Otwieranie się folderu SysWOW64 po restarcie komputera oraz niedziałające poprawnie aplikacje.

[ArtBe]

Po resecie komputera otwiera mi się samoczynnie katalog SysWOW64.

Komputer działa dalej niby prawidłowo. Ale mam problem z poprawnym działaniem jednej z aplikacji 

Głównie chodzi o  -  (C:\Program Files (x86)\Inwestor online FX\terminal.exe).

 

Wszystko to stało się prawdopodobnie po aktualizacji JAVA, 

Przy aktualizacji program GDATA zablokował mi aktualizację podając komunikat jak niżej.

 

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

 

"Nastąpiła próba uruchomienia ukrytego szkodliwego kodu w obrębie chronionego procesu.

Proces został zakończony.

Informacje o szkodliwym kodzie:

Chroniony proces: C:\Program Files (x86)\Java\jre7\bin\java.exe (8540)

Moduł źródłowy: Nieznane

Nazwa pliku: Nieznane

Te informacje zostały również umieszczone w raportach.

---

chrome0: java.com/en/download/uninstallapplet.jsp

chrome1: hxxps://www.java.com/pl/download/chrome.jsp?locale=pl

detection: 1104

eip: 0

osversion: Windows 7 Professional x64 Service Pack 1

processstartcommandline: "C:\Users\ADFX\AppData\Roaming\Oracle\Java\Uninstall\JavaScrub-

NoAdmin.exe" -version

processstartname: C:\Users\ADFX\AppData\Roaming\Oracle\Java\Uninstall\JavaScrub-

NoAdmin.exe

processstartname_md5: a8acae818d3601f5ffcdf5774ceb8d73

processstartname_sha256:

51d9f312efd558e938b1831b1d6351f87bdabe81fd13c1092b19653edf4fdbb1

silent: false

targetversion: 7.0.550.14

tid: 6204

version: 1.0.14079.234

C:\Program Files (x86)\Java\jre7\bin\java.exe (8540) terminated"

 

Proszę o pomoc w sprawdzeniu logów.

 

Na forum był niby podobny przypadek :

 

https://www.fixitpc.pl/topic/21289-samoczynne-otwieranie-się-folderu-syswow64/

 

Niżej logi

Addition.txt

FRST.txt

Shortcut.txt

Extras.Txt

OTL.Txt

[ArtBe]

Uzupełnienie:

Nie wiem czy to po zastosowanych narzędziach do tworzenia logów ale w dolnym lewym rogu zauważyłem

opis na monitorze: Tryb testu Windows 7 Kompilacja 7601

 

Nie mogąc doczekać się na odpowiedzi wykonałem funkcję przywracania systemu z przed aktualizacji JAVY

W informacji był opis , iż Java update 55 zostanie cofnięte.

Tak też się stało. Wspomniane wcześniej aplikacje działają ale teraz mam komunikat aby zaktualizować javę.

A może to jednak jakiś szkodnik ?

Niżej screen komunikatu : 

Dziwnie mi to wygląda.

 

[Rucek]

nie rob juz nic sam, czekaj na Picasso, logi zrob jeszcze raz bo pewnie beda potrzebne nowe. 

 

tutaj masz info: https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi

 

zrob tez log GMER

[picasso]

ArtBe, skoro wykonałeś Przywracanie systemu, to raporty w pierwszym poście są nieaktualne. Proszę o świeży zestaw.

 

 

Po resecie komputera otwiera mi się samoczynnie katalog SysWOW64.

W pierwszym zestawie raportów nie widać zresztą oznak infekcji w rozumieniu trojanów (tylko odpadki adware: sterownik {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys i kilka wpisów w przeglądarkach), a to otwieranie przy starcie folderu SysWOW64 prawdopodobnie produkował ten wpis G Data:

 

HKLM-x32\...\Run: [G Data ASM] => C:\Program Files (x86)\G Data\AntiVirus\DelayLoader\AutorunDelayLoader.exe [431224 2013-12-19] (G Data Software AG)

 

Podobny temat na forum: KLIK.

 

 

Ale mam problem z poprawnym działaniem jednej z aplikacji

Głównie chodzi o - (C:\Program Files (x86)\Inwestor online FX\terminal.exe).

Mam rozumieć, że aplikaja Inwestor wymaga środowiska Java? Z tego co widzę aplikacja jest 32-bitowa, a w pierwszym poście (przed Przywracaniem systemu) ostatecznie po ręcznych manipulacjach ostała się tylko Java w wersji 64-bit (nie będzie działać z 32-bitowymi aplikacjami).

 

==================== Installed Programs ======================
 

Java 7 Update 55 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417055FF}) (Version: 7.0.550 - Oracle)
 

==================== Restore Points =========================
 

11-05-2014 06:57:29 Installed Java 7 Update 55

12-05-2014 15:24:01 Removed Java 7 Update 55

12-05-2014 15:31:56 Installed Java 7 Update 55

12-05-2014 15:41:18 Removed Java 7 Update 55

12-05-2014 15:45:45 Installed Java 7 Update 55 (64-bit)

 

 

.

[ArtBe]

Picasso, niżej wszystkie logi raz jeszcze.

 

Podsumowując:

- na obecna chwilę po odzyskaniu systemu problem z folderem SysWOW64 nie występuje.

- Java jest w wersji 7 Update 51 (sugerowany update 55 odłożyłem na później)

- wspomniana aplikacja (inwestor online FX)  teraz działa poprawnie, (prawdopodobnie potrzebuje tej Javy nie wiem tego)

- nic innego niepokojącego już teraz nie występuje.

 

Niżej informacje z Securitycheck

 

 Results of screen317's Security Check version 0.99.83  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 11  

``````````````Antivirus/Firewall Check:``````````````

G Data AntiVirus 2014   

 Antivirus up to date!   

`````````Anti-malware/Other Utilities Check:`````````

 Java 7 Update 51  

 Java version out of Date!

 Adobe Reader XI  

 Mozilla Thunderbird (17.0.2) 

 Google Chrome 34.0.1847.116  

 Google Chrome 34.0.1847.131  

````````Process Check: objlist.exe by Laurent````````

 G Data AntiVirus AVK AVKWCtlX64.exe 

 G Data AntiVirus AVK AVKService.exe 

 G Data AntiVirus AVKTray AVKTray.exe 

 Inwestor online FX terminal.exe   

`````````````````System Health check`````````````````

 Total Fragmentation on Drive C:  

````````````````````End of Log``````````````````````

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

- Java jest w wersji 7 Update 51 (sugerowany update 55 odłożyłem na później)

- wspomniana aplikacja (inwestor online FX) teraz działa poprawnie, (prawdopodobnie potrzebuje tej Javy nie wiem tego)

Jak mówiłam, prawdopodobnie chodzi o to, że jest instalowany update w niewłaściwej wersji bitowej, tzn. Java 64-bit, a 32-bitowe programy potrzebują Java 32-bit. Przed Przywróceniem systemu była tylko Java 64-bit:

 

==================== Installed Programs ======================
 

Java 7 Update 55 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417055FF}) (Version: 7.0.550 - Oracle)

 

Po Przywróceniu systemu siedzi tu Java 32-bit:

 

==================== Installed Programs ======================
 

Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.510 - Oracle)

 

 

I dokończ odpadki adware oraz stare rozszerzenie "Smart Web Printing" (jeśli Firefox zostanie zainstalowany, nie będzie z tym zgodny):

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [] => [X]
SearchScopes: HKCU - {5653652B-E1B6-4A4D-9E0B-48BEC281790C} URL = http://ask-tb.com/web?tpid=FXT-RG&o=Y10001&pf=V7&p2=^B9M^YYYYYY^YY^PL&gct=&itbv=12.10.0.3815&apn_uid=B9E6D12C-CECC-4510-9A01-F6F97D2B233B&apn_ptnrs=^B9M&apn_dtid=^YYYYYY^YY^PL&apn_dbr=cr_32.0.1700.76&doi=2014-01-20&trgb=ALL&q={searchTerms}&psv=
FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
R1 {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64; C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys [61120 2014-04-24] (StdLib)
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X]
C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys
C:\Users\ADFX\Downloads\MWSnap(11460).exe
C:\Users\ADFX\Downloads\PDFCreator(12691).exe
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W Google Chrome:

• Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres ask-tb.com
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres qvo6.com
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.