Zamulony komputer

[klimrewop]

Witam!

Jak zawsze komputer kogoś znajomego (tym razem służebno-prywatny). Miał dziwny problem, który powodował, że nie da się uruchomić żadnego programu. Uruchomiłem Combofixa i... ponad 30 minut zajęło mu przejście do Etapu 1. Błąd został zlikwidowany, ale ogółem komputer baaardzo wolno działa.

 

Nie zamieściłem logów z GMER-a, bo po kilku minutach działania się wywalał (pokazywało okno raportowania).

 

Proszę uprzejmnie o sprawdzenie logów

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[jessica]

@Picasso ma już dziś (po wyzdrowieniu) zacząć pomagać - ale nie jest to takie pewne ...

 

W logach widzę tylko resztki dawnej infekcji. Usuniemy je:

 

 

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL

[2012-08-18 14:52:33 | 000,000,051 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\qdxsmjapaofznoj

[2012-08-18 14:52:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\tvrndacccdgeohx

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.)

O4 - Startup: C:\Documents and Settings\aneta\Menu Start\Programy\Autostart\OpenOffice.org 2.4.lnk =  File not found

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_25-windows-i586.cab (Java Plug-in 10.45.2)

O16 - DPF: {CAFEEFAC-0017-0000-0025-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_25-windows-i586.cab (Java Plug-in 1.7.0_25)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_25-windows-i586.cab (Java Plug-in 10.45.2)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750obex.sys -- (k750obex)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mgmt.sys -- (k750mgmt)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mdm.sys -- (k750mdm)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mdfl.sys -- (k750mdfl)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750bus.sys -- (k750bus)

DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT)

 

:Reg

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

 

 

 

SRV - File not found [Auto | Stopped] -- %WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll -- (helpsvc)

Wg mnie tak nie powinno być (brak pliku Systemowego).

 

Ale to, i ewentualnie inne "rzeczy" (których ja nie dostrzegam) pozostawiam dla @Picasso.

 

Log FRST.txt nie jest cały.

 

jessi

[klimrewop]

No to zdrowiej Picasso

 

To dziwne, bo FRST nie przerwało działania... Co z tym faktem zrobić, to poczekam na rady Picasso.

 

Rzeczywiście coś jest nie tak z plikami systemowymi, przypadkowo wcisnąłem F1 i wyskoczył błąd (plik w załączniku)

 

A w międzyczasie zamieszczam obiecane logi.

OTL.Txt

12032013_095340.txt

[picasso]

Uruchomiłem Combofixa i... ponad 30 minut zajęło mu przejście do Etapu 1. Błąd został zlikwidowany, ale ogółem komputer baaardzo wolno działa.

Proszę dodaj:

- Zaległy log utworzony przez ComboFix (C:\ComboFix.txt).

- Ponownie zrobiony raport z FRST (bez Addition)

 

 

przypadkowo wcisnąłem F1 i wyskoczył błąd

Uszkodzona Pomoc i obsługa techniczna, brak conajmniej dwóch plików bazując na dotychczasowych danych. Jeśli ten komponent nie był usuwany ręcznie jakimiś dziwnymi metodami, uruchom SystemLook i do skanu wklej:

 

:filefind
helpctrl.exe
pchsvc.dll
 
:dir
C:\WINDOWS\PCHealth\HelpCtr\Binaries

 

Klik w Look i przedstaw wynikowy raport.

 

 

.

[klimrewop]

Tak wiem, 2 tygodnie do dużo, ale wcześniej nie mogłem.

 

O dziwo, nie było logu combofixa, ale kolega wezwał mnie, bo problem się powtórzył. I znów ok. 40 minut zajęło mu przejście do Etapu 1. 

 

Zacząłam żadane pliki. 

SystemLook.txt

combofix.txt

FRST.txt

[picasso]

Temat przenoszę do działu Windows, bo to nie są sprawy infekcji. I nie wygląda by ComboFix cokolwiek robił, poza pewnymi automatycznymi procedurami jak np. czyszczenie Temp. Żadnych oznak kasowania obiektów infekcji. Dokończ szybko martwe wpisy. Otwórz Notatnik i wklej w nim:

 

FW: F-Secure Anti-Virus 2008 8.00 (Disabled) {D4747503-0346-49EB-9262-997542F79BF4}
SearchScopes: HKLM - DefaultScope value is missing.
R3 catchme; \??\C:\DOCUME~1\RAFA~1\USTAWI~1\Temp\catchme.sys [x]
U2 CertPropSvc;
U3 TlntSvr;
U3 mbr; \??\C:\ComboFix\mbr.sys [x]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

ogółem komputer baaardzo wolno działa

Kilka rzeczy pod uwagę:

 

1. Był uruchamiany GMER, więc na wszelki wypadek zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Jest zainstalowana rozszerzona wersją "Microsoft Update":

 

DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1385722451078

 

Rozszerzenie może mieć negatywny wpływ na system. Wykonaj działania z tego posta: KLIK.

 

3. Mizerna ilość wolnego miejsca na dysku (to też jedna z przyczyn mulenia) i trzeba tu z większym rozmachem pouwalniać:

 

==================== Drives ================================
 

Drive c: () (Fixed) (Total:22.74 GB) (Free:1.3 GB) NTFS ==>[Drive with boot components (Windows XP)]

 

4. Pozbądź się też zbędnych wpisów startowych. Uruchom Autoruns i w karcie Logon odfajkuj:

 

HKLM\...\Run: [HP Software Update] - C:\Program Files\HP\HP Software Update\hpwuSchd2.exe [49152 2007-03-11] (Hewlett-Packard Co.)

HKLM\...\Run: [HP Component Manager] - C:\Program Files\HP\hpcoretech\hpcmpmgr.exe [241664 2003-12-22] (Hewlett-Packard Company)

HKLM\...\Run: [HPDJ Taskbar Utility] - C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe [172032 2004-05-12] (HP)

HKLM\...\Run: [sunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)

HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)

HKLM\...\Run: [DWQueuedReporting] - C:\Program Files\Common Files\Microsoft Shared\DW\DWTRIG20.EXE [437160 2007-02-26] (Microsoft Corporation)

HKU\aneta\...\Run: [ares] - D:\Ares\Ares.exe [ 2010-01-22] (Ares Development Group)

Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk

 

W karcie Services odznacz:

 

S2 gupdate1ca19f51f024aaa; C:\Program Files\Google\Update\GoogleUpdate.exe [133104 2009-08-10] (Google Inc.)

S3 Samsung UPD Service; C:\WINDOWS\system32\SUPDSvc.exe [127656 2009-03-24] (Samsung Electronics CO., LTD.)

R2 JavaQuickStarterService; "C:\Program Files\Java\jre7\bin\jqs.exe" -service -config "C:\Program Files\Java\jre7\lib\deploy\jqs\jqs.conf"

 

Po tym zresetuj system.

 

 

Rzeczywiście coś jest nie tak z plikami systemowymi, przypadkowo wcisnąłem F1 i wyskoczył błąd (plik w załączniku)

Czy tu nie było jakiś sztucznych wycinanek? Cały folder C:\WINDOWS\PCHealth\HelpCtr\Binaries jest golusienki. Przesyłam zawartość Binaries z XP SP3: KLIK. Wstaw wszystkie pliki ze środka do tegoż folderu. Sprawdź czy Pomoc działa. Pliku helpctrl.exe nie ma na moim systemie. I zrób mi jeszcze dir "góry" w SystemLook:

 

:dir


C:\WINDOWS\PCHealth\HelpCtr /s

 

 

 

.