Pasek narzędzi zawieszony przez kilka minut, Office nie działa - za mało pamięci

[griegij]

Witam

Tak jak w temacie, proszę o pomoc ponieważ nie mogę uporać się z tymi kilkoma problemami od jakiegoś tygodnia(jest coraz gorzej=])

Zaczęło się od tego, że po starcie windowsa wszystko się uruchamiało ale pasek narzędzi był "zacięty". Pogorszyło się kiedy wraz z paskiem narzędzi o kilka minut opóźniał się dostęp do internetu(tak jakby sterowniki coś przetrzymywało). Użyłem tego i owego(auslogic boost speed-optymalizacja wszystkiego, quick sys registry cleaner, combofix, i kilku innych mniejszych programików) ....przestał działać office (word- za mało pamięci lub miejsca na dysku, exel- leksykon (XLLEX.DDL) jest uszkodzony bądź niedostępny). Próbowałem zatem konsoli odzyskiwania windows xp service pack3 ,zanim się załaduje wyskakuje niebieski ekran STOP 0000007b.

 

Aha i do tego przerywa pobieranie plików.(w tym samym momencie wyskakuje informacja, że kaspersky się zawiesił...)

 

Nie mam już pomysłów.

 

 

Results of screen317's Security Check version 0.99.18

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

Kaspersky Internet Security 2011

Antivirus up to date!

```````````````````````````````

Anti-malware/Other Utilities Check:

CCleaner

Quicksys RegCleaner 2009 (Build 209)

Java 6 Update 24

Out of date Java installed!

Adobe Flash Player 10.3.181.26

Adobe Reader X (10.1.0)

Mozilla Firefox (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Kaspersky Lab Kaspersky Internet Security 2011 avp.exe

``````````End of Log````````````

OTL.Txt

Extras.Txt

[picasso]

Temat przenoszę do działu Malware, gdyż sprawa infekcji, która na 100% rezydowała w systemie, nie jest ukończona. Są te szczątki sterowników infekcji:

 

DRV - File not found [Kernel | On_Demand | Running] --  -- (xpsec)
DRV - File not found [Kernel | On_Demand | Running] --  -- (xcpip)

Owe sterowniki chodzą w układzie z rookitem MBR dysku, który tu gościł, bo są autoryzacje w zaporze charakterystyczne dla tego rootkita:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
"65533:TCP" = 65533:TCP:*:Enabled:Services
"52344:TCP" = 52344:TCP:*:Enabled:Services
"2519:TCP" = 2519:TCP:*:Enabled:Services
"3538:TCP" = 3538:TCP:*:Enabled:Services
"7051:TCP" = 7051:TCP:*:Enabled:Services
"6473:TCP" = 6473:TCP:*:Enabled:Services
"6036:TCP" = 6036:TCP:*:Enabled:Services
"5911:TCP" = 5911:TCP:*:Enabled:Services
"7692:TCP" = 7692:TCP:*:Enabled:Services
"7458:TCP" = 7458:TCP:*:Enabled:Services
"6395:TCP" = 6395:TCP:*:Enabled:Services
"6051:TCP" = 6051:TCP:*:Enabled:Services
"9067:TCP" = 9067:TCP:*:Enabled:Services
"8239:TCP" = 8239:TCP:*:Enabled:Services
"3817:TCP" = 3817:TCP:*:Enabled:Services
"1631:TCP" = 1631:TCP:*:Enabled:Services
"1762:TCP" = 1762:TCP:*:Enabled:Services
"80:TCP" = 80:TCP:*:Enabled:Services
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop
"65533:TCP" = 65533:TCP:*:Enabled:Services
"52344:TCP" = 52344:TCP:*:Enabled:Services
"2519:TCP" = 2519:TCP:*:Enabled:Services
"3538:TCP" = 3538:TCP:*:Enabled:Services
"7051:TCP" = 7051:TCP:*:Enabled:Services
"6473:TCP" = 6473:TCP:*:Enabled:Services
"6036:TCP" = 6036:TCP:*:Enabled:Services
"5911:TCP" = 5911:TCP:*:Enabled:Services
"7692:TCP" = 7692:TCP:*:Enabled:Services
"7458:TCP" = 7458:TCP:*:Enabled:Services
"6395:TCP" = 6395:TCP:*:Enabled:Services
"6051:TCP" = 6051:TCP:*:Enabled:Services
"9067:TCP" = 9067:TCP:*:Enabled:Services
"8239:TCP" = 8239:TCP:*:Enabled:Services
"3817:TCP" = 3817:TCP:*:Enabled:Services
"1631:TCP" = 1631:TCP:*:Enabled:Services
"1762:TCP" = 1762:TCP:*:Enabled:Services

Ponadto, nie do końca wyczyszczona infekcja przejmująca EXE, pozostały po niej te pliki:

 

[2011-04-22 16:12:53 | 000,001,492 | -HS- | C] () -- C:\Documents and Settings\Dominik\Ustawienia lokalne\Dane aplikacji\id5r608u0y766487y835r86i12c32u8
[2011-04-22 16:12:53 | 000,001,492 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\id5r608u0y766487y835r86i12c32u8

Napawa niepokojem stan autoryzacji i czy rootkit w MBR nadal jest. Poproszę o logi dodatkowe: log z GMER oraz raport utworzony przy pierwszym uruchamianiu ComboFix (nie uruchamiaj narzędzia ponownie, chodzi o raport który powstał w tamtym czasie = C:\ComboFix.txt). Przed uruchomieniem GMER jest obowiązkiem wykonać ogłoszenie na temat emulacji napędów KLIK, deinstalując program emulacyjny + sterownik SPTD aktualnie widoczny jako czynny:

 

DRV - [2009-10-24 22:11:07 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

 

Zaczęło się od tego, że po starcie windowsa wszystko się uruchamiało ale pasek narzędzi był "zacięty". Pogorszyło się kiedy wraz z paskiem narzędzi o kilka minut opóźniał się dostęp do internetu(tak jakby sterowniki coś przetrzymywało). (...) Aha i do tego przerywa pobieranie plików.(w tym samym momencie wyskakuje informacja, że kaspersky się zawiesił...)

 

Jeśli nie zdefiniuję tu czynnej infekcji, równie dobrze można podejrzewać Kasperskiego per se. Mocny soft oparty o sterowniki działające niskopoziomowo.

 

 

Użyłem tego i owego(auslogic boost speed-optymalizacja wszystkiego, quick sys registry cleaner, combofix, i kilku innych mniejszych programików) ....przestał działać office (word- za mało pamięci lub miejsca na dysku, exel- leksykon (XLLEX.DDL) jest uszkodzony bądź niedostępny).

 

Umieszczenie ComboFix w tym układzie to zbrodnia, to nie jest narzędzie naprawcze tego rodzaju, służy tylko do usuwania określonych infekcji i nie powinno się go uruchamiać na własną rękę (KLIK). Na temat pozostałych: kiedy te błędy Office wystąpiły, przed czy po używaniu "registry cleanera"?

 

 

Próbowałem zatem konsoli odzyskiwania windows xp service pack3 ,zanim się załaduje wyskakuje niebieski ekran STOP 0000007b.

 

Jeśli dysk SATA ustawiony w takim trybie pracy, nie przejdzie CD XP (ani moja Konsola(fixitpc.pl).iso pobrana przez Ciebie) i pojawia się BSOD o wymienianym tu kodzie. (Archaiczne) płyty XP w stadium naturalnym są pozbawione sterowników SATA i nie potrafią wykryć dysków. By to się nie działo, jest wymagana jedna z tych akcji: w BIOS przestawić tymczasowo tryb pracy dysków na "zwyczajne IDE" lub podczas rozruchu płyty F6 i na pendrive podać rozebrane stery SATA lub zrobić nową CD XP ze zintegrowanymi sterownikami SATA.

 

Poza tym: jakie konkretnie zamiary chciałeś realizować w Konsoli?

 

 

 

.

[griegij]

Witam,

jestem twoim wielkim fanem!

umiejętność analizy tych wszystkich skanów robi wrażenie.

 

Konsolą chciałem próbować naprawić resztę problemów. Ale rozumiem, że jeśli są to infekcje wiele bym nie wskórał.

Błędy office powstały po registrycleanerze i combofixie.

 

Dzięki za poświęcony czas, to mój pierwszy post na fixitpc.

 

Pozdrawiam

gmer.txt

ComboFix.txt

[picasso]

Błędy office powstały po registrycleanerze i combofixie.

 

Być może za dużo usunąłeś przy czyszczeniu rejestru .... Jeśli nie masz kopii zapasowej z registry cleanera, to jawi mi się reinstalacja pakietu Officu. Ale na razie to zostaw, bo system ma niejasny status i musimy tu jeszcze korygować sprawy infekcyjne.

 

1. Odczyty w GMER są podejrzane, proszę o kolejny raport porównawczy co widzi na temat infekcji w MBR Kaspersky TDSSKiller. Jeśli narzędzie cokolwiek wykryje, nic nie usuwaj i przyznaj wszystkim wynikom akcję Skip, podaj raport końcowy.

 

2. Dodatkowo, ComboFix usuwał sterownik cpuxp. Ta infekcja rekonfiguruje ścieżkę folderu powłoki Autostart. Zaprezentuj co jest aktualnie w rejestrze. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, a w oknie Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

 

 

.

[griegij]

Proszę bardzo:

TDSSKiller.2.5.15.0_11.08.2011_20.43.28_log.txt

OTL1.Txt

[picasso]

TDSSKiller potwierdza infekcję w MBR:

 

2011/08/11 20:43:45.0578 5916	Detected object count: 1
2011/08/11 20:43:45.0578 5916	Actual detected object count: 1
2011/08/11 20:44:01.0109 5916	Backdoor.Win32.Sinowal.knf(\Device\Harddisk0\DR0) - User select action: Skip 

Również, zgodnie z moim podejrzeniem na temat usuwanego sterownika cpuxp, jest przekonfigurowana wartość Startup na folder infekcji:

 

"Startup" = C:\Documents and Settings\All Users\My applications -- [2010-11-24 14:02:57 | 000,000,000 | ---D | M]

 

1. Uruchom Kasperskiego ponownie, ale tym razem dla wyniku Backdoor.Win32.Sinowal.knf zastosuj akcję czyszczenia domyślnie proponowaną przez narzędzie i zresetuj komputer.

 

2. Po restarcie przeprowadź dodatkowe czyszczenie innych fragmentów infekcji (i drobnych szczątków AVG). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Running] --  -- (xpsec)
DRV - File not found [Kernel | On_Demand | Running] --  -- (xcpip)
O37 - HKU\S-1-5-21-606747145-1035525444-1801674531-1003\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2011-04-22 16:12:53 | 000,001,492 | -HS- | C] () -- C:\Documents and Settings\Dominik\Ustawienia lokalne\Dane aplikacji\id5r608u0y766487y835r86i12c32u8
[2011-04-22 16:12:53 | 000,001,492 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\id5r608u0y766487y835r86i12c32u8
FF - prefs.js..extensions.enabledItems: {1E73965B-8B48-48be-9C8D-68B920ABC1C4}:10.0.0.1209
[2011-07-21 09:50:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVG10
[2010-11-24 13:34:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dominik\Dane aplikacji\AVG10
@Alternate Data Stream - 1250 bytes -> C:\Program Files\Common Files\System:bkkQncPy66eXxxMtzPYLpGwvQRj8oF
@Alternate Data Stream - 1234 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:knrWgWesqoyxlu81R86M
@Alternate Data Stream - 1205 bytes -> C:\Program Files\Common Files\System:iaHhozBpHOW3T13yVjfxY2Eqn
@Alternate Data Stream - 1137 bytes -> C:\Program Files\Common Files\Microsoft Shared:olMOwcj77DcUy7jJSANm7bDO
@Alternate Data Stream - 1131 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Microsoft:DJfzALVegwTEdVbOLD
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"Startup"=hex(2):"%USERPROFILE%\Menu Start\Programy\Autostart"
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System będzie restartował i otrzymasz log z usuwania.

 

3. Generujesz nowa serię logów: GMER + Kaspersky TDSSKiller + OTL (wszystkie opcje ustawione na Użyj filtrowania + wklej do skanu ten klucz co poprzednio i klik w Skanuj). Dołącz też log z wynikami usuwania z punktu 2.

 

 

 

 

.

[griegij]

ŁaŁ...

Po skasowaniu rootkita TDSSKillerem uruchamianie się komputera wróciło do normy.

Dziękuje za pomoc.

08112011_233704 otl.txt

OTLskan.Txt

TDSSKiller.2.5.15.0_11.08.2011_23.44.01_log.txt

gmer1.txt

[picasso]

Wszystko prawidłowo wykonane i nie notuję już żadnych znaków infekcji. W GMER są ślady po rootkicie, ale to są nieczynne trasy, które zawsze zostają po czyszczeniu MBR. Nie wymagają interwencji.

 

1. Uporządkuj po używanych narzędziach, dokładnie w tej kolejności:

 

• Odinstaluj w prawidłowy sposób ComboFix (co także czyści foldery Przywracania systemu), w Start > Uruchom > wklejając komendę:
  "c:\documents and settings\Dominik\Moje dokumenty\Downloads\ComboFix.exe" /uninstall
  
• W OTL uruchom Sprzątanie, co skasuje z dysku składniki OTL/Avenger/TDSSKiller.
  

2. Dla własnego bezpieczeństwa zmień hasła logowania w serwisach.

 

3. Aktualizacje oprogramowania:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java™ 6 Update 24
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)
"Nowe Gadu-Gadu" = Nowe Gadu-Gadu
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-606747145-1035525444-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome

- Podstawy aktualizacje w/w oprogramowania opisane tutaj: INSTRUKCJE.

- (Opcjonalnie) proponuję zamianę kulawego NGG alternatywą. W temacie Darmowe komunikatory poczytaj opisy: AQQ, Kadu, WTW i Miranda. Osobiście polecam WTW (zaimportuje archiwum oryginału).

 

 

Pozostaje ta kwestia:

 

 

....przestał działać office (word- za mało pamięci lub miejsca na dysku, exel- leksykon (XLLEX.DDL) jest uszkodzony bądź niedostępny) (...) Błędy office powstały po registrycleanerze i combofixie.

 

Te objawy, jak sądzę, nadal występują? Jeśli tak, proponuję zmierzać w kierunku kompleksowej reinstalacji całego Office: normalna deinstalacja w kombinacji z narzędziem Fixit z artykułu KB290301 dopasowanym do Office 2007. Zgłoś się tu z wynikami operacji.

 

 

 

.

[griegij]

Wykonałem wszystkie opisane wyżej czynności, wszystko działa jak należy.

Przeinstalowałem Office'a, zaczął działać normalnie.

 

Bardzo dziękuję za pomoc.

Sam bym sobie nie poradził.

 

Pozdrawiam Ciebie Picasso i całą ekipę FixitPC!