Brak możliwości dokończenia aktualizacji za pomocą Windows Update, powolne działanie systemu i inne

[tosza]

Kilka dni temu przestał mi działać specyficzny program do wykonywania tłumaczeń Idiom Worldserver. Chcąc to naprawić zacząłem szukać przyczyny, która zazwyczaj polega na uszkodzeniach .Neta. Gdy przejrzałem ustawienia systemu, to okazało się, że był niemiłosierny bałagan i po prostu syf. Wiele rzeczy (m.in. przywróciłem zaporę) naprawiłem dzięki poradom z tego forum, za co bardzo dziękuję. Mój program nadal jednak nie działa. Podejrzewam, że w systemie nadal są jakieś podłości, których już nie umiem sam naprawić. Co zauważyłem:

 

- Windows Update nie chce dokończyć instalacji poprawek i po pobraniu ich i zresetowaniu zaczyna aktualizację, którą przerywa po kilku procentach i wycofuje zmiany. Wykonałem wszystkie czynności znalezione przeze mnie na fixitpc.pl i nie pomogło, choć część aktualizacji się zainstalowała.

 

- Do tego dziwnie działa prawy przycisk myszy - po naciśnięciu i przytrzymaniu natychmiast pojawia się menu kontekstowe, a powinno dopiero po puszczeniu klawisza.

 

- Ogólnie system działa ślamazarnie.

 

- Ponadto Monitor zasobów i wydajności twierdzi, że Test włączenia kontroli konta użytkownika zakończył się niepomyślnie.

 

Załączam logi z OTL.

Extras.Txt

OTL.Txt

[picasso]

Temat przenoszę do działu diagnostyki infekcji:

 

 

Wiele rzeczy (m.in. przywróciłem zaporę) naprawiłem dzięki poradom z tego forum, za co bardzo dziękuję.

 

W systemie są ślady aktywności rootkita ZeroAccess (wariant ładowany z Kosza), a infekcja ta kasuje dokumentnie z rejestru określone usługi (Zapora systemu / Pomoc IP / Windows Update / Windows Defender) oraz ikonę Centrum Akcji. Nie wiadomo ile odtworzyłeś, nie wspominając o tym, że infekcja wygląda na czynną (jest wpis ładujący). Dodaj mi skany:

 

1. Log z Farbar Service Scanner.

 

2. Uruchom SystemLook x64 i do okna wklej:

 

:dir
C:\$Recycle.Bin /s
 
:filefind
services.exe
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

 

Klik w Look.

 

 

.

 

[tosza]

Motyla noga, Malwarebytes twierdził, że usunął ZeroAccess. Załączam logi.

FSS.txt

SystemLook.txt

[picasso]

Skany wykazują następujące rzeczy:

- ZeroAccess w Koszu siedzi nadal, dwa foldery i nie wyglądają na tknięte (dir nie może być zrobiony w głąb = tzn. że uprawnienia je blokują).

- Nienaprawione szkody: brak usług iphlpsvc (Pomoc IP) + Windows Defender, brak ikony Centrum Akcji.

 

Działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
  65,00,6d,00,5c,00,66,00,61,00,73,00,74,00,70,00,72,00,6f,00,78,00,2e,00,64,\
  00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"EnableLUA"=dword:00000001
"EnableUIADesktopToggle"=dword:00000000
"FilterAdministratorToken"=dword:00000000
"ValidateAdminCodeSignatures"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i wybierz opcję Scal. Zresetuj system.

 

2. Otwórz Notatnik i wklej w nim:

 

attrib -s -h C:\Windows\assembly\GAC_32\Desktop.ini

attrib -s -h C:\Windows\assembly\GAC_64\Desktop.ini
del /q C:\Windows\assembly\GAC_32\Desktop.ini
del /q C:\Windows\assembly\GAC_64\Desktop.ini
TAKEOWN /F C:\$Recycle.Bin /R /A /D T
icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
icacls C:\$Recycle.Bin\S-1-5-21-3753379803-1400587885-533003548-1001\$fa5b36d5d62b78c23c0afea4eaee3c3b /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
rd /s /q C:\found.001
rd /s /q C:\Users\tosza\AppData\Roaming\OpenCandy
rd /s /q C:\Users\tosza\AppData\Roaming\ProgSense
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator.

 

3. Odbuduj usunięte usługi za pomocą ServicesRepair.

 

4. Zrób nowy log OTL z opcji Skanuj (bez Extras) + Farbar Service Scanner + SystemLook na warunki:

 

:dir

C:\$Recycle.Bin /s
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

 

 

.

 

[tosza]

Nie wyświetla mi się w menu kontekstowym polecenie Scal. Czy mogę fix.reg po prostu zaimportować do Regedita przez Plik->Importuj?

[picasso]

Nie wyświetla mi się w menu kontekstowym polecenie Scal.

 

Pomyliłeś się, przecież ten plik na który klikasz to "plik wsadowy", czyli FIX.BAT, a pierwszy plik to ma być FIX.REG. Włącz pokazywanie rozszerzeń, bo się wprowadzasz w błąd: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów plików.

 

 

 

 

.

[tosza]

Z pośpiechy zły printscreen poszedł. Wyświetliłem rozszerzenia. Problem pozostaje - .REG nie mają opcji Scalania. Czy to coś poważnego, czy mogę działać z Regeditem?

[picasso]

W związku z brakiem Scal rozszerz zakres pliku FIX.REG do tej postaci (uwzględnia przywrócenie domyślnych skojarzeń REG):

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32]
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
  65,00,6d,00,5c,00,66,00,61,00,73,00,74,00,70,00,72,00,6f,00,78,00,2e,00,64,\
  00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"ConsentPromptBehaviorAdmin"=dword:00000005
"EnableLUA"=dword:00000001
"EnableUIADesktopToggle"=dword:00000000
"FilterAdministratorToken"=dword:00000000
"ValidateAdminCodeSignatures"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg\PersistentHandler]
@="{5e941d80-bf96-11cd-b579-08002b30bfeb}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile]
"EditFlags"=dword:00100000
@="Registration Entries"
"FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\
  00,6f,00,6f,00,74,00,25,00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,\
  2e,00,65,00,78,00,65,00,2c,00,2d,00,33,00,30,00,39,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,\
  2c,00,31,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\edit\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6e,00,6f,00,\
  74,00,65,00,70,00,61,00,64,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,00,31,\
  00,22,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open]
@="Mer&ge"
"MUIVerb"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
  6f,00,74,00,25,00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,\
  00,78,00,65,00,2c,00,2d,00,33,00,31,00,30,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
@="regedit.exe \"%1\""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\print]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\print\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6e,00,6f,00,\
  74,00,65,00,70,00,61,00,64,00,2e,00,65,00,78,00,65,00,20,00,2f,00,70,00,20,\
  00,22,00,25,00,31,00,22,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\ShellEx]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\ShellEx\{8895b1c6-b41f-4c1c-a562-0d564250836f}]
@="{1531d583-8375-4d3f-b5fb-d23bbd169f22}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.reg]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator (to ważne) > z menu Plik zaimportuj ten REG. Zgłaszając się z danymi po wykonaniu wszystkich akcji potwierdź mi czy opcja Scal powróciła do menu plików REG.

 

 

EDIT: tosza i proszę nie odpowiadaj na nieistniejący już post. To zresztą nie ma związku.

 

 

 

.

[tosza]

Załączam skany z programów po wykonaniu wszystkich czynności. Polecenie Scal nie wróciło do menu kontekstowego. Prawy przycisk myszy nadal się zachowuje nieprawidłowo - tak jak opisałem w pierwszym poście.

 

Drugie pytanie program: do tłumaczeń o którym wspominałem w pierwszym poście to Idiom Worldserver i to z powodu jego niedziałania zaczęła się ta cała krucjata. Program nadal nie działa, ale wyrzuca błąd niezwiązany z samym programem (na moje oko, bo Google milczy na temat tego błędu w kontekście tego programu, a podaje wiele wyników "programistycznych") tylko bardziej z komponentami Windows (znów na moje oko). Ten błąd to: An error occured while importing. Specified cast is not valid. Dodam, że 4 dni temu Idiom Worldserver działał jeszcze idealnie, a teraz nie otwiera już żadnych plików. Czy jest na forum miejsce, gdzie mógłbym też o to dopytać?

FSS.txt

SystemLook.txt

OTL.Txt

[picasso]

Na razie to męczymy czyszczenie po infekcji, bo jeszcze nie koniec:

 

1. Log z Farbar Service Scanner: żadnych zmian, nadal brakuje usług Pomoc IP i Windows Defender. Powtarzaj zadanie z ServicesRepair + restart systemu. Nowy skan z Farbar podaj.

 

2. Dwa pliki ZeroAccess nie zniknęły. Zmiana metody, zamiast pliku BAT skrypt OTL. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\assembly\GAC_32\Desktop.ini
C:\Windows\assembly\GAC_64\Desktop.ini
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart. Po restarcie przedstaw raport z wynikami usuwania przez OTL, nowy skan OTL nie jest potrzebny.

 

 

Polecenie Scal nie wróciło do menu kontekstowego.

 

Do SystemLook wklej:

 

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.reg /s

 

Przedstaw raport.

 

 

- Do tego dziwnie działa prawy przycisk myszy - po naciśnięciu i przytrzymaniu natychmiast pojawia się menu kontekstowe, a powinno dopiero po puszczeniu klawisza.

 

Start > w polu szukania wpisz main.cpl > co jest ustawione tu:

- Przełącz przycisk podstawowy i pomocniczy

- BlokadaKliknięcia

 

 

Program nadal nie działa, ale wyrzuca błąd niezwiązany z samym programem (na moje oko, bo Google milczy na temat tego błędu w kontekście tego programu, a podaje wiele wyników "programistycznych") tylko bardziej z komponentami Windows (znów na moje oko). Ten błąd to: An error occured while importing. Specified cast is not valid. Dodam, że 4 dni temu Idiom Worldserver działał jeszcze idealnie, a teraz nie otwiera już żadnych plików

 

Zakładam, że próbowałeś oczywiście reinstalacji programu, ale czy próbowałeś przeinstalować także .NET Framework?

- Reinstalacja wersji natywnych wbudowanych w system: Panel sterowania > Programy i funkcje > Włącz lub wyłącz funkcje systemu Windows > odptaszkuj .NET Framework + restart systemu > po resecie wejdź tam ponownie i zaptaszkuj + reset.

- Reinstalacja wersji wtórnych: widzialna u Ciebie wersja .NET Framework 1.1. Odinstaluj tradycyjnie. Po tym popraw specjalistą .NET Framework Cleanup Tool i zainstaluj ponownie tę wersję.

 

 

 

.

[tosza]

Na razie to męczymy czyszczenie po infekcji, bo jeszcze nie koniec: (...)

Do SystemLook wklej: (...)

 

Załączam raporty.

 

 

Start > w polu szukania wpisz main.cpl > co jest ustawione tu:

- Przełącz przycisk podstawowy i pomocniczy

- BlokadaKliknięcia

 

I się wyjaśniło. Problem jest sprzętowy. Po zamianie przycisków działa jak trzeba i z inną myszą działa jak trzeba. Dziękuję za pomoc i zamykamy ten podwątek.

 

 

Zakładam, że próbowałeś oczywiście reinstalacji programu, ale czy próbowałeś przeinstalować także .NET Framework?

- Reinstalacja wersji natywnych wbudowanych w system: Panel sterowania > Programy i funkcje > Włącz lub wyłącz funkcje systemu Windows > odptaszkuj .NET Framework + restart systemu > po resecie wejdź tam ponownie i zaptaszkuj + reset.

- Reinstalacja wersji wtórnych: widzialna u Ciebie wersja .NET Framework 1.1. Odinstaluj tradycyjnie. Po tym popraw specjalistą .NET Framework Cleanup Tool i zainstaluj ponownie tę wersję.

 

Zrobione. Niestety nie pomogło.

FSS.txt

SystemLook.txt

03142013_004917.txt

[picasso]

Pliki ZeroAccess nie usunięte, OTL również odmawia współpracy. Błędy sugerują brak uprawnień. W Farbar również zupełny brak zmian i usługi nadal nie odbudowane. W związku z tym będziemy rekonstruować ręcznie usługi. Na razie te sprawy oraz brak Scal w kontekstowym omijam, gdyż:

 

 

Zrobione. Niestety nie pomogło.

 

Ten problem oraz problem z usuwaniem plików ZeroAccess z katalogu C:\Windows\assembly to mogą być inne postaci tej samej usterki podskórnej. ZeroAccess jako jedną ze swoich "cech" przejawia mataczenie z uprawnieniami (resetuje ścieżki w których tworzy pliki), niekiedy to się kończy odebraniem uprawnień wszystkim kontom (czysta lista ACL). Brak uprawnień do Assembly może tłumaczyć wykładanie się Idiom Worldserver. Dla porównania rozwiązywany kiedyś przeze mnie problem ingerencji ZeroAccess w uprawnienia Assembly skutkujący niemożnością uruchomienia gry Fifa: KLIK.

 

Czyli na teraz podaj mi precyzyjny spis uprawnień Assembly. Aplikację SetACL.exe już posiadasz w C:\Windows (widziałam w raporcie), za jego pomocą właśnie pobiorę uprawnienia.

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

SetACL -on "C:\Windows\assembly" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" -rec yes >>C:\log.txt

 

Przedstaw wynikowy C:\log.txt.

 

 

.

[tosza]

Nie pokrzepiłaś mnie.

Jeśli w twoich kolejnych działaniach jest jakaś możliwość priorytetyzowania, to ten Idiom jest absolutnym priorytetem dla mnie, bez tego klient mnie niedługo oskubie.

 

Załączam log.

log.txt