GrzegorzB Opublikowano 2 Stycznia 2014 Zgłoś Udostępnij Opublikowano 2 Stycznia 2014 Witam, jak w temacie: skróty do programów nie uruchamiają się (program.lnk nie jest prawidłową aplikacją systemu Win32). Uruchomiłem combofix (załączam log), zanim przeczytałem regulamin forum Załączam pozostałe logi Z góry dziękuję za udzielenie pomocy. Grzegorz Addition.txt combofix.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 2 Stycznia 2014 Zgłoś Udostępnij Opublikowano 2 Stycznia 2014 Temat przenoszę do działu Windows. To nie wygląda na sprawę infekcji. W spoilerze masz drobne doczyszczanie szczątków adware i wpisów pustych, ale to nie ma związku z problemami. 1. Otwórz Notatnik i wklej w nim: Task: {68C57A20-847B-45C0-901A-1FDAF5544296} - System32\Tasks\EPUpdater => C:\Users\acer\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe HKCU\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.intl.acer.yahoo.com URLSearchHook: HKCU - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File SearchScopes: HKCU - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {4D2324C7-6390-4098-B2AA-096618FB9BBE} URL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin: @divx.com/DivX Content Upload Plugin,version=1.0.0 - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll No File FF Plugin: @divx.com/DivX Player Plugin,version=1.0.0 - C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll No File FF HKLM\...\Firefox\Extensions: [ocr@babylon.com] - C:\Program Files\Babylon\Babylon-Pro\Utils\ocr@babylon.com S2 CLTNetCnService; R3 catchme; \??\C:\Users\acer\AppData\Local\Temp\catchme.sys [x] U3 mbr; \??\C:\ComboFix\mbr.sys [x] C:\Users\acer\Downloads\Babylon10_setup.exe C:\Users\acer\Downloads\Babylon10_setup(1).exe C:\Users\acer\Downloads\Download_MaxSDDMnew.exe C:\Users\acer\Downloads\Download_MaxSDDMnew (1).exe CMD: sc config "Internet Manager. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.Reset nie naruszy zakładek i haseł. 3. Wyczyść Google Chrome: - Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. ComboFix użyty niestety niepotrzebnie. Odinstaluj go w poprawny sposób. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\acer\Downloads\ComboFix.exe /uninstall Radzę pozbyć się też Spybot - Search and Destroy. Cienki program jak na dzisiejsze warunki. Skróty do programów nie uruchamiają się (program.lnk nie jest prawidłową aplikacją systemu Win32). Wstępnie sprawdź co da zresetowanie klucza LNK po stronie bieżącego użytkownika. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithList] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithProgids] "lnkfile"=hex(0): Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. PS. Jest tu inna zastanawiająca rzecz. FRST pokazuje trzy usługi Microsoftu, których nie powinno być widać na ustawieniu Whitelist, a GMER wszystkie oznacza jako zablokowane: ========================== Services (Whitelisted) ================= R2 DcomLaunch; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation) R2 RpcSs; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation) R2 TrkWks; C:\Windows\System32\svchost.exe [21504 2008-01-19] (Microsoft Corporation) . Odnośnik do komentarza
GrzegorzB Opublikowano 2 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 2 Stycznia 2014 Witam, cos się stało. Mam czarny ekran i kursor (strzałkę), którą mogę poruszać (w trybie zwykłym i awaryjnym): Wykonałem: pkt. 1 pkt. 2 NIe mogłem otworzyć Google Chrome (Google Chrome nie jest prawidłową....) pkt. 3 - usunąłem ComboFix pkt. 4 - pozbyłem się SpyBot, i kiedy był monit, żebym zrestartował Windows, zrobiłem tak. Po uruchomieniu czarny ekran i kursor... Odnośnik do komentarza
picasso Opublikowano 2 Stycznia 2014 Zgłoś Udostępnij Opublikowano 2 Stycznia 2014 NIe mogłem otworzyć Google Chrome (Google Chrome nie jest prawidłową....) Ale czy Ty otwierałeś Google Chrome przez skrót LNK? Program miał być otworzony wprost z EXE: C:\Users\acer\AppData\Local\Google\Chrome\Application\chrome.exe. Mam czarny ekran i kursor (strzałkę), którą mogę poruszać (w trybie zwykłym i awaryjnym) A Tryb awaryjny z Wierszem polecenia? . Odnośnik do komentarza
GrzegorzB Opublikowano 2 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 2 Stycznia 2014 Uruchamialem Google przez lnk Teraz, po włączeniu, jest możliwość wyboru trybu (niestety żaden nie ładuje sie do końca). Ladują sie jakies sterowniki, a po chwili ekran jest czarny i tylko mozna kursorem poruszać Odnośnik do komentarza
picasso Opublikowano 2 Stycznia 2014 Zgłoś Udostępnij Opublikowano 2 Stycznia 2014 Zrób log FRST z poziomu środowiska zewnętrznego: KLIK. Odnośnik do komentarza
GrzegorzB Opublikowano 3 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 3 Stycznia 2014 Witam, oto log FRST FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Stycznia 2014 Zgłoś Udostępnij Opublikowano 3 Stycznia 2014 Żadnych wybitnych zmian odpowiadających efektowi. Ja jednak sądzę, że te wpisy usług Microsoftu, które zakreślałam, mogą mieć jakieś znaczenie: ========================== Services (Whitelisted) ================= R2 DcomLaunch; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation) R2 RpcSs; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation) R2 TrkWks; C:\Windows\System32\svchost.exe [21504 2008-01-19] (Microsoft Corporation) One widnieją w GMER jako zablokowane, tak jakby nie było doń uprawnień. Kiedyś rozwiązywałam sprawę czarnego ekranu przy starcie systemu z powodu rozwalenia uprawnień usługi RpcSs. Być może zmiana wystąpiła między restartami systemu, co spowodowało, że dopiero przy kolejnym restarcie ujrzałeś czarny ekran. Poproszę o pełną kopię rejestru SYSTEM do wglądu. Zakładam, że nadal jest dostępny pendrive pod literą F, gdyż nań będę kopiować plik. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\Windows\system32\config\SYSTEM F:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Na F powstanie plik fixlog.txt oraz plik SYSTEM. Spakuj wszystko do ZIP, na hosting i podaj link do paczki. . Odnośnik do komentarza
GrzegorzB Opublikowano 4 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2014 Zrobiłem według instrukcji. Po wsztstkim, na pendrive mam tylko dwa pliki FRST.exe i fixlog.txt. Nie mam SYSTEM, nie wiem dlaczego. Załączam fixlog.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 4 Stycznia 2014 Zgłoś Udostępnij Opublikowano 4 Stycznia 2014 Powód braku pliku: "The process cannot access the file because it is being used by another process." Może to z powodu podmontowania tego pliku przez FRST. W takim razie ręcznie go skopiuj. Zresetuj system, zbootuj do WinRE, uruchom "Wiersz polecenia", nie uruchamiaj FRST (montuje rejestr). W linii komend wpisz polecenie notepad i ENTER, co otworzy Notatnik. W Notatniku za pomocą menu Plik > Otwórz > z boku klik w Komputer > sprawdź pod jaką literą widać dysk z Windows (to niekoniecznie będzie C). Po upewnieniu się jaka jest litera, w linii komend wklepujesz i ENTER: copy /y X:\Windows\system32\config\SYSTEM F:\ Gdzie X = ta wytypowana litera. . Odnośnik do komentarza
GrzegorzB Opublikowano 4 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2014 Oto link do pliku SYSTEM: http://www.sendspace.pl/file/90d8fabf605533a5908d285 Potrzeba jakieś dodatkowe logi? Bardzo proszę o pomoc. Co mogę jeszcze zrobić? Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2014 Zgłoś Udostępnij Opublikowano 8 Stycznia 2014 Posty przypominające usuwam. Grzegorz, jeśli nie pytam o dodatkowe logi, to znaczy, że zbędne. I taka analiza to nie jest 5 minut roboty, nie jestem w stanie bardziej finezyjnych (zaawansowanych) tematów robić szybciej. Czego taki temat ode mnie wymaga: podmontowania Twojego rejestru, precyzyjnej edycji. Nie mogę robić tego byle jak i byle kiedy. Problem jest już oczywisty. Dokładnie to o czym mówiłam: utrata uprawnień kluczy istotnych usług DcomLaunch, RpcSs, TrkWks (kompletnie czyste uprawnienia, żadne konto nie ma dostępu). To produkuje czarny ekran. Te uprawnienia na pewno już były ruszone w momencie zakładania tematu (log z GMER to wykazał), tylko nie zrobiłeś jeszcze wtedy resetu, który ujawniłby usterkę. Tylko jedno jest zastanawiające: co do tego doprowadziło, że uprawnienia zostały zniszczone. Zrekonstruowałam wszystkie uprawnienia. Przesłałam na PW zmodyfikowany plik zapakowany do ZIP. Należy nim podmienić aktualny zdefektowany: 1. Z pendrive F:\ usuń obecny plik SYSTEM i umieść tam w zamian ten przesłany plik SYSTEM (w stanie rozpakowanym). Plik musi leżeć luzem, w żadnym podfolderze. 2. Zbootuj do WinRE. Uruchom "Wiersz polecenia". Ponownie upewnij się pod jaką literą jest dysk z Windows za pomocą triku z komendą notepad. W linii komend wklepujesz i ENTER: copy /y F:\SYSTEM X:\Windows\system32\config\SYSTEM Gdzie X = ta wytypowana litera. 3. Restartujesz do Windows. Jeśli wszystko pójdzie dobrze, wdróż podany wcześniej FIX.REG, zresetuj system i przedstaw czy są gdzieś jakieś problemy. . Odnośnik do komentarza
GrzegorzB Opublikowano 8 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2014 Wygląda na to, że wszystko w porządku Dziękuję! Czy mam na coś uważać? Odnośnik do komentarza
picasso Opublikowano 9 Stycznia 2014 Zgłoś Udostępnij Opublikowano 9 Stycznia 2014 Jeszcze usuń sobie szczątki, głównie po deinstalacji Spybota. Otwórz Notatnik i wklej w nim: BootExecute: autocheck autochk * sdnclean.exe C:\Program Files\Spybot - Search & Destroy 2 C:\Windows\System32\Drivers\etc\hosts.20140102-170438.backup CMD: rd /s /q C:\32788R22FWJFW CMD: rd /s /q "C:\Users\acer\Desktop\Stare dane programu Firefox" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Dla pewności zrób mi nowy skan FRST spod Windows. . Odnośnik do komentarza
GrzegorzB Opublikowano 9 Stycznia 2014 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2014 Załączam logi Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Stycznia 2014 Zgłoś Udostępnij Opublikowano 10 Stycznia 2014 OK. Zakończ sprawy: 1. Przez SHIFT+DEL skasuj logi, używane narzędzia i te foldery: C:\FRST C:\Users\acer\Desktop\FRST-OlderVersion C:\Windows\ERDNT C:\ProgramData\Spybot - Search & Destroy 2. Odinstaluj stare wersje Adobe i Java. I do czytania o Java: KLIK. 3. Wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi