Anonim8 Opublikowano 14 Lutego 2011 Zgłoś Udostępnij Opublikowano 14 Lutego 2011 (edytowane) Dostałem komputer od sąsiada. Chłopina nie może zainstalować SP3. Pojawia się komunikat odmowa dostępu. Coś mnie podkusiło i zrobiłem logi z OTL Extras.txt OTL.txt Edytowane 14 Lutego 2011 przez Belfegor Odnośnik do komentarza
picasso Opublikowano 14 Lutego 2011 Zgłoś Udostępnij Opublikowano 14 Lutego 2011 (edytowane) Chłopina nie może zainstalować SP3. Ale jaki błąd się pokazuje? EDIT: dopisałeś. Do obróbki artykuł MS: KB949377. Zabrakło GMER, przeszkodą jest emulacja wirtualna (i tu akurat nie pomoże SPTDinst a w Defogger powątpiewam): DRV - [2011-02-13 15:52:05 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01) W OTL natomiast widać: mapowanie powstałe po podpięciu zainfekowanego USB, wystąpienia "server" (to wygląda na odmianę tego trojana: KLIK), spora ilość pasków narzędziowych oparta na wątpliwym Conduit oraz przestarzały F-Secure (notabene: może to być przeszkoda dla instalacji SP3). Wstępne usuwanie: 1. Uruchomić OTL i w sekcji Własne opcje skanowania / skrypt wkleić: :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\AutorunsDisabled: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe O7 - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe O7 - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\AutorunsDisabled: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe [2010-12-05 18:32:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Grzesiek\Dane aplikacji\spynet [2011-01-18 21:44:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\PriceGong [2010-12-09 17:13:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet [2011-01-12 18:06:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Toolbar4 [2011-02-14 16:10:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Dane aplikacji\PriceGong [2010-12-21 13:38:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Dane aplikacji\Toolbar4 [2010-10-19 21:03:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Piotr\Dane aplikacji\spynet [2010-10-31 21:16:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ula\Dane aplikacji\PriceGong [2010-11-10 16:54:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ula\Dane aplikacji\spynet [2010-10-31 21:15:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ula\Dane aplikacji\Toolbar4 [2005-04-08 03:16:43 | 001,432,116 | -H-- | C] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\logs.dat [2010-03-30 10:19:39 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\searchplugins\daemon-search.xml [2009-06-13 08:19:38 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\searchplugins\winamp-search.xml [2010-09-30 15:33:39 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\dadswuj.sys [1907-05-23 13:17:35 | 000,000,061 | ---- | C] () -- C:\WINDOWS\yttupax.dll FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1605787&SearchSource=3&q={searchTerms}" IE - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found O3 - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found. O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) O16 - DPF: Microsoft XML Parser for Java "file:///C:/WINDOWS/Java/classes/xmldso.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- -- (ThreatFire) SRV - File not found [On_Demand | Stopped] -- -- (ServiceLayer) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. Po restarcie zostanie podany z tego log. 2. Przejść do Dodaj / Usuń Programy i odinstalować wszystkie twory paskowe oparte na Conduit: Conduit Engine, uTorrentBar Toolbar, mobilewitch Toolbar i XfireXO Toolbar. 3. Do oceny nowe logi z OTL opcji Skanuj + ten powstały z usuwania. Dodatkowo, dorzucić eksport rejestru tego klucza: HKEY_LOCAL_MACHINE\Software\Microsoft\active setup\installed components . Edytowane 14 Lutego 2011 przez picasso Odnośnik do komentarza
Anonim8 Opublikowano 14 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2011 Przepraszam że dopiero teraz załączam logi. Najmocniej przepraszam. skan.txt OTLJ.txt jklucz.txt Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2011 Zgłoś Udostępnij Opublikowano 15 Lutego 2011 Skrypt przetworzył co trzeba. Na dodatek niewiarygodne wprost wyniki z czyszczenia lokalizacji tymczasowych (około 20 GIGA tempów poleciało). Total Files Cleaned = 22 786,00 mb Było: Drive C: | 232,88 Gb Total Space | 1,10 Gb Free Space | 0,47% Space Free | Partition Type: NTFS Jest: Drive C: | 232,88 Gb Total Space | 21,21 Gb Free Space | 9,11% Space Free | Partition Type: NTFS W podanym kluczu Active Setup jest wpis od "servera": [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CBFE80JN-HVN0-8VB4-00HC-30164JIPYM6H}]"StubPath"="C:\\Documents and Settings\\Jasiek.OPTIMUS-E8F663A\\Dane aplikacji\\spynet\\server.exe Restart" 1. Drobnostki do sprzątnięcia w OTL (ów powyższy zapis, resztki po paskach narzędziowych i klika innych detali). Zamknąć Liska, uruchomić OTL i w sekcji Własne opcje skanowania / skrypt wkleić: :OTL FF - prefs.js..browser.search.defaultthis.engineName: "MobileWitch" FF - prefs.js..extensions.enabledItems: {fcbf663e-8530-46f8-a880-ac5abe9d2b23}:2.5.6.0 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 [2010-11-21 12:26:40 | 000,000,000 | ---D | M] (XfireXO) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3} [2010-12-11 21:02:17 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2010-04-13 15:18:53 | 000,000,000 | ---D | M] (mobilewitch Toolbar) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\{fcbf663e-8530-46f8-a880-ac5abe9d2b23} [2010-12-11 21:02:18 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\engine@conduit.com [2010-04-13 15:19:28 | 000,000,883 | ---- | M] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\searchplugins\conduit.xml [2011-02-15 17:16:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\PriceGong O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found O18 - Protocol\Filter\AutorunsDisabled - No CLSID value found O20 - Winlogon\Notify\AtiExtEvent: DllName - Reg Error: Value error. - Reg Error: Value error. File not found :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CBFE80JN-HVN0-8VB4-00HC-30164JIPYM6H}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt] "Start"=dword:00000004 Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Należy zająć się tym przestarzałym F-Secure (w domyśle: deinstalacja i wymiana czymś nowoczesnym). 3. Jak się ma sprawa z instalacją SP3? Próbowałeś tipy z artykułu? . Odnośnik do komentarza
Anonim8 Opublikowano 15 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2011 W podanym kluczu Active Setup jest wpis od "servera": [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CBFE80JN-HVN0-8VB4-00HC-30164JIPYM6H}] "StubPath"="C:\\Documents and Settings\\Jasiek.OPTIMUS-E8F663A\\Dane aplikacji\\spynet\\server.exe Restart" Nie bardzo wiem, o co chodzi z tym kluczem. U mnie komp jest odłączony od sieci w czasie pracy OTL. Należy zająć się tym przestarzałym F-Secure (w domyśle: deinstalacja i wymiana czymś nowoczesnym). Usunięty. Skrypt przetworzył co trzeba. Na dodatek niewiarygodne wprost wyniki z czyszczenia lokalizacji tymczasowych (około 20 GIGA tempów poleciało). Tak widziałem to od początku. Dane z C zostały przekopiowane na dysk X i Z. Ciężko szło kopiowanie, część została usunięta. Wykonałem defragmentacje. Jak się ma sprawa z instalacją SP3? Próbowałeś tipy z artykułu? SP3 zainstalowany. Obyło się bez problemów. Miałem w zanadrzu inny pomysł, ale nie musiałem go wykorzystać. Dziękuje serdecznie za pomoc. I jeszcze raz przepraszam za opóźnienia w temacie. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2011 Zgłoś Udostępnij Opublikowano 15 Lutego 2011 1. To do aktualizacji (KLIK): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6 2. Po wszystkim należy jeszcze wywołać Sprzątanie w OTL oraz wyczyścić foldery Przywracania systemu. Instrukcje oczywiście w przyklejonym (KLIK). Nie bardzo wiem, o co chodzi z tym kluczem. U mnie komp jest odłączony od sieci w czasie pracy OTL. Tylko go pokazuję, że był w rejestrze i wstawiła go infekcja. A jak widać w skrypcie OTL, klucz ten usuwałam .... Nie rozumiem co masz na myśli z "odłączony od sieci w czasie pracy OTL", co to ma wspólnego z tym wynikiem rejestru? . Odnośnik do komentarza
Anonim8 Opublikowano 15 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2011 Tylko go pokazuję, że był w rejestrze i wstawiła go infekcja. A jak widać w skrypcie OTL, klucz ten usuwałam .... Nie rozumiem co masz na myśli z "odłączony od sieci w czasie pracy OTL", co to ma wspólnego z tym wynikiem rejestru? Nie dogadaliśmy się. Nie wiedziałem, że ten klucz jest wynikiem infekcji. Po wszystkim należy jeszcze wywołać Sprzątanie w OTL oraz wyczyścić foldery Przywracania systemu. Instrukcje oczywiście w Przyklejonym Zrobione. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20 "{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3 "{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6 Zaraz wykonam. Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2011 Zgłoś Udostępnij Opublikowano 15 Lutego 2011 Nie dogadaliśmy się. Nie wiedziałem, że ten klucz jest wynikiem infekcji. Na samym początku wskazałam, że plik server.exe (w katalogach spynet) jest od infekcji i podałam link opisowy (KLIK), który wprawdzie ma pewne niuanse, ale widać że to jest dokładnie ten sam rodzaj. Dlatego prosiłam o eksport rejestru tego szczególnego klucza Active Setup, bo oczekiwałam, że tam jest kolejny fragment tej infekcji (OTL domyślnie nie wykonuje skanu tego miejsca) i tak też się okazało. Ostatnie moje działanie zlikwidowało klucz. Odnośnik do komentarza
Anonim8 Opublikowano 16 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 16 Lutego 2011 (edytowane) Głupio mi strasznie, ale nie przeczytałem od razu podanego prze Ciebie linka. Jeszcze raz przepraszam. Programy zaktualizowane, system działa stabilnie. Komputer oddany właścicielowi. Temacik można zamknąć. Edytowane 16 Lutego 2011 przez picasso No to zamykamy. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi