Problem z uruchamianiem aplikacji

[marcin3595p]

Witam!

Problem przedstawia się następująco:

Podczas próby uruchomienia programu np. google chrome, ccleaner, kaspersky antivirus, gier, pojawia się komunikat o przykładowej treści "C:\users\"nazwa"\desktop\google chrome.ink nie jest prawidłową aplikacją systemu win32." Uruchamiają się natomiast filmy za pomocą windows media player classic oraz dokumenty np. ms word. Office działa specyficznie ponieważ uruchomienie np. ms word z menu start wyświetla wspomniany komunikat, ale otwarcie gotowego dokumentu już nie. Z kolei otwarty dokument powoduje dodatkowo włączenie się kreatora konfiguracji tegoż pakietu, a następnie wyłącza pakiet. Próba generacji loga combofixem oraz jakimś narzędziem od avg (nie pamiętam nazwy ponieważ zmieniłem ją w chwili zapisywania pliku na dysk, notabene na drugim komputerze) nie jest możliwa gdyż instalka nie startuje ani w trybie normalnym ani w awaryjnym. System to windows 7 home premium sp1 x64. Przed problemem była odbierana poczta oraz przeprowadzana aktualizacja systemu.

OTL.Txt

Extras.Txt

[picasso]

Nie widzę tu śladów jawnej infekcji. Opis sugeruje wadę w rozszerzeniu LNK, aczkolwiek w OTL jest konfig z kolei EXE z adnotacją "not found":

 

O37:64bit: - HKLM\...exe [@ = exefile] -- Reg Error: Key error. File not found

O37 - HKLM\...exe [@ = exefile] -- Reg Error: Key error. File not found

 

W normalnych okolicznościach te linie nie punktują "braku":

 

O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

Toteż spróbujmy to usunąć:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O37:64bit: - HKLM\...exe [@ = exefile] -- Reg Error: Key error. File not found
O37 - HKLM\...exe [@ = exefile] -- Reg Error: Key error. File not found
O3 - HKU\S-1-5-21-4200970910-1441821386-2641821850-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

2. Przy okazji odinstaluj przez Panel sterowania: Spybot Search & Destroy (archaiczna konstrukcja, przy Twoim KIS zbędna) + Akamai NetSession Interface (zbędny).

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[marcin3595p]

Problem występuje nadal. Usunięty spybot oraz akamai. Dodam, że wszystko robione było w trybie pracy normalny, a w tle działa tuneUp w trybie turbo ponieważ nie ma możliwości wyłączenia go.

OTL.Txt

[picasso]

A w logu bez zmian:

 

O37:64bit: - HKLM\...exe [@ = exefile] -- Reg Error: Key error. File not found

O37 - HKLM\...exe [@ = exefile] -- Reg Error: Key error. File not found

 

Pokaż skan na klucze EXE + LNK, bo coś tu nie pasuje mi. Uruchom SystemLook x64 (zmień nazwę rozszerzenia z EXE na COM) i do skanuj wklej:

 

:reg
HKEY_CLASSES_ROOT\.LNK /s
HKEY_CLASSES_ROOT\lnkfile /s
HKEY_CLASSES_ROOT\.exe /s
HKEY_CLASSES_ROOT\exefile /s
HKEY_CURRENT_USER\Software\Classes\.lnk /s
HKEY_CURRENT_USER\Software\Classes\.exe /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe /s

 

Klik w Look. Przedstaw wynikowy raport.

 

 

 

.

[marcin3595p]

Oto log.

SystemLook.txt

[picasso]

Ten fragment jest nieprawidłowy, adnotacje "(Unable to open key)" (sugeruje zablokowanie podkluczy):

 

[HKEY_CLASSES_ROOT\exefile]
@="Application"
"EditFlags"=38 07 00 00  (REG_BINARY)
"FriendlyTypeName"="@%SystemRoot%\System32\shell32.dll,-10156"
 
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
(Unable to open key)
 
[HKEY_CLASSES_ROOT\exefile\shell]
(Unable to open key)
 
[HKEY_CLASSES_ROOT\exefile\shellex]
(Unable to open key)

 

Dodatkowo, poniższe ustępy nie występują w tym miejscu na Windows 7:

 

[HKEY_CLASSES_ROOT\.exe\shell]
(No values found)
 
[HKEY_CLASSES_ROOT\.exe\shell\open]
(No values found)
 
[HKEY_CLASSES_ROOT\.exe\shell\open\command]
@="%1" %"
 
[HKEY_CLASSES_ROOT\lnkfile\shell]
(No values found)
 
[HKEY_CLASSES_ROOT\lnkfile\shell\open]
(No values found)
 
[HKEY_CLASSES_ROOT\lnkfile\shell\open\command]
@=""%1" %*"

 

 

1. Uruchom MiniRegTool (zmień EXE na COM) i w oknie wklej:

 

HKEY_CLASSES_ROOT\exefile\DefaultIcon
HKEY_CLASSES_ROOT\exefile\shell
HKEY_CLASSES_ROOT\exefile\shellex

 

Zaznacz opcję Unlock Keys i klik w Go. Następnie w oknie wklej:

 

HKEY_CLASSES_ROOT\.exe\shell

HKEY_CLASSES_ROOT\lnkfile\shell

 

Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go.

 

2. Zresetuj system i zrób nowy log z SystemLook na warunki:

 

:reg

HKEY_CLASSES_ROOT\.exe /s
HKEY_CLASSES_ROOT\exefile /s
HKEY_CLASSES_ROOT\lnkfile /s

 

 

 

.

[marcin3595p]

log po operacji.

SystemLook.txt

[picasso]

Bez zmian. Ale przez przypadek podałam Ci link do 32-bitowej wersji MiniRegTool. Powtórz wszystkie kroki na wersji x64: MiniRegTool x64. I zauważ, że ja tam doedytowałam jeszcze operacje na kluczu lnkfile.

 

 

 

.

[marcin3595p]

Nowy log.

SystemLook.txt

[picasso]

Co się teraz dzieje z uruchamianiem EXE i skrótów LNK? Proces się powiódł, klucze są odblokowane i wyglądają prawidłowo. Jeszcze tu od nVidia w menu kontekstowym jest blokada:

 

[HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers\NvAppShExt]
(Unable to open key)

 

Do MiniRegTool wklej:

 

HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers\NvAppShExt

 

Zaznacz opcję Unlock Keys i klik w Go.

 

 

 

.

[marcin3595p]

niestety .exe nie reagują.

 

Czy potrzebne są jakieś dodatkowe raporty/logi?

[picasso]

Uśliślijmy sprawy, czy tu na pewno chodzi o EXE, bo wg tego co mówisz raczej chodzi o LNK (czyli skróty, a nie docelowe EXE):

 

Podczas próby uruchomienia programu np. google chrome, ccleaner, kaspersky antivirus, gier, pojawia się komunikat o przykładowej treści "C:\users\"nazwa"\desktop\google chrome.ink nie jest prawidłową aplikacją systemu win32." Uruchamiają się natomiast filmy za pomocą windows media player classic oraz dokumenty np. ms word. Office działa specyficznie ponieważ uruchomienie np. ms word z menu start wyświetla wspomniany komunikat, ale otwarcie gotowego dokumentu już nie.

 

Druga sprawa: czy w Trybie awaryjnym skróty też nie działają?

 

 

 

.

[marcin3595p]

W trybie normalnym nie działają ani skróty ani same .exe , a dodatkowo system przestał monitować o nieprawidłowej aplikacji win32. Kompletny brak reakcji. Natomiast w trybie awaryjnym skróty jak i .exe działają choć np. taki tuneUp już nie , ale to prawdopodobnie wynika z samego trybu awaryjnego.

[picasso]

Skoro Tryb awaryjny wykazuje różnicę, to jako podejrzany nasuwa się Kaspersky Anti-Virus 2012. Sprawdź czy jesteś zdolny go testowo odinstalować, a jeśli nie to pociągnij narzędziem Kaspersky Remover.

[marcin3595p]

Użyłem narzędzia i mały efekt jest. Działa skrót neostrada ADSL, ale reszta bez zmian.

[picasso]

1. Hmmm, skoro w Trybie awaryjnym wszystko działa, to jednak musi być coś ładowane w Trybie normalnym. Sprawdź czy czysty rozruch również ujawnia różnicę: KB929135.

 

2. W Dzienniku zdarzeń jest błąd ładowania sterowników ThreatFire (w OTL ich nie widać):

 

Error - 2012-09-05 15:19:24 | Computer Name = Sysia-Komputer | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego 
lub systemowego:   TfFsMon  TFSysMon

 

Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Na liście "Sterowniki niezgodne z Plug and Play" wyszukaj obie te pozycje (mogą mieć inne nazwy wyświetlane), odinstaluj + restart.

 

 

.

[marcin3595p]

Sterowniki usunięte natomiast wpisanie msconfig powoduje wyświetlenie komunikatu "taki interfejs nie jest obsługiwany".

[picasso]

Ale rekonfigurację msconfig zrób z poziomu Trybu awaryjnego, przecież EXE nie działa w normalnym.

[marcin3595p]

Faktycznie, moja nieuwaga. Zrobione. Bez zmian.

[picasso]

Pytanie: czy masz punkt Przywracania systemu pochodzący sprzed wystąpienia problemu?

[marcin3595p]

Niestety nie. Inaczej nie zawracałbym głowy. Mam masę materiałów do nauki i pracy i wolałbym uniknąć formatowania.

 

Jeśli format jest musem to przy tej okazji mam pytanie dotyczące pacjenta a mianowicie laptopa lenovo g560. Ma on dziwnie podzielony dysk na 4 partycje. Z poziomu windows widać dwie c:\ i d:\. Maja odpowiednio 421gb i 30gb. Z poziomu narzędzia do dzielenia partycji pojawiają się kolejne dwie o wielkości 200mb nieprzydzielonego obszaru oraz partycja recovery. Czy można bez uszkodzenia usunać to wszystko i stworzyć podział na dysk C:\ z system oraz D:\ na wszystko inne?

[picasso]

marcin3595p chwilowo nie mam pomysłu na Twój problem, ale będę go jeszcze analizować. Teraz nie mogę, zresztą już wychodzą z domu.

 

 

Z poziomu narzędzia do dzielenia partycji pojawiają się kolejne dwie o wielkości 200mb nieprzydzielonego obszaru oraz partycja recovery. Czy można bez uszkodzenia usunać to wszystko i stworzyć podział na dysk C:\ z system oraz D:\ na wszystko inne?

 

Jeśli usuniesz partycję Recovery, a nie ma pełnego instalatora Windows na płycie DVD, to uziemisz swój jedyny reinstalator Windows. Tak więc pytaniem jest: czy istnieje jakakolwiek inna postać instalatora Windows niż partycja Recovery?

 

 

.

[marcin3595p]

Mam płytkę instalacyjna windowsa więc wnioskuję, że mogę śmiało dzielić partycje wedle uznania. Myślę, że nie ma potrzeby żeby dłużej Cię dręczyć Picasso. Dziękuję bardzo za poświęcony czas. BTW świetne forum! Gratulacje. Do zamknięcia.