Dopisywanie linków przez Firefox'a

[Kimi1908]

Przepraszam, nie doczytałem

 

EDIT: W końcu udało się w pełni wykonać skanowanie.

Mam nadzieję, że ten log coś wyjaśni bo po powrocie do Trybu normalnego już nie mogę wywołać menedżera zadań i ubić tego irytującego procesu.

FRST.txt

[picasso]

W starcie widać delikwenta wspominanego tu już, czyli vmjef.exe, oraz plik wgsdgsdgdsgsd.exe. Będę to usuwać wraz z zaległym zablokowanym folderem C:\Windows\$NtUninstallKB12347$ od ZeroAccess (o ile da radę, FRST działa w środowisku Windows, nie tak jak polecany wcześniej Kaspersky Rescue Disk na silniku Linux). Ale to nie załatwi sprawy plików *.block ani problemu Winsock.

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\JA\...\Run: [secdrvUpdate] "D:\Documents and Settings\JA\Dane aplikacji\vmjef.exe" [308224 2012-12-06] ()
D:\Documents and Settings\JA\Dane aplikacji\vmjef.exe
C:\Documents and Settings\JA\wgsdgsdgdsgsd.exe
Unlock: C:\Windows\$NtUninstallKB12347$
CMD: rd /s /q C:\Windows\$NtUninstallKB12347$

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Masz C:\FRST.exe, czyli ma być C:\fixlist.txt.

 

2. Z poziomu OTLPE uruchom FRST i wybierz w nim opcję Fix. Powstanie plik fixlog.txt.

 

3. Restart do Windows. Kręcimy się w kółko, ale spróbuj zaimportować FIX.REG z postu numer #26 z kluczami Winsock.

 

4. Podaj fixlog.txt = log krótki, więc wklej wprost do posta, bo nie warte to załącznika. Ponownie skan SystemLook kluczy Winsock, a jeśli log znów będzie krótki = wprost do posta.

 

 

 

.

[Kimi1908]

Tryb normalny nadal z wyskakującym okienkiem. Punkt numer 3. oraz 4. wykonałem w Trybie awaryjnym po błyskawicznym dodaniu pliku SafeBootWinXP.reg do rejestru oraz natychmiastowym restarcie, jeszcze przed pojawieniem się komunikatu.

 

Fixlog.txt

 

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 06-12-2012

Ran by SYSTEM at 2012-12-09 12:37:03 Run:1

Running from D:\

 

==============================================

 

HKEY_USERS\JA\Software\Microsoft\Windows\CurrentVersion\Run\\SecdrvUpdate Value not found.

Could not move D:\Documents and Settings\JA\Dane aplikacji\vmjef.exe.

C:\Documents and Settings\JA\wgsdgsdgdsgsd.exe not found.

 

========= rd /s /q C:\Windows\$NtUninstallKB12347$ =========

 

The system cannot find the path specified.

 

========= End of CMD: =========

 

 

==== End of Fixlog ====

 

SystemLook.txt

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 12:47 on 09/12/2012 by JA

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2]

(No values found)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters]

"WinSock_Registry_Version"="2.0"

"Current_NameSpace_Catalog"="NameSpace_Catalog5"

"Current_Protocol_Catalog"="Protocol_Catalog9"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5]

"Num_Catalog_Entries"= 0x0000000003 (3)

"Serial_Access_Num"= 0x0000000004 (4)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]

(No values found)

 

 

 

PS: Zauważyłem, że w punkcie numer 1. ścieżki nie są prawidłowe. Mój dysk systemowy to D:\

[picasso]

Winsock bez zmian.

 

 

PS: Zauważyłem, że w punkcie numer 1. są nieprawidłowe ścieżki. Mój dysk systemowy to D:

 

D spod Windows, ale C z poziomu środowiska zewnętrznego. Patrz w swój log z FRST, to ścieżki z niego przeklejane, FRST widział ścieżki C:

 

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 06-12-2012
Ran by SYSTEM at 09-12-2012 10:20:55
Running from D:\
Microsoft Windows XP   (X86) OS Language: English(US) 
The current controlset is ControlSet003
 
==================== One Month Modified Files and Folders ========
 
2012-12-06 09:53 - 2010-08-19 10:54 - 00000000 _SHDC C:\Windows\$NtUninstallKB12347$
2012-12-06 08:22 - 2012-12-06 08:22 - 00308224 ____A C:\Documents and Settings\JA\wgsdgsdgdsgsd.exe

 

W opisie FRST jest zresztą wzmiankowane co z literami robi FRST (przemontowuje układ, tak by system był widziany pod C)...

 

Skoro przy przetwarzaniu skryptu pojawiło się "not found", to widocznie coś się zmieniło w montowaniu liter. No to ręcznie skasuj te pliki z poziomu OTLPE:

 

C:\Documents and Settings\JA\Dane aplikacji\vmjef.exe

C:\Documents and Settings\JA\wgsdgsdgdsgsd.exe

C:\Windows\$NtUninstallKB12347$

 

Po tym zrób nowy log z FRST...

 

 

 

.

[Kimi1908]

No tak, nie wziąłem pod uwagę środowiska zewnętrznego... Już zabieram się za kolejne zadania

 

W końcu zniknął ten irytujący komunikat

 

EDIT: Problem z dźwiękiem wciąż występuje. Chciałbym obejrzeć pewien mecz, jednak bez fonii to już nie to samo.

Może znalazłoby się jakieś rozwiązanie odnośnie powyższego problemu ?

Znalazłem w internecie wpis który należy zaimportować do rejestru, jednak nie wiem czy aby nie narobi on więcej szkód niż pożytku.

FRST.txt

[picasso]

Został jeszcze pusty wpis startowy po vmjef.exe. Poza tym ciągle jest kwestia Winsock. Zróbmy inaczej: ja zedytuję Twój rejestr. Z poziomu OTLPE przekopiuj sobie w dowolne miejsce te pliki:

 

C:\Windows\system32\config\SYSTEM

C:\Documents and Settings\JA\NTUSER.DAT

 

Zapakuj je do ZIP i prześlij mi na PW link do paczki. Ja to podmontuję w swoim rejestrze i zedytuję, odeślę pliki, podstawisz z poziomu OTLPE i zobaczymy co to da.

 

 

 

.

[Kimi1908]

Próbuje rozwiązać problem z dźwiękiem, jednak bez większych efektów. Czy może być to konsekwencją grzebania w uprawnieniach (podobnie było z internetem) ?

Przy próbie uruchomienia sndvol32.exe wyskakuje taki oto komunikat:

 

"Nie ma dostępnych aktywnych urządzeń miksujących. Aby zainstalować urządzenia miksujące, przejdź do Panelu sterowania, kliknij kategorię Drukarki i inny sprzęt, a następnie kliknij ikonę Dodaj sprzęt. Działanie tego programu zostanie teraz zakończone."

 

EDIT: Już po problemie

[picasso]

To ciekawe, ale tu się nic nie zgadza w przesłanych plikach SYSTEM i NTUSER.DAT.

 

1. Log z FRST mówił, że został pusty wpis startowy:

 

HKU\JA\...\Run: [secdrvUpdate] "D:\Documents and Settings\JA\Dane aplikacji\vmjef.exe" [x]

 

W pliku NTUSER.DAT nie ma takiego wpisu w kluczu Run.

 

2. Logi z SystemLook opowiadały, że zawartość Winsock2 to tylko to co widać w podawanych tu na okrągło skanach:

 

========== reg ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2]
(No values found)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters]
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"= 0x0000000003 (3)
"Serial_Access_Num"= 0x0000000004 (4)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
(No values found)

 

A tu niespodzianka. Plik SYSTEM ma już układ zaimportowany moim plikiem FIX.REG:

 

 

To dane z klucza: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004, bo wg wartości Select kopia konfiguracyjna ControlSet004 = CurrentControlSet.

 

 

 

.

[Kimi1908]

Jeżeli chodzi o wpis startowy to sam go usunąłem. Miałem zamiar o tym napisać w poprzednim poście jednak uznałem, że nie jest to sprawa nadrzędna

[picasso]

OK, ale co z tym nieszczęsnym Winsock? Jak mówię, w pliku SYSTEM widzę strukturę z mojego importu (zupełna sprzeczność ze skanami z SystemLook). Czy skan OTL nadal krzyczy na przetwarzaniu Winsock?

 

Chcę przejść już do kolejnego etapu czyszczenia, ale ten problem z Winsock mnie stopuje.

 

 

 

.

[Kimi1908]

Skan OTL nadal zatrzymuje się na Winsock2.

[picasso]

W tym momencie nasuwa mi się przebudowa Winsock przez naturalny dla systemu mechanizm netsh, tylko szkopuł w tym, że masz zdziwaczały pocięty Windows pozbawiony tego diagnostyka. W związku z tym: dosztukuję to i zobaczymy czy da radę zresetować łańcuch. Robiłam to już na modyfikowanych Windows (KLIK).

 

Podaj mi skan w SystemLook na warunki:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh
 
:filefind
netsh.exe
ipv6mon.dll
ipmontr.dll
ifmon.dll
ippromon.dll
rasmontr.dll
ipxmontr.dll
ipxpromn.dll
dgnet.dll
hnetmon.dll
fwcfg.dll
napmontr.dll
dot3cfg.dll

 

 

.

[Kimi1908]

Oto i on.

SystemLook.txt

[picasso]

Jakieś zaćmienie mnie wzięło. Dałam format skanu OTL a nie SystemLook. Poprawka we wcześniejszym poście.

 

PS. Jest deszyfrator do plików *.block. Próbuj: KLIK.

 

 

.

[Kimi1908]

Ok, poprawione

Jeżeli chodzi o deszyfrator to podczas uruchamiania wyskakuje błąd. Znalazłem plik o nazwie ok.txt.block jednak tego drugiego nie mogę odszukać.

[picasso]

Co do Netsh, to nie masz w ogóle tego w systemie. Rekonstrukcja komponentu:

 

1. Przesyłam paczkę plików: KLIK. Katalog z plikami ma być w ścieżce D:\Pliki.

 

2. Otwórz Notatnik i wklej w nim:

 

copy D:\Pliki\netsh.exe D:\Windows\system32
copy D:\Pliki\dgnet.dll D:\Windows\system32
copy D:\Pliki\dot3cfg.dll D:\Windows\system32
copy D:\Pliki\hnetmon.dll D:\Windows\system32
copy D:\Pliki\fwcfg.dll D:\Windows\system32
copy D:\Pliki\ifmon.dll D:\Windows\system32
copy D:\Pliki\ipmontr.dll D:\Windows\system32
copy D:\Pliki\ippromon.dll D:\Windows\system32
copy D:\Pliki\ipv6mon.dll D:\Windows\system32
copy D:\Pliki\napmontr.dll D:\Windows\system32
copy D:\Pliki\ipxmontr.dll D:\Windows\system32
copy D:\Pliki\ipxpromn.dll D:\Windows\system32
copy D:\Pliki\rasmontr.dll D:\Windows\system32
regsvr32 /s dgnet.dll
regsvr32 /s dot3cfg.dll
regsvr32 /s hnetmon.dll
regsvr32 /s fwcfg.dll
regsvr32 /s ifmon.dll
regsvr32 /s ipmontr.dll
regsvr32 /s ippromon.dll
regsvr32 /s ipv6mon.dll
regsvr32 /s napmontr.dll
regsvr32 /s ipxmontr.dll
regsvr32 /s ipxpromn.dll
regsvr32 /s rasmontr.dll
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

3. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh]
"ipv6mon"="ipv6mon.dll"
"1"="ipmontr.dll"
"2"="ifmon.dll"
"3"="ippromon.dll"
"4"="rasmontr.dll"
"5"="ipxmontr.dll"
"6"="ipxpromn.dll"
"dgnet"="dgnet.dll"
"hnetmon"="hnetmon.dll"
"FWCFG"="fwcfg.dll"
"napmontr"="napmontr.dll"
"dot3cfg"="dot3cfg.dll"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

4. Zresetuj system.

 

5. Start > Uruchom > cmd i wpisz komendę netsh winsock reset i zresetuj system.

 

6. Sprawdź czy OTL nadal stopuje na kluczach Winsock.

 

 

Jeżeli chodzi o deszyfrator to podczas uruchamiania wyskakuje błąd. Znalazłem plik o nazwie ok.txt.block jednak tego drugiego nie mogę odszukać.

 

Jeśli tego pliku nie ma, to ja tu rozkładam ręce.

 

 

 

.

[Kimi1908]

Pierwsze cztery punkty wykonane. Jedynie z piątym jest problem, po wpisaniu i zatwierdzeniu komendy netsh winsock reset wyskakuje komunikat, że nazwa netsh nie jest rozpoznawalna jako polecenie wewnętrzne...

 

Nie wiem co mogło się stać z tym drugim plikiem który jest tak niezbędny. Na domiar złego po zastosowaniu narzędzia te94decrypt nastąpiła duplikacja wielu plików z rozszerzeniem block. a żeby tego było mało to po tej operacji powstał problem prawdopodobnie z Adobe Flash Player który nie najlepiej synchronizuje dźwięk z obrazem.

[picasso]

Jedynie z piątym jest problem, po wpisaniu i zatwierdzeniu komendy netsh winsock reset wyskakuje komunikat, że nazwa netsh nie jest rozpoznawalna jako polecenie wewnętrzne...

 

Sprawdź czy plik netsh.exe się przekopiował do system32, a jeśli tak, to w linii komend wpisz przejście do katalogu cd D:\Windows\system32 i po tym komenda.

 

 

Nie wiem co mogło się stać z tym drugim plikiem który jest tak niezbędny.

 

Może trojan go usunął...

 

 

 

 

.

[Kimi1908]

Nie widzę tam pliku netsh.exe. Czy przekopiować go własnoręcznie ?

 

Może trojan go usunął...

 

Najprawdopodobniej A szkoda bo już się witałem z gąską i miałem nadzieję na odblokowanie plików...

[picasso]

Nie widzę tam pliku netsh.exe.

 

To posprawdzaj teraz ręcznie czy wszystkie pliki z D:\Pliki zostały skopiowane do D:\Windows\system32, a te brakujące ręcznie tam przenieś. Następnie: jeśli w grupie nieprzekopiowanych jest jakiś plik DLL, to po przekopiowaniu musisz ręcznie go zarejestrować komendą regsvr32 plik.dll.

 

 

A szkoda bo już się witałem z gąską i miałem nadzieję na odblokowanie plików...

 

Szukałeś na nazwę pliku, ale bez rozszerzenia *.block? Ostatecznie możesz spróbować jeszcze programu do odzysku danych.

 

 

 

.

[Kimi1908]

W folderze system32 nie ma ani jednego pliku z paczki. Wszystkie skopiowałem ręcznie jednak udało mi się zarejestrować tylko dgnet.dll.

A pliku Initia1log szukałem na parę sposobów jednak bez zamierzonych rezultatów.

[picasso]

Wszystkie skopiowałem ręcznie jednak udało mi się zarejestrować tylko dgnet.dll.

 

A jaki błąd był zwracany dla pozostałych?

 

 

 

.

[Kimi1908]

"Funkcja LoadLibrary("dot3cfg.dll")nie powiodła się - Nie można odnaleźć określonego modułu."

[picasso]

Ale błąd wskazuje, że ten plik nie był obecny w system32... Czy na pewno pliki są skopiowane, a komendę rejestracji uruchamiasz już po skopiowaniu?

[Kimi1908]

Wszystkie pliki z paczki są już skopiowane, próbowałem dwukrotnie je zarejestrować jednak nadal wyskakuje ten sam błąd.

 

A jeżeli chodzi o duplikaty to może przywracanie systemu byłoby rozwiązaniem ? Te94decrypt wyszukał dokładnie 5555 plików i tak je duplikował, że w końcu zabrakło miejsca na dysku C:...