Blank window2 i hello4 nie pozwalające zamknąć komputera

[jiyne]

Witam,

 

Od dwoch dni mam nastepujacy problem - w trakcie logowania uzytkownika w win xp, przez chwile migaja mi okienka - tak jakby otwierane i natychmiast zamykane - z tytulem Blank window2. W trakcie pracy na komputerze od czasu do czasu mignie mi takie okienko.

 

Jednoczesnie, przy probie zamkniecia badz restartu komputera pojawia sie komunikat ze program hello4 musi byc zamkniety - wcisniecie guzika 'end now' wylacza okienko dialogowe na chwile po czym pojawia sie ono na nowo. Efektywnie komputer mozna wylaczyc tylko guzikiem power on/off.

 

Na forum widzialem podobny przypadek, jednak metoda rozwiazania jest chyba personalizowana dla kazdego komputera - link na tym forum https://www.fixitpc.pl/topic/4752-blank-window2-hello4/

 

Probowalem juz znalezc i usunac problem:

Kaspersky Virus removal tool 2011 i Malwarebytes' Anti-Malware - zaden z programow nic nie wyskanowal.

 

Prosze o pomoc i pozdrawiam,

 

Jiyne

gmer.txt

OTL.Txt

Extras.Txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\WINDOWS\tasks\At*.job
 
:OTL
IE - HKU\S-1-5-21-3763034071-1641324117-2643573331-500\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\scriptsn.dll (McAfee, Inc.)
O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - Reg Error: Value error. File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

[jiyne]

Zrobione, nowy log w zalaczeniu.

OTL.Txt

[Landuss]

Infekcja wygląda na usuniętą. Do wykonania czynności końcowe.

 

1. Użyj opcji Sprzątanie w OTL.

 

2. System nie ma pliku HOSTS, odbuduj go. Wklej do Notatnika tekst:

 

127.0.0.1 localhost

Plik zapisz jako HOSTS (bez żadnego rozszerzenia) i umieść w katalogu C:\Windows\system32\drivers\etc

 

3. Wykonaj ważne aktualizacje IE, Java i Adobe Reader: KLIK.

 

4. Opróżnij folder Przywracania systemu: KLIK.

 

 

.

[jiyne]

Niestety na punkcie 1 pojawil sie problem - OTL nie byl w stanie zresetowac komputer poniewaz pojawilo sie okienko o zamykaniu programu hello4, ktore wyskakiwalo co chwila, mimo wciskania klawisza"End now"

 

Z ciekawych rzeczy: pojawily sie procesy o dziwnej nazwie 1pR4583SV.com i exe i mnoza sie

 

Dodatkowo niektore procesy wystepuja podwojnie - roznia sie minimalnie nazwa, (po nazwie dodana jest spacja) np.: Appoint.exe i Appoint .exe

 

Update: przygladam sie procesom caly dzien i wyglada na to ze w momencie w ktorym odpalaja sie okienka, uruchamia sie tez jednoczesnie proces 1pR4583SV.com, 1pR4583SV.exe i udaterui[spacja].exe - mam nadzieje ze to pomoze

OTL.Txt

Edytowane 8 Sierpnia 2011 przez picasso
Posty połączone. //picasso

[jiyne]

Szybkie pytanko - czy jest szansa cos z tym zrobic, czy musze przygotowac sie do formatowania dysku?

[picasso]

Szybkie pytanko - czy jest szansa cos z tym zrobic, czy musze przygotowac sie do formatowania dysku?

 

Nikt nie odpowiedział szybko, bo my też robimy sobie wolne lub z powodów osobistych nie jesteśmy w stanie tu grasować 24/7. Ja dziś dopiero mam więcej czasu, by przyjrzeć się odłożonym problemom.

 

Ostatnia dostarczona tu zawartość OTL potwierdza co mówisz: na nowo rozmnożenie zadań harmonogramu typu AT*.JOB i plików rodzaju 1pR4583SV.com. A skoro nastąpił nawrót, to albo albo: ponownie uruchomiłeś coś co to odtwarza lub jest w systemie dodatkowy składnik nie pokazywany przez OTL. Proszę uruchom zgodnie z wytycznymi narzędzie ComboFix i zaprezentuj wyniki jego pracy.

 

 

 

.

[jiyne]

Nikt nie odpowiedział szybko, bo my też robimy sobie wolne lub z powodów osobistych nie jesteśmy w stanie tu grasować 24/7.

 

Najmocniej przepraszam, byc moze zle to wyrazilem - nie bardzo znam sie w temacie i myslalem ze moze tej infekcji nie da sie usunac, stad moje pytanie .

 

W zalaczeniu log z combofixa.

 

W trakcie dzialania combo fixa - bardzo czesto wyskakiwalo okienko: system cannot find NIRKMD i raz Application error: cannot find PEV.exe.

ComboFix.txt

[picasso]

Wyniki w ComboFix wskazują na infekcję Vundo-like w plikach wykonywalnych wszystkich programów Autostartu. Zostały skasowane pliki prawidłowych programów niewątpliwie namierzone jako zainfekowane, bo są widoczne w raporcie charakterystyczne kopie tych plików ze spacjami w nazwie, tworzone właśnie przez infekcję. Ponadto, infekcja się feniksuje, już jest następna kopia zestawu zadań at*.job utworzona.

 

 

1. Otwórz Notatnik i wklej w nim:

 

File::
c:\windows\system32\1pR4583SV.com
 
AtJob::
 
RenV::
c:\program files\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM .exe
c:\program files\Common Files\Java\Java Update\jusched .exe
c:\program files\Dell\Dell ControlPoint\Dell.ControlPoint .exe
c:\program files\Dell\Dell ControlPoint\Security Manager\BcmDeviceAndTaskStatusService .exe
c:\program files\DellTPad\Apoint .exe
c:\program files\IDT\WDM\sttray .exe
c:\program files\Malwarebytes' Anti-Malware\mbam .exe
c:\program files\Malwarebytes' Anti-Malware\mbamgui .exe
c:\program files\McAfee\Common Framework\udaterui .exe
c:\program files\McAfee\VirusScan Enterprise\SHSTAT .exe
c:\program files\Microsoft Office Communicator\communicator .exe
c:\program files\QuickTime\qttask  .exe
c:\program files\Uniblue\RegistryBooster\launcher .exe
c:\program files\Wave Systems Corp\Services Manager\DocMgr\bin\WavXDocMgr .exe

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

2. Przeskanuj system przez Kaspersky Virus Removal Tool. Zapisz z niego raport (w prawym górnym rogu ikonka "kartki" > Detected Threats > do pliku zapisz).

 

3. Uruchom ponownie ComboFix, już bez żadnego skryptu, by przedstawić co on widzi. Dorzuć log z Kasperskiego.

 

Jeśli wyniki będą zadawalające, można będzie zajmować się pierdułkami typu brak pliku HOSTS, bo to wcale nie zostało skorygowane (albo źle wykonałeś akcję poprzednio, albo postarała się o to infekcja).

 

 

 

.

[jiyne]

Wykonane wszystkie kroki.

 

Kaspersky nie wygenerowal nic w logu.

 

Nowy log z combofixa w zalaczeniu. Combofix byl zapuszczony z dzialajacym w tle McAfee - probowalem go wylaczyc ale nie mam pojecia jak - probowalem sposobow podanych na forum combofixa i nic sie nie dzieje - w zwiazku z czym nie wiem co zrobic z udaterui .exe (moze puscic combofixa z safe mode'u?)

 

Pozdrawiam,

Jiyne

ComboFix.txt

[picasso]

Kaspersky nie wygenerowal nic w logu.

 

Czyli skanowanie nie zwróciło żadnych zagrożeń?

 

 

1. Powtórka. Montuj nowy CFScript, tym razem o poniższej zawartości i uruchom w taki sam sposób jak poprzednio.

 

RenV::
c:\program files\McAfee\Common Framework\udaterui .exe

2. Rekonstrukcja pliku HOSTS. Włącz pokazywanie rozszerzeń, by się nie nabrać na ich rzekomy brak w Mój komputer > Narzędzia > Opcje folderów > Widok > odznaczając Ukrywaj rozszerzenia znanych typów plików. Otwórz Notatnik i wklej w nim:

 

127.0.0.1 localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

3. Prezentujesz wynikowy log z ComboFix z punktu 1 oraz nowy log z OTL (Extras nie potrzebuję już).

 

 

 

.

[jiyne]

Czyli skanowanie nie zwróciło żadnych zagrożeń?

 

Kompletnie nic.

 

Wykonalem wszystkie kroki (niestety z wlaczonym McAffee).

 

Zalaczone logi z combofix i otl.

 

Pozdrawiam.

ComboFix.txt

OTL.Txt

[picasso]

Plik HOSTS zrekonstruowany nareszcie. W ComboFix nadal stoi jeden plik ze spacją. A w związku z tym, że ComboFix nie przesuwa go wcale (dwa razy odmówił), tracę pewność czy to jest prawidłowy plik do zamiany:

 

<pre>
c:\program files\McAfee\Common Framework\udaterui .exe
</pre>

... patrząc też na datę modyfikacji tego wejścia Autostartu:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\udaterui.exe" [2009-09-25 136512]

Wejdź do katalogu C:\Program files\McAfee\Common Framework i oba pliki (ten ze spacją i ten bez) rzuć na VirusTotal i podaj czy któryś obudził skanery.

 

 

 

.

[jiyne]

Sprawdzone, zaden z plikow nie wywolal alertow.

[picasso]

1. W takim razie skasuj plik ze spacją z dysku. Również pozbądź się tej nieprawidłowej kopii hosts (prawdopodobnie sam pomyliłeś ścieżki):

 

[2011/08/08 11:04:30 | 000,000,019 | ---- | M] () -- C:\WINDOWS\System32\drivers\hosts

2. MBAM ma uszczerbek usługi. Przeinstaluj go.

 

3. Usuń w prawidłowy sposób ComboFix, co także przeczyści foldery Przywracania systemu. W Start > Uruchom > wklej komendę:

 

"c:\documents and settings\Administrator\Desktop\ComboFix.exe" /uninstall

 

4. Uzupełnij aktualizacje (istotne pod kątem łatania luk), które wyliczał wcześniej Landuss. Ja dorzucę jeszcze od siebie aktualizację 7-zip oraz sprawdzian jaka wersja Adobe Flash jest zainstalowana w Internet Explorer (otwórz stronę Find Flash Player version w IE).

 

Zgłoś się tu po wykonaniu tych akcji z podsumowaniem kondycji systemowej.

 

 

 

.

[jiyne]

Plik udaterui .exe usunalem w safe modzie.

 

Wszystkie kroki powyzej wykonane (z wyjatkiem instalacji nowego IE i Javy, niestety komp jest firmowy ) - i wyglada na to ze problem znikl :D .

 

Serdecznie dziekuje za pomoc

[picasso]

(z wyjatkiem instalacji nowego IE i Javy, niestety komp jest firmowy )

 

To znaczy (de)instalacje są zablokowane? Chodzi tu o prostą aktualizację już posiadanych komponentów, dlatego ja nie widzę co tu może być niewłaściwego na firmowym komputerze.

Edytowane 8 Września 2011 przez picasso
8.09.2011 - Nic nie komentujesz, zamykam. //picasso