Rab13 Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Na laptopie Lenovo ThinkPAd r61i mam legalny system WIN XP PRO +SP3, aktualizowany na bieżąco (dwa dyski C-system i D-dane). Dodatkowo zainstalowany jest system Linux Ubuntu- a więc zmodyfikowany MBR- zarządzany przez GRUB. Jest też partycja ukryta- z zainstalową fabrycznie konsolą odzyskiwania i instalatorem systemu. W systemie WIN XP przestały sie uruchamiać pliki .exe. Robiłem porządki noworoczne w poczcie (dysk D- Thunderbird 15 wersja portable). Jednocześnie system pobrał z sieci i zainstalował firmowe aktualizacje oprogramowania i zabezpieczeń. Po ponownym otwarciu systemu wszystkie pliki exe uruchamiane podczas startu systemu (w tym Comodo Firewall i Microsoft Antywirus) zostały otwarte jako załączniki do poczty Thunderbirda (każdy w osobnym mailu). Po zmianie nazwy katalogu Thunderbirda- podczas próby uruchomienia pliku .exe system pyta jaką aplikacje uruchomić żeby otworzyć dany plik. Część aplikacji exe można odpalić za pomocą prawego klawisza myszki - opcja Uruchom jako (- w trybie bezpiecznym) ale nie wszytskie. I raczej te mniejsze. Nie uruchamia aplikacji DLL - komunikat: Nie mozna znalezc RUNDLL32.exe - choc plik jest w katalogu WINDOWS. Cześć aplikacji mozna też odpalić za pomoca menu uruchom- command.com - i polecenie : np. Explorer.exe. Ale też raczej te "mniejsze". Ręcznie uruchomiony Microsof Antywir (a aktualną bazą wirusów) nie pokazał wirusów w systemie. Uruchomiłem skrypty do rejestru systemowego przywracające działanie plików EXE- typu exefix.reg. Niestety nie pomogło. ) Nie działa przywracanie poprzedniej wersji systemu. Nie mogę uruchomić programu do odzyskiwania systemu z Backupu (z dysku USB)- bo jest exe i się nie uruchamia w żaden sposób. Partycja ukryta pozwala na przeinstalowanie systemu ale zniszczy dane oraz nadpisze MBR, co odetnie Linuxa. Dlatego chcę "uratować" istniejący system. Jestem też ciekaw co sie naprawdę stało- czy to jakiś rootkit (cos w starej poczcie) czy "tylko" uroki systemu WIndows ( ma juz prawie 2 lata). System z internetem łaczy sie przez router NETII. W załaczeniu pliki OTL. (W systemie nie działał COMODO FIrewall ani Microsoft Antywirus- bo sie nie uruchamiają ) Gmer.exe nie uruchamia się normalnie. Dopiero po zmianie nazwy na gmer.com i odpaleniu przez prawy klik myszy - Otwórz. W załączeniu log z tak uruchomionego gmera. Security Check- uruchomiony jako COM. Wyyniki: Results of screen317's Security Check version 0.99.56 Windows XP Service Pack 3 x86 Internet Explorer 8 ``````````````Antivirus/Firewall Check:`````````````` COMODO Antivirus Microsoft Security Essentials Antivirus out of date! (On Access scanning disabled!) `````````Anti-malware/Other Utilities Check:````````` Java 6 Update 35 Java version out of Date! Adobe Flash Player 11.1.102.55 Adobe Reader 9 Adobe Reader out of Date! Mozilla Thunderbird (9.0.1) ````````Process Check: objlist.exe by Laurent```````` Microsoft Security Essentials MSMpEng.exe Comodo Firewall cmdagent.exe `````````````````System Health check````````````````` Total Fragmentation on Drive C:: ````````````````````End of Log`````````````````````` Extras.Txt OTL.Txt gmerlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2013 Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Log z OTL nie do końca prawidłowo zrobiony, sekcja Rejestr ustawiona na Wszystko, a miało być Użyj filtrowania. Temat zmienia dział na Windows XP. Oznak infekcji brak. Po ponownym otwarciu systemu wszystkie pliki exe uruchamiane podczas startu systemu (w tym Comodo Firewall i Microsoft Antywirus) zostały otwarte jako załączniki do poczty Thunderbirda (każdy w osobnym mailu). Oczywistych oznak naruszenia skojarzenia EXE nie widać tu, choć opis to sugeruje. W logu z OTL wszystko wygląda w porządku: O35 - HKLM\..comfile [open] -- "%1" %*O35 - HKLM\..exefile [open] -- "%1" %*O37 - HKLM\...com [@ = comfile] -- "%1" %*O37 - HKLM\...exe [@ = exefile] -- "%1" %* Mam pytanie: a jak to wygląda w Trybie awaryjnym, gdy nie działa COMODO z modułem Defense+? . Odnośnik do komentarza
Rab13 Opublikowano 10 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2013 Dzieki za szybka odpowiedź! Co do ustawień OTL - to po uruchomieniu nic nie zmieniałem w ustawieniach fabrycznych- i wydaje mi się że to filtrowanie było ustawione. Po ponownym uruchomieniu OTL tak własnie było. Zrobiłem skan po właczeniu opcji filtru - w Rejestrze (OLT2) oraz podobny skan w trybie awaryjnym (OLTawaryjny). ( pliki w załaczeniu). W trybie awaryjnym (najpierw GRUB - wybór WIN XP a zaraz potem F8) uruchomiło sie przywracanie systemu - spróbowałem przywrócić wersje sprzed awarii- ale bez skutku. To znaczy system jest przywracany ale EXE dalej nie działają.... Zadziałało za to cos innego- nowe konto użytkownika. Założyłem nowego uzytkownika, zalogowałem się na nowe konto i wszytsko jest OK. (stare konto dalej nie działa...) Wyglada więc na to że to nie wirus ale typowa przypadłość Windowsa- padnięcie profilu uzytkownika. Na tym komputerze to mi się dzieje co ok. 20 miesięcy uzytkowania systemu. Tylko objawy jakieś takie nietypowe tym razem były.... Bedę musiał ustawiać wszytsko od nowa (z wyjątkiem aplikacji portable z których od lat korzystam nauczony smutnym doświadczeniem). Jestem jednak ciekaw dlaczego tak się dzieje? I czemu te profile padają.... Pozdrawiam OTLawaryjny.Txt Extras_awaryjny.Txt OTL2.Txt Odnośnik do komentarza
Rab13 Opublikowano 17 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Rozwiązanie problemu! Nie wiem jak (uroki Windowsa) ale do rejestru wpisał się w kluczu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\OpenWithList wpisany został program Thunderbird jako otwierajacy pliki exe (przez wpisem o explorerze) W związku z tym wszytskie exe otwierane były jako załaczniki poczty Thunderbirda, a po zmianie ściezki dostepu do Thunderbirda system głupiał i nie wiedział czym exe otwierać. Po usunieciu tego klucza wszytsko wróciło do normy. Powodem mogła być instalacja pakietów aktualizujących systemu Windows z jednoczesnymi porzadkami w programie Thunderbird... Ale jak to możliwe nie wiem. PS. Programy antymalware podczas sprawdzania znalazły jakies 2 stare trojany - ale to raczej nie ich wina. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się