Skocz do zawartości

problem z instalacją SP3


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Chłopina nie może zainstalować SP3.

 

Ale jaki błąd się pokazuje? EDIT: dopisałeś. Do obróbki artykuł MS: KB949377.

 

 


Zabrakło GMER, przeszkodą jest emulacja wirtualna (i tu akurat nie pomoże SPTDinst a w Defogger powątpiewam):

 

DRV - [2011-02-13 15:52:05 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)

 

 

W OTL natomiast widać: mapowanie powstałe po podpięciu zainfekowanego USB, wystąpienia "server" (to wygląda na odmianę tego trojana: KLIK), spora ilość pasków narzędziowych oparta na wątpliwym Conduit oraz przestarzały F-Secure (notabene: może to być przeszkoda dla instalacji SP3). Wstępne usuwanie:

 

1. Uruchomić OTL i w sekcji Własne opcje skanowania / skrypt wkleić:

 

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\AutorunsDisabled: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe
O7 - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe
O7 - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\AutorunsDisabled: Policies = C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet\server.exe
[2010-12-05 18:32:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Grzesiek\Dane aplikacji\spynet
[2011-01-18 21:44:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\PriceGong
[2010-12-09 17:13:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\spynet
[2011-01-12 18:06:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Toolbar4
[2011-02-14 16:10:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Dane aplikacji\PriceGong
[2010-12-21 13:38:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Dane aplikacji\Toolbar4
[2010-10-19 21:03:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Piotr\Dane aplikacji\spynet
[2010-10-31 21:16:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ula\Dane aplikacji\PriceGong
[2010-11-10 16:54:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ula\Dane aplikacji\spynet
[2010-10-31 21:15:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ula\Dane aplikacji\Toolbar4
[2005-04-08 03:16:43 | 001,432,116 | -H-- | C] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\logs.dat
[2010-03-30 10:19:39 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\searchplugins\daemon-search.xml
[2009-06-13 08:19:38 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\searchplugins\winamp-search.xml
[2010-09-30 15:33:39 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\dadswuj.sys
[1907-05-23 13:17:35 | 000,000,061 | ---- | C] () -- C:\WINDOWS\yttupax.dll
FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1605787&SearchSource=3&q={searchTerms}"
IE - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - Reg Error: Key error. File not found
O3 - HKU\S-1-5-21-3988037778-3744486593-1573704443-1019\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found.
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java "file:///C:/WINDOWS/Java/classes/xmldso.cab" (Reg Error: Key error.)
SRV - File not found [Auto | Stopped] --  -- (ThreatFire)
SRV - File not found [On_Demand | Stopped] --  -- (ServiceLayer)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Po restarcie zostanie podany z tego log.

 

2. Przejść do Dodaj / Usuń Programy i odinstalować wszystkie twory paskowe oparte na Conduit: Conduit Engine, uTorrentBar Toolbar, mobilewitch Toolbar i XfireXO Toolbar.

 

3. Do oceny nowe logi z OTL opcji Skanuj + ten powstały z usuwania. Dodatkowo, dorzucić eksport rejestru tego klucza:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\active setup\installed components

 

 

 

 

.

Edytowane przez picasso
Odnośnik do komentarza

Skrypt przetworzył co trzeba. Na dodatek niewiarygodne wprost wyniki z czyszczenia lokalizacji tymczasowych (około 20 GIGA tempów poleciało).

 

Total Files Cleaned = 22 786,00 mb

Było:

 

Drive C: | 232,88 Gb Total Space | 1,10 Gb Free Space | 0,47% Space Free | Partition Type: NTFS

Jest:

 

Drive C: | 232,88 Gb Total Space | 21,21 Gb Free Space | 9,11% Space Free | Partition Type: NTFS

 

W podanym kluczu Active Setup jest wpis od "servera":

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CBFE80JN-HVN0-8VB4-00HC-30164JIPYM6H}]

"StubPath"="C:\\Documents and Settings\\Jasiek.OPTIMUS-E8F663A\\Dane aplikacji\\spynet\\server.exe Restart"

 

1. Drobnostki do sprzątnięcia w OTL (ów powyższy zapis, resztki po paskach narzędziowych i klika innych detali). Zamknąć Liska, uruchomić OTL i w sekcji Własne opcje skanowania / skrypt wkleić:

 

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "MobileWitch"
FF - prefs.js..extensions.enabledItems: {fcbf663e-8530-46f8-a880-ac5abe9d2b23}:2.5.6.0
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2
[2010-11-21 12:26:40 | 000,000,000 | ---D | M] (XfireXO) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}
[2010-12-11 21:02:17 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
[2010-04-13 15:18:53 | 000,000,000 | ---D | M] (mobilewitch Toolbar) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\{fcbf663e-8530-46f8-a880-ac5abe9d2b23}
[2010-12-11 21:02:18 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\extensions\engine@conduit.com
[2010-04-13 15:19:28 | 000,000,883 | ---- | M] () -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\Mozilla\Firefox\Profiles\kg6izoq0.default\searchplugins\conduit.xml
[2011-02-15 17:16:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jasiek.OPTIMUS-E8F663A\Dane aplikacji\PriceGong
O18 - Protocol\Handler\AutorunsDisabled - No CLSID value found
O18 - Protocol\Filter\AutorunsDisabled - No CLSID value found
O20 - Winlogon\Notify\AtiExtEvent: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CBFE80JN-HVN0-8VB4-00HC-30164JIPYM6H}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt]
"Start"=dword:00000004

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Należy zająć się tym przestarzałym F-Secure (w domyśle: deinstalacja i wymiana czymś nowoczesnym).

 

3. Jak się ma sprawa z instalacją SP3? Próbowałeś tipy z artykułu?

 

 

 

 

.

Odnośnik do komentarza
W podanym kluczu Active Setup jest wpis od "servera":

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CBFE80JN-HVN0-8VB4-00HC-30164JIPYM6H}]

"StubPath"="C:\\Documents and Settings\\Jasiek.OPTIMUS-E8F663A\\Dane aplikacji\\spynet\\server.exe Restart"

 

Nie bardzo wiem, o co chodzi z tym kluczem. U mnie komp jest odłączony od sieci w czasie pracy OTL.

 

Należy zająć się tym przestarzałym F-Secure (w domyśle: deinstalacja i wymiana czymś nowoczesnym).

 

Usunięty.

 

Skrypt przetworzył co trzeba. Na dodatek niewiarygodne wprost wyniki z czyszczenia lokalizacji tymczasowych (około 20 GIGA tempów poleciało).

 

Tak widziałem to od początku. Dane z C zostały przekopiowane na dysk X i Z. Ciężko szło kopiowanie, część została usunięta. Wykonałem defragmentacje.

Jak się ma sprawa z instalacją SP3? Próbowałeś tipy z artykułu?

 

 

SP3 zainstalowany. Obyło się bez problemów. Miałem w zanadrzu inny pomysł, ale nie musiałem go wykorzystać.

 

Dziękuje serdecznie za pomoc. I jeszcze raz przepraszam za opóźnienia w temacie.

 

Pozdrawiam

 

 

 

Odnośnik do komentarza

1. To do aktualizacji (KLIK):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20

"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

2. Po wszystkim należy jeszcze wywołać Sprzątanie w OTL oraz wyczyścić foldery Przywracania systemu. Instrukcje oczywiście w przyklejonym (KLIK).

 

 

Nie bardzo wiem, o co chodzi z tym kluczem. U mnie komp jest odłączony od sieci w czasie pracy OTL.

 

Tylko go pokazuję, że był w rejestrze i wstawiła go infekcja. A jak widać w skrypcie OTL, klucz ten usuwałam .... Nie rozumiem co masz na myśli z "odłączony od sieci w czasie pracy OTL", co to ma wspólnego z tym wynikiem rejestru?

 

 

 

.

Odnośnik do komentarza
Tylko go pokazuję, że był w rejestrze i wstawiła go infekcja. A jak widać w skrypcie OTL, klucz ten usuwałam .... Nie rozumiem co masz na myśli z "odłączony od sieci w czasie pracy OTL", co to ma wspólnego z tym wynikiem rejestru?

 

Nie dogadaliśmy się. Nie wiedziałem, że ten klucz jest wynikiem infekcji.

Po wszystkim należy jeszcze wywołać Sprzątanie w OTL oraz wyczyścić foldery Przywracania systemu. Instrukcje oczywiście w Przyklejonym

 

Zrobione.

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20

"{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

 

Zaraz wykonam.

 

Odnośnik do komentarza
Nie dogadaliśmy się. Nie wiedziałem, że ten klucz jest wynikiem infekcji.

 

Na samym początku wskazałam, że plik server.exe (w katalogach spynet) jest od infekcji i podałam link opisowy (KLIK), który wprawdzie ma pewne niuanse, ale widać że to jest dokładnie ten sam rodzaj. Dlatego prosiłam o eksport rejestru tego szczególnego klucza Active Setup, bo oczekiwałam, że tam jest kolejny fragment tej infekcji (OTL domyślnie nie wykonuje skanu tego miejsca) i tak też się okazało. Ostatnie moje działanie zlikwidowało klucz.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...