bpm Opublikowano 26 Maja 2017 Zgłoś Udostępnij Opublikowano 26 Maja 2017 Dzień dobry, system chodzi bardzo wolno, przeskanowany dwukrotnie za pomocą MBAM, który znalazł m.in. robaka worm.autorun Niestety to jeszcze XP, wiem dobrze że Microsoft zakończył wsparcie dla XP (wsparcie dla Office 2007, który jest na tym komputerze jeszcze jest), ale zauważyłem, że Aktualizacje automatyczne nie działają. Objawy są takie, że nie można otworzyć za pomocą IE strony Windows Update. Nie otwiera się również żadna strona Microsoft w IE. Natomiast podczas próby wyłączenia usługi Aktualizacji automatycznych pojawia się błąd o treści: "Nie można otworzyć usługi wuaaserv do zapisu na komputerze Komputer lokalny. Błąd 5: Odmowa dostępu." Bardzo proszę o pomoc w tym temacie. MBAM1 MBAM2 FRST Addition Shortcut Gmer Odnośnik do komentarza
Miszel03 Opublikowano 26 Maja 2017 Zgłoś Udostępnij Opublikowano 26 Maja 2017 W systemie widać nieciekawe instalacje, po za tym jakieś stare igraszki na powłoce startowej (MBAM chyba nie usunął dobrze tego robaka). Jeśli zaś chodzi o problem z aktualizacjami, stronami to wygląda na to, że łańcuch sieciowy został uszkodzony i wdrążam jego rekonstrukcje. 1. Wyczyść punkty przywracania systemu - KLIK. 2. Przez panel sterowania odinstaluj: Wrapper adware / PUP: Internet Explorer 8 Packages. Sugeruję również pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1935655697-329068152-1417001333-1004\...\Winlogon: [shell] C:\WINDOWS\Explorer.exe [1035264 2008-04-15] (Microsoft Corporation) S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S4 IntelIde; Brak ImagePath C:\Documents and Settings\All Users\Pulpit\Adobe Reader XI.lnk C:\Documents and Settings\All Users\Pulpit\OpenFM.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Liceum klasa 2\Matematyka podstawowa.lnk C:\Documents and Settings\PC\Pulpit\TomTom MyDrive Connect.lnk C:\Documents and Settings\PC\Menu Start\Programy\TomTom\Odinstaluj TomTom MyDrive Connect.lnk C:\Documents and Settings\PC\Menu Start\Programy\TomTom\TomTom MyDrive Connect.lnk CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
bpm Opublikowano 26 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2017 Wykonane zgodnie z zaleceniami. Fixlog Frst Addition Shortcut Odnośnik do komentarza
Miszel03 Opublikowano 27 Maja 2017 Zgłoś Udostępnij Opublikowano 27 Maja 2017 Całość pomyślnie wykonana i od strony infekcyjnej wygląda to już w porządku. Jak podsumowujesz aktualną sytuację? Zastanawiam się tylko nad poniższymi wpisami. Winsock: Catalog9 01 bmnet.dll => Brak pliku Winsock: Catalog9 02 bmnet.dll => Brak pliku Winsock: Catalog9 03 bmnet.dll => Brak pliku Są pomimo zastosowania kompleksowego resetu katalogu. Tutaj mogło dojść do uszkodzenia Zmiennej środowiskowej Patch. Widoczne ścieżki są relatywne. Pokaż mi stan Patch. Kliknij jednocześnie klawisz oraz R. Uruchomi się narzędzie Uruchamianie. W polu ścieżek wpisz cmd i ENTER. Uruchomi się okno konsoli komend. W oknie konsoli wpisz komendę set i ENTER. Skopiuj wynik i zaprezentuj go na forum. Odnośnik do komentarza
bpm Opublikowano 27 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2017 System wyraźnie przyspieszył, jednak w dalszym ciągu IE nie otwiera żadnej strony Microsoft oraz nie można wyłączyć usługi aktualizacji automatycznych. Jeśli chodzi o wpisy Winsock kilka razy po starcie pojawiło się info od blueconnect, że "Winsock został naprawiony, zrestartuj system." Path: Microsoft Windows XP [Wersja 5.1.2600] © Copyright 1985-2001 Microsoft Corp. C:\Documents and Settings\PC>set ALLUSERSPROFILE=C:\Documents and Settings\All Users APPDATA=C:\Documents and Settings\PC\Dane aplikacji CLASSPATH=.;C:\Program Files\Java\jre6\lib\ext\QTJava.zip CommonProgramFiles=C:\Program Files\Common Files COMPUTERNAME=PC-44877CB363D1 ComSpec=C:\WINDOWS\system32\cmd.exe FP_NO_HOST_CHECK=NO HOMEDRIVE=C: HOMEPATH=\Documents and Settings\PC LOGONSERVER=\\PC-44877CB363D1 NUMBER_OF_PROCESSORS=2 OS=Windows_NT Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Program Files\QuickTime\QTSystem\ PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH PROCESSOR_ARCHITECTURE=x86 PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 13, GenuineIntel PROCESSOR_LEVEL=6 PROCESSOR_REVISION=0f0d ProgramFiles=C:\Program Files PROMPT=$P$G QTJAVA=C:\Program Files\Java\jre6\lib\ext\QTJava.zip SESSIONNAME=Console SystemDrive=C: SystemRoot=C:\WINDOWS TEMP=C:\DOCUME~1\PC\USTAWI~1\Temp TMP=C:\DOCUME~1\PC\USTAWI~1\Temp USERDOMAIN=PC-44877CB363D1 USERNAME=PC USERPROFILE=C:\Documents and Settings\PC windir=C:\WINDOWS __COMPAT_LAYER=EnableNXShowUI C:\Documents and Settings\PC> Odnośnik do komentarza
picasso Opublikowano 1 Czerwca 2017 Zgłoś Udostępnij Opublikowano 1 Czerwca 2017 Jest tu kilka uszkodzeń: 1. Po pierwsze, masa plików Microsoftu nie ma podpisu cyfrowego, w tym pliki powiązane z działaniem sieci: ==================== Bamital & volsnap ====================== C:\WINDOWS\system32\services.exe [2008-04-15 14:00] - [2009-02-09 13:25] - 0111104 _____ (Microsoft Corporation) 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\rpcss.dll [2008-04-15 14:00] - [2009-02-09 12:53] - 0401408 _____ (Microsoft Corporation) A37311D9D628C1042A2836731787F0F3 C:\WINDOWS\system32\dnsapi.dll [2008-04-15 14:00] - [2011-03-03 08:55] - 0149504 _____ (Microsoft Corporation) 6599CFCB40329C37282E4E80E813E799 ==================== Usługi (filtrowane) ==================== S4 Browser; C:\WINDOWS\System32\browser.dll [78336 2012-07-06] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Dnscache; C:\WINDOWS\System32\dnsrslvr.dll [45568 2009-04-20] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Eventlog; C:\WINDOWS\system32\services.exe [111104 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 EventSystem; C:\WINDOWS\system32\es.dll [253952 2008-07-07] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 FastUserSwitchingCompatibility; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 LanmanServer; C:\WINDOWS\System32\srvsvc.dll [99840 2010-08-27] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 lanmanworkstation; C:\WINDOWS\System32\wkssvc.dll [132096 2009-06-10] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 Nla; C:\WINDOWS\System32\mswsock.dll [246784 2008-06-20] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 PlugPlay; C:\WINDOWS\system32\services.exe [111104 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 RpcSs; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 ShellHWDetection; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Spooler; C:\WINDOWS\system32\spoolsv.exe [58880 2010-08-17] (Microsoft Corporation) [Brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\System32\shsvcs.dll [135680 2009-07-28] (Microsoft Corporation) [Brak podpisu cyfrowego] ===================== Sterowniki (filtrowane) ====================== R1 AFD; C:\WINDOWS\System32\drivers\afd.sys [138496 2011-08-17] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 HTTP; C:\WINDOWS\System32\Drivers\HTTP.sys [265728 2009-10-20] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 hwusbapp; C:\WINDOWS\System32\DRIVERS\ewusbapp.sys [65152 2006-05-31] (QUALCOMM Incorporated) [Brak podpisu cyfrowego] S3 hwusbser; C:\WINDOWS\System32\DRIVERS\ewusbser.sys [65152 2006-05-31] (QUALCOMM Incorporated) [Brak podpisu cyfrowego] R0 KSecDD; C:\WINDOWS\system32\Drivers\KSecDD.sys [92928 2009-06-24] (Microsoft Corporation) [Brak podpisu cyfrowego] R1 MRxSmb; C:\WINDOWS\System32\DRIVERS\mrxsmb.sys [456320 2011-07-15] (Microsoft Corporation) [Brak podpisu cyfrowego] R0 Mup; C:\WINDOWS\system32\Drivers\Mup.sys [105472 2011-04-21] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 NdisTapi; C:\WINDOWS\System32\DRIVERS\ndistapi.sys [10496 2011-07-08] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 NDProxy; C:\WINDOWS\system32\Drivers\NDProxy.sys [40960 2013-11-27] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 Srv; C:\WINDOWS\System32\DRIVERS\srv.sys [357888 2011-02-17] (Microsoft Corporation) [Brak podpisu cyfrowego] R1 Tcpip; C:\WINDOWS\System32\DRIVERS\tcpip.sys [361600 2008-06-20] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 UIUSys; C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS [6909 2006-06-09] (Conexant Systems, Inc) [Brak podpisu cyfrowego] S3 usbccgp; C:\WINDOWS\System32\DRIVERS\usbccgp.sys [32384 2013-08-09] (Microsoft Corporation) [Brak podpisu cyfrowego] R3 usbehci; C:\WINDOWS\System32\DRIVERS\usbehci.sys [30336 2009-03-18] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 usbscan; C:\WINDOWS\System32\DRIVERS\usbscan.sys [14976 2013-07-03] (Microsoft Corporation) [Brak podpisu cyfrowego] S3 usb_rndisx; C:\WINDOWS\System32\DRIVERS\usb8023x.sys [12928 2013-02-12] (Microsoft Corporation) [Brak podpisu cyfrowego] Ten odczyt może oznaczać uszkodzenie plików lub uszkodzenie bazy podpisów cyfrowych (Catroot lub Catroot2). 2. Po drugie, uszkodzony Winsock (brak pliku Bytemobile). Winsock: Catalog9 01 bmnet.dll => Brak pliku Winsock: Catalog9 02 bmnet.dll => Brak pliku Winsock: Catalog9 03 bmnet.dll => Brak pliku Wpisy mogą być nadal pomimo resetu Winsock ponieważ procesy Bytemobile są aktywne i mogą przywracać te wejścia. O ile Winsock można próbować reperować poprzez przeinstalowanie Bytemobile, to większy problem jest tu z plikami Microsoftu. Przy założeniu, że to pliki per se są uszkodzone a nie Catroot2, naprawa ręczna zdaje się tu być nieopłacalna - musi być uruchomiony ogólny system sprawdzania i podstawiania plików MS, czyli albo sfc /scannow (na XP jest to słaby system) albo reperacja nakładkowa systemu. Za bazę naprawczą muszą być wzięte pliki z SP3, by zachować podstawową zgodność. Te procesy i tak wyzerują aktualizacje nowsze niż SP3. Odnośnik do komentarza
bpm Opublikowano 1 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2017 Dziękuję bardzo za porady. Temat uważam za zakończony. Pozdrawiam. Odnośnik do komentarza
Rekomendowane odpowiedzi