Pusty menedżer urządzeń

[Pawel89]

Witam,

 

Na siostry laptopie występuje problem z pustym menedżerem urządzeń, podejrzewam, że jest to wina jakiejś infekcji, która może pochodzić z tego pliku C:\Users\Ola\Downloads\sprawdzian_z_niemieckiego_2a_aha_s%C5%82ownictwo.exe.

Wykonałem przywracanie systemu do stanu z przed miesiąca, ale nie pomogło.

Pełny skan Nortonem nic nie wykrył.

Mbam i DrWeb coś znalazły, ale nic nie usuwałem.

 

Mbam:

C:\Users\Ola\Downloads\CorelDRAW_Graphics_Suite.exe (Trojan.StartPage) -> Nie wykonano akcji.

C:\Users\Ola\Downloads\Gimp(Pobierz.pl).exe (Trojan.StartPage) -> Nie wykonano akcji.

C:\Users\Ola\Downloads\SoftonicDownloader_dla_gimp-painter.exe (PUP.ToolbarDownloader) -> Nie wykonano akcji.

C:\Users\Ola\Downloads\sprawdzian_z_niemieckiego_2a_aha_s%C5%82ownictwo.exe (Trojan.Dropper) -> Nie wykonano akcji.

 

DrWeb:

otl.exe c:\users\ola\desktop Trojan.Siggen4.6108

otl.exe c:\users\ola\desktop Trojan.Siggen4.6108

OTL.exe C:\Documents and Settings\Ola\Desktop Trojan.Siggen4.6108

OTL.exe C:\Documents and Settings\Ola\Downloads Trojan.Siggen4.6108

SoftonicDownloader_dla_gimp-painter.exe C:\Documents and Settings\Ola\Downloads Adware.Downware.235

sprawdzian_z_niemieckiego_2a_aha_s%C5%82ownictwo.exe\data002 C:\Documents and Settings\Ola\Downloads\sprawdzian_z_niemieckiego_2a_aha_s%C5%82ownictwo.exe Adware.TorrentClient.20

sprawdzian_z_niemieckiego_2a_aha_s%C5%82ownictwo.exe C:\Documents and Settings\Ola\Downloads Kontener zawiera zainfekowane obiekty

iplapreinstaller.exe C:\Program Files (x86)\Gadu-Gadu 10 Trojan.Inject.62001

OTL.exe C:\Users\Ola\Desktop Trojan.Siggen4.6108

OTL.exe C:\Users\Ola\Downloads Trojan.Siggen4.6108

SoftonicDownloader_dla_gimp-painter.exe C:\Users\Ola\Downloads Adware.Downware.235

sprawdzian_z_niemieckiego_2a_aha_s%C5%82ownictwo.exe\data002 C:\Users\Ola\Downloads\sprawdzian_z_niemieckiego_2a_aha_s%C5%82ownictwo.exe Adware.TorrentClient.20

sprawdzian_z_niemieckiego_2a_aha_s%C5%82ownictwo.exe C:\Users\Ola\Downloads Kontener zawiera zainfekowane obiekty

 

 

Pozdrawiam.

Extras.Txt

OTL.Txt

[picasso]

Temat przenoszę do działu Windows. Wyniki ze skanerów: albo bez znaczenia, albo fałszywe alarmy (np. OTL wykryty jako "trojan"). W logach z OTL brak oznak infekcji, tylko śmieci adware są (v9 / Ask Toolbar / Softonic Toolbar), ale to nie ma żadnego związku z problemem głównym. W spoilerze instrukcje doczyszczenia tego.

 

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..keyword.URL: "http://search.softonic.com/MON00084/tb_v1?SearchSource=2&cc=&q="
[2012/03/25 15:20:57 | 000,000,000 | ---D | M] (Softonic Toolbar) -- C:\Users\Ola\AppData\Roaming\mozilla\Firefox\Profiles\7tnxx6fp.default\extensions\ffxtlbra@softonic.com
[2012/04/05 21:45:47 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Ola\AppData\Roaming\mozilla\Firefox\Profiles\7tnxx6fp.default\extensions\toolbar@ask.com
[2012/01/03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\7tnxx6fp.default\searchplugins\askcom.xml
[2012/03/25 15:20:48 | 000,002,060 | ---- | M] () -- C:\Users\Ola\AppData\Roaming\Mozilla\Firefox\Profiles\7tnxx6fp.default\searchplugins\softonic.xml
[2012/03/25 15:31:42 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
O4 - HKLM..\Run: []  File not found
O2 - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{67A2568C-7A0A-4EED-AECC-B5405DE63B64}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0C8A341C-117D-4153-8531-FEC4A35D1C0E}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{C6A9FF07-B4E4-47E3-A548-F14FE8974E5E}]
 
:Files
C:\Users\Ola\AppData\Local\Temp*.html
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. Po tym zastosuj Sprzątanie w OTL.

 

2. Przejdź do Panelu sterowania i odinstaluj: Ask Toolbar, Ask Toolbar Updater, Softonic toolbar on IE and Chrome.

 

3. Użyj AdwCleaner z opcji Delete. Gdy ukończy, użyj Uninstall.

 

 

 

 

 

Na siostry laptopie występuje problem z pustym menedżerem urządzeń

 

1. Zwykle przyczyną jest wyłączona usługa Plug and Play. Wprawdzie w logu z OTL usługa ta nie jest widoczna ze statusem "Disabled", ale mimo wszystko sprawdź jej status wprost w przystawce usług services.msc: usługa ma mieć Typ uruchomienia Automatyczny + Stan Uruchomiono.

 

2. W Dzienniku zdarzeń pojawił się odczyt:

 

Error - 6/14/2012 8:10:28 AM | Computer Name = Ola-Komputer | Source = Ntfs | ID = 262199
Description = Struktura systemu plików na dysku jest uszkodzona i nie nadaje się
 do użytku.  Uruchom narzędzie chkdsk na woluminie .

 

Wykonaj sprawdzanie dysku. Na wszelki wypadek również weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Przedstaw wynikowy log.

 

3. Jest notowany błąd "Odmowa dostępu" dla usługi Zapory:

 

Error - 6/12/2012 10:57:33 AM | Computer Name = Ola-Komputer | Source = Service Control Manager | ID = 7024
Description = Usługa Zapora systemu Windows zakończyła działanie; wystąpił specyficzny
 dla niej błąd %%5.

 

Wykonaj rekonstrukcję uprawnień Zapory przez SetACL wg kroków z: KLIK.

 

4. Dodatkowo, nieaktualizowany system:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)

 

Gdy uporasz się z podstawowymi problemami, do wykonania pełna aktualizacja Windows: KLIK.

 

 

 

 

.

[Pawel89]

1. Zwykle przyczyną jest wyłączona usługa Plug and Play. Wprawdzie w logu z OTL usługa ta nie jest widoczna ze statusem "Disabled", ale mimo wszystko sprawdź jej status wprost w przystawce usług services.msc: usługa ma mieć Typ uruchomienia Automatyczny + Stan Uruchomiono.

Sprawdziłem status usługi i jest typ uruchomienia automatyczny i stan uruchomiono.

 

Wykonaj sprawdzanie dysku.

CHKDSK sprawdza pliki (poziom 1 z 3)

Przetworzone rekordy plików: 246528.

Ukończono sprawdzanie plików.

Przetworzone rekordy dużych plików: 525.

Przetworzone rekordy uszkodzonych plików: 0.

Przetworzone rekordy atrybutów rozszerzonych: 0.

Przetworzone rekordy ponownej analizy: 62.

CHKDSK sprawdza indeksy (poziom 2 z 3)

Przetworzone wpisy indeksu: 319900.

Ukończono weryfikację indeksów.

Program CHKDSK skanuje nieindeksowane pliki w celu powiązania ich z katalogiem p

ierwotnym.

Wykryto oddzielony plik pt-PT (88408), powinien on zostać odzyskany do pliku kat

alogów 2928.

Przeskanowane pliki nieindeksowane: 3.

Wykryto oddzielony plik 3C120A~1.CDF (147636), powinien on zostać odzyskany do p

liku katalogów 9834.

Wykryto oddzielony plik 3c120a46d66fcc01e32a0000bc151c05.$$_resources_fbee56ab04

8ab239.cdf-ms (147636), powinien on zostać odzyskany do pliku katalogów 9834.

Program CHKDSK odzyskuje pozostałe nieindeksowane pliki.

Odzyskane pliki nieindeksowane: 1.

CHKDSK sprawdza deskryptory zabezpieczeń (poziom 3 z 3)

Przetworzone deskryptory zabezpieczeń/identyfikatory plików: 246528.

Ukończono sprawdzanie deskryptorów zabezpieczeń.

Przetworzone pliki danych: 36687.

Trwa sprawdzanie dziennika Usn...

Przetworzone bajty numerów USN: 35540728.

Zakończono sprawdzanie poprawności dziennika Usn.

Atrybut BITMAP głównej tabeli plików (MFT) jest niepoprawny.

Mapa bitowa woluminu jest niepoprawna.

System Windows znalazł problemy z systemem plików.

Aby je poprawić, uruchom program CHKDSK z opcją /F (naprawa).

 

158334975 KB całkowitego miejsca na dysku.

49138912 KB w 175216 plikach.

118796 KB w 36689 indeksach.

0 KB w uszkodzonych sektorach.

354035 KB używanych przez system.

65536 KB zajętych przez plik dziennika.

108723232 KB dostępnych na dysku.

 

4096 bajtów w każdej jednostce alokacji.

39583743 ogółem jednostek alokacji na dysku.

27180808 jednostek alokacji dostępnych na dysku.

 

 

Na wszelki wypadek również weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow

Funkcja Ochrona zasobów systemu Windows nie znalazła naruszeń integralności.

 

Log dla znaczników SR w załączniku.

 

Wykonaj rekonstrukcję uprawnień Zapory przez SetACL

Wykonano.

 

 

Przy aktualizacji systemu wystąpił problem, przy instalacji z pliku windows6.1-KB976932-X64 wystąpił błąd: 0x800f081f, a przy próbie instalacji przez Windows Update: kod 800B0100 Rozszerzenie Windows Update napotkało nieznany błąd. Pobrałem i zainstalowałem to: http://support.microsoft.com/kb/947821, ale nie pomogło.

sfc SR.txt

[picasso]

System Windows znalazł problemy z systemem plików.

Aby je poprawić, uruchom program CHKDSK z opcją /F (naprawa).

 

W linii komend wywołaj chkdsk /f /r i zresetuj system.

 

 

Przy aktualizacji systemu wystąpił problem, przy instalacji z pliku windows6.1-KB976932-X64 wystąpił błąd: 0x800f081f, a przy próbie instalacji przez Windows Update: kod 800B0100 Rozszerzenie Windows Update napotkało nieznany błąd. Pobrałem i zainstalowałem to: http://support.microsoft.com/kb/947821, ale nie pomogło.

 

Ale nie podałeś raportu z tego narzędzia (checksur.log). Przekopiuj na Pulpit cały katalog C:\Windows\Logs\CBS, do ZIP > na hosting > podaj tu link.

 

 

 

.

[Pawel89]

Sprawdziłem status usługi i jest typ uruchomienia automatyczny i stan uruchomiono.

Nie dopisałem, że menedżer jest pusty.

 

 

 

checksur.log:

=================================

Checking System Update Readiness.

Binary Version 6.1.7601.21645

Package Version 15.0

2012-06-23 12:15

Checking Windows Servicing Packages

Checking Package Manifests and Catalogs

Checking Package Watchlist

Checking Component Watchlist

Checking Packages

Checking Component Store

Summary:

Seconds executed: 881

No errors detected

 

 

Folder cbs:

http://www.sendspace...bb8d7908772/cbs

[picasso]

Materiał CBS przejrzę, ale na to potrzebuję więcej czasu. Doedytuję tu informacje, gdy coś wyłuskam. A co do checksur, podałeś mi odczyt z 23 czerwca, ale w katalogu CBS jest także odczyt archiwalny z 22, w którym jest koszmarna ilość błędów tego rodzaju:

 

Checking Component Store
(f)	CSI Missing Deployment Key	0x00000000	wpdmtp.inf-languagepack_31bf3856ad364e35_6.1.7600.16385_465fa756d1039aa5	HKLM\Components\CanonicalData\Deployments
 
(...)
 
 Found 1565 errors
  CSI Missing Deployment Key Total count: 1565

 

Żaden z tych błędów nie został naprawiony. Checksur przestał je widzieć i nie wiem jak traktować te dwa sprzeczne logi. Być może to jest "tymczasowy" wynik z powodu nieudanej próby instalacji pakietu SP1.

 

Przy okazji, wszystkie linie punktują "languagepack". Pomijając już przyczynę tymczasowego wystąpienia tych odczytów w checksur, ten pusty menedżer urządzeń i wada Windows Update mogą się kojarzyć z wadą pakietu językowego. I pytanie:

 

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000409 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

Czy ta edycja Home Premium jest polska z natury czy spolszczana sztucznie?

 

 

 

.

[Pawel89]

Czy ta edycja Home Premium jest polska z natury czy spolszczana sztucznie?

Od początku jest język polski i nic nie było kombinowane z tym.

[picasso]

W CBS.LOG są nagrane takie oto wystąpienia:

 

2012-06-22 21:39:54, Info                  CSI    0000059b Begin executing advanced installer phase 38 (0x00000026) index 874 (0x000000000000036a) (sequence 913)
    Old component: [ml:318{159},l:316{158}]"Microsoft-Windows-RasBase-agilevpn, Culture=neutral, Version=6.1.7600.16385, PublicKeyToken=31bf3856ad364e35, ProcessorArchitecture=amd64, versionScope=NonSxS"
    New component: [ml:318{159},l:316{158}]"Microsoft-Windows-RasBase-agilevpn, Culture=neutral, Version=6.1.7601.17514, PublicKeyToken=31bf3856ad364e35, ProcessorArchitecture=amd64, versionScope=NonSxS"
    Install mode: install
    Installer ID: {81a34a10-4256-436a-89d6-794b97ca407c}
    Installer name: [15]"Generic Command"
2012-06-22 21:39:54, Info                  CSI    0000059c Calling generic command executable (sequence 52 (0x00000034)): [30]"C:\windows\System32\netcfg.exe"
    CmdLine: [52]""C:\windows\System32\netcfg.exe" -c p -i MS_AgileVpn"
2012-06-22 21:39:55, Error                 CSI    0000059d (F) Done with generic command 52 (0x00000034); CreateProcess returned 0, CPAW returned S_OK
    Process exit code 13 (0x0000000d) resulted in success? FALSE
    Process output: [l:98 [98]"Próba zainstalowania składnika MS_AgileVpn nie powiodła się. Kod błędu: 0x8007000d.
"][gle=0x80004005]

 

To przykładowy rekord, tylko następuje wymiana nazw komponentów sieciowych (MS_TCPIP_TUNNEL, MS_NDISUIO ... i tak dalej). Tu może być coś podobnego jak w temacie: KLIK. I niekoniecznie tylko w kluczu Enum. Brak uprawnień tłumaczyłby także pusty menedżer urządzeń. Nie wykluczam jednak i wpływu Norton 360, bo z CBS.LOG wynika, że sprawa się kręci wokół komponentów sieciowych, a Symantec tam mocno grzebie.

 

Poproszę o pełną kopię rejestru do wglądu. Wygeneruj ją programem RegBack. Z kopii wybierz plik SYSTEM, zapakuj do ZIP i shostuj gdzieś podając tu link.

 

 

 

.

[Pawel89]

Nie wykluczam jednak i wpływu Norton 360

Odinstalować Nortona?

 

Kopia rejestru:

http://www.sendspace...b394e091/system

[picasso]

Rejestru jeszcze nie przejrzałam, ale proponuję jednak zacząć od tego:

 

Odinstalować Nortona?

 

Odinstaluj aplikację, następnie z poziomu Trybu awaryjnego popraw narzędziem Norton Removal Tool. Podaj czy są jakieś widoczne zmiany.

 

 

 

.

[Pawel89]

Brak widocznych zmian po usunięciu Nortona.

[picasso]

Hmmm, nie mogę się dopatrzyć w rejestrze jawnej wady uprawnień. Nie wiem jeszcze w czym rzecz, ale widzę wspólny mianownik. Te wszystkie odczyty w CBS.LOG łączy określona przestrzeń, czyli klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network. Spróbuj wyzerować wartość Config:

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator i wejdź do klucza:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network

 

Skasuj z prawokliku wartość Config.

 

2. Zresetuj system. Sprawdź czy jest jakaś zmiana.

 

 

 

.

[Pawel89]

Nadal brak jakiejkolwiek zmiany.

[picasso]

Dodaj kolejne materiały:

- z tej kopii rejestru utworzonej przez RegBack wyłuskaj także plik SOFTWARE

- przekopiuj na Pulpit cały folder C:\WINDOWS\system32\winevt\Logs

- nagraj log z Process Monitor z momentu otwierania Menedżera urządzeń.

Wszystko zapakuj do ZIP i podaj tu link.

 

 

.

[Pawel89]

http://www.sendspace.pl/file/20cc1a42e5dfc951b12bc91

[picasso]

Pawel89, nie mogę tego pobrać już od kilku dni. Bez przerwy mam komunikat "sloty zajęte" (zapewne ma coś do rzeczy, iż nie mieszkam w Polsce), a przez proxy maskujące na polską lokalizację nie chce mi tego URL otworzyć. Proszę przehostuj to na SpeedyShare.

[Pawel89]

http://www.speedyshare.com/6EPEN/Nowy-folder.zip