Naprawa WMI

[zb1024]

Witam, mój problem polega na tym, że najpierw mój komp zaatakował wirus weelsof (prawdopodobnie) wyskakiwał ekran z policja i żądaniem wpisania kodu ukash, raz sobie z tym poradziłem, za drugim razem zrobiłem podobnie w trybie awaryjnym z wierszem polecenia usuwałem pliki z C:\Documents..\All users\.....exe (te które były utworzone w dzień infekcji), usunąłem niekóre wpisy w Hijakcu, no to pomogło wirusa nie ma, tego ekranu z policją też, ale zauważyłem w Dzienniku zdarzeń dużo błędów w "Systemie"

• Typ zdarzenia: Błąd
• Źródło zdarzenia: DCOM
• Kategoria zdarzenia: Brak
• Identyfikator zdarzenia: 10010
• Użytkownik:  ZARZĄDZANIE NT\SYSTEM
• Komputer: MICHALSK-24F056

• Opis:
  Serwer {8BC3F05E-D86B-11D0-A075-00C04FB68820} nie zarejestrował się w modelu DCOM w wymaganym czasie.

  Aby znaleźć więcej informacji, zobacz http://go.microsoft.com/fwlink/events.asp w Centrum pomocy i obsługi technicznej.

   

Odszukałem ciąg cyfr i liter z nawiasu {} w Rejestrze, i okazało sie że to winmgmt, w Usługach sprawdziłem "Instrumentacja Zarządzania Windows" i próbowałem uruchomić tę usługę ale wyskakuje błąd "Nie można uruchomić usługi Instrumentacja Zarządzania Windows na komputerze Komputer Lokalny. Błąd 2: Nie można odnaleźć określonego pliku. Zrobiłem log programem WMIDIAG". Czy da sie to naprawić ?

 

WMIDIAG-V2.1_XP___.CLI.RTM.32_MICHALSK-24F056_2013.05.08_22.15.17-REPORT.TXT

[zb1024]

Dołączam jeszcze log z otl

OTL 08-05-2013 2341.Txt

Extras.Txt

[picasso]

usunąłem niekóre wpisy w Hijakcu, no to pomogło wirusa nie ma

 

Czy masz kopię zapasową wpisów, by je zaprezentować? Tu jeszcze na plik infekcji wygląda ten obiekt na dysku, świeżo utworzony spory losowo nazwany plik:

 

2013-05-08 18:56:34 | 000,363,008 | ---- | M] () -- C:\Documents and Settings\Marcin\Moje dokumenty\3AB50000

 

 

Odszukałem ciąg cyfr i liter z nawiasu {} w Rejestrze, i okazało sie że to winmgmt, w Usługach sprawdziłem "Instrumentacja Zarządzania Windows" i próbowałem uruchomić tę usługę ale wyskakuje błąd "Nie można uruchomić usługi Instrumentacja Zarządzania Windows na komputerze Komputer Lokalny. Błąd 2: Nie można odnaleźć określonego pliku. Zrobiłem log programem WMIDIAG". Czy da sie to naprawić ?

 

Błąd sugeruje ten wariant infekcji, który zmienia ścieżkę w kluczu Parameters tej usługi, ale log z OTL nie wykazuje takiej modyfikacji. Z kolei WMIDiag nie ma zbyt wielu danych, zawiadamia tylko, że usługi Winmgmt nie można uruchomić i wartość Start jest inna niż oczekiwana:

 

.1843 22:26:43 (1) !! ERROR: Unexpected registry key value:

.1844 22:26:43 (0) ** - Current: HKLM\SYSTEM\CurrentControlSet\Services\winmgmt\Start (REG_DWORD) -> &h3

.1845 22:26:43 (0) ** - Expected: HKLM\SYSTEM\CurrentControlSet\Services\winmgmt\Start (REG_DWORD) -> &h2

.1846 22:26:43 (0) ** From the command line, the registry configuration can be corrected with the following command:

.1847 22:26:43 (0) ** i.e. 'REG.EXE Add "HKLM\SYSTEM\CurrentControlSet\Services\winmgmt" /v "Start" /t "REG_DWORD" /d "2" /f'

 

Poproszę o pełny skan klucza. Uruchom SystemLook i do okna wklej:

 

:reg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s

 

Klik w Look.

 

 

PS. Dodatkowe uwagi na temat raportów:

 

1. Doczyść sobie wpisy puste. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL


SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe -- (aspnet_state)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus)

DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\SBREdrv.sys -- (SBRE)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8139.SYS -- (rtl8139)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Amps2prt.sys -- (Amps2prt)

DRV - [2008-01-16 18:06:40 | 000,070,001 | ---- | M] (GMER) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gmer.sys -- (gmer)

IE - HKCU\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=rbox&toolbarid=adawaretb&u=95E5CD35B30DAA284080DC4F831D3C72&q={searchTerms}

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found

O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found

O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)

O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found
 

:Files

C:\FOUND.*
 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. W systemie są tak archaiczne softy, że szok. Avast 4, Firefox 1.5.0.12, Java 1.4.2 i 5.0?! To m.in. luki w starym oprogramowaniu (przeze wszystkim Java) są przyczyną infekcji. Gdy się uporamy z głównym problemem, trzeba będzie wymienić radykalnie oprogramowanie w tym systemie, by nie kusić losu.

 

 

.

[zb1024]

Czy masz kopię zapasową wpisów, by je zaprezentować? Tu jeszcze na plik infekcji wygląda ten obiekt na dysku, świeżo utworzony spory losowo nazwany plik:

 

niektóre wpisy przywróciłe, daję log z Hijacka, plik 3AB50000 usunąłem, 

 

 

Poproszę o pełny skan klucza. Uruchom SystemLook

 

log na dole,

 

Doczyść sobie wpisy puste. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

 

wyczyściłem i daję log,

 

 

 W systemie są tak archaiczne softy, że szok. Avast 4, Firefox 1.5.0.12, Java 1.4.2 i 5.0?!

 

 

Firefox usunąłem bo narazie mi nie potrzebny, Javę zaktualizowałem.

hijackthis.txt

SystemLook.txt

05092013_190746.txt

[picasso]

- Skan z SystemLook błędnie wykonany, obie linie się "skleiły", w związku z tym komenda nierozpoznana i brak wyników. Powtórz zadanie. Podobnie jest ze skryptem OTL, nic nie wykonane, bo wszystkie linie się skleiły razem, też do powtórki.

- Log HijackThis: Nie ma tu żadnych informacji o tym co usunąłeś, brak wpisów charakterystycznych tej infekcji.

 

 

 

.

[zb1024]

Skan z SystemLook błędnie wykonany, obie linie się "skleiły", w związku z tym komenda nierozpoznana i brak wyników. Powtórz zadanie. Podobnie jest ze skryptem OTL, nic nie wykonane, bo wszystkie linie się skleiły razem, też do powtórki.

 

poprawiłem i daje logi

SystemLook.txt

05112013_193946.txt

[picasso]

Ze skanu SystemLook nic nie wynika. Proponuję przeinstalować WMI. Start > Uruchom > wklej komendę:

rundll32.exe setupapi,InstallHinfSection WBEM 132 %windir%\inf\wbemoc.inf



.

[zb1024]

Wystarczy tylko uruchomić tę komendę, czy będzie jeszcze coś potrzebne?

[picasso]

To jest komenda reinstalująca WMI. Czyli uruchamiasz komendę > reset > podajesz czy naprawiło się.

[zb1024]

Po uruchomieniu woła płytę, której nie mam, niektóre pliki wyszukiwałem w systemie ale brakuje pliku htblsort.xsl ?

[picasso]

Proponuję pobrać Service Pack, rozpakować i wskazać instalatorowi. Twój system jest nieaktualizowany, więc stary SP2 będzie używany:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

1. Pobierz instalator SP2: KLIK. Pobrany plik o nazwie WindowsXP-KB835935-SP2-PLK.exe umieść bezpośrednio na dysku C.

2. Rozpakuj instalator: Start > Uruchom > wklej komendę C:\WindowsXP-KB835935-SP2-PLK.exe /x:C:\SP

3. Na dialogu proszącym o płytę wskaż folder rozpakowanego SP2, czyli C:\SP\i386.

 

Po tym i tak czeka Cię pełna aktualizacja systemu (SP3 + wszystko co wydane po, a będzie tego multum od roku 2008), bo SP2 to zgroza. A za rok już zero łat na XP, MS wycofuje wsparcie dla tej archaicznej platformy.

 

 

 

.