy nie powinno być tak, że albo windows update, albo microsoft update działa, a nie oba naraz?

 

Problemem nie jest używanie obu wersji, problemem jest Microsoft Update jako takie, które rejestruje w systemie nowe biblioteki i zwiększa pobór mocy. Rezygnacja z Microsoft Update poprzez stronę Microsoftu nie zawsze niestety jest skuteczną metodą usunięcia Microsoft Update z systemu, stąd owe "zaawansowane metody".

 

 

być może infantylne pytanie, czy jest inny sposób na bieżącą aktualizację Office2003 bez narażania się na powyższe nieprzyjemności?

 

Precyzyjnych metod alternatywnych brak.

 

 

czyli wygląda na to, że trzeba je ustawić w tryb 'wyłącz', by nie uruchamiały się po restarcie? wcześniej takiego zjawiska nie doświadczałem - tzn były nieuruchomione ustawione na 'ręczny'.

 

Tak, wyłącz, jeśli chcesz zapobiec startowi usług.

 

 

 

.

[Marek63]

Bardzo dziękuję za wsparcie, moje drobne dotrze za kilka dni,

z wyrazami szacunku i życzeniami wszystkiego dobrego

Marek63