Skocz do zawartości

Problem z opcjami "otwórz", "zapisz" itp.


Rekomendowane odpowiedzi

Witam.

 

Pytałem już się na innym forum i zostałem odesłany tutaj więc liczę na pomoc!

 

Otóż, mam taki głupi problem ponieważ, od wczoraj kiedy chcę wejść np w opcje "Otwórz plik" (np w Winampie, wordzie itp) to otwiera mi się okienko i kiedy klikam na "Komputer" to zawiesza się program i nie da się nic zrobić jak tylko go zrestartować (program nie PC). To samo jest z opcjami "zapisz" itp.

 

Mam Win7, 64-bit

 

Obrazek z moim problemem

post-1447-0-43927100-1296228564_thumb.gif

 

Log.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Log z OTL robiony na nie takich ustawieniach jak sobie życzymy na tym forum, w dodatku zabrakło loga dodatkowego. Wszystkie opcje mają być ustawione na "Użyj filtrowania" i tego dopilnuj kolejnym razem.

 

W tym logu wygląda, że tu jest rootkit:

 

DRV - [2010-12-02 21:54:23 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\ilvqun.sys -- (cohdyqvh)

 

Przechodzimy do usuwania tego i innych odpadków. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Windows\SysWow64\drivers\ilvqun.sys
 
:Services
cohdyqvh
 
:OTL
IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.skip-search.com/?cfg=2-82-0-2C8NV"
IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://search.babylon.com/home?AF=14676"
IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://utils.babylon.com/abt/index.php?url="
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] File not found
O4 - HKU\S-1-5-21-268685592-1164845389-3330084532-1000..\Run: [iSUSPM Startup] File not found
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

Odnośnik do komentarza
kiedy chcę wejść np w opcje "Otwórz plik" (np w Winampie, wordzie itp) to otwiera mi się okienko i kiedy klikam na "Komputer" to zawiesza się program i nie da się nic zrobić jak tylko go zrestartować (program nie PC). To samo jest z opcjami "zapisz" itp.

 

Sprawdź czy problemu nie generują dodatkowe rozszerzenia powłoki. Pobierz ShellExView w wersji x64. Po uruchomieniu programu kliknij w kolumnę "Company", by ułożyć razem wszystkie niedomyślne rozszerzenia (oznaczone na różowo). Wszystkie różowe zbiorowo zaznacz, z poziomu menu kontekstowego wyłącz i zresetuj komputer. Podaj wyniki.

Odnośnik do komentarza

Przeprowadź końcowe kroki:

 

1. W OTL wywołaj opcję Sprzątanie.

 

2. W programie Autoruns usuń odpadki po ArcaVir (karty Drivers + Internet Explorer):

 

DRV:64bit: - [2009-12-01 19:14:40 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndisMP)

DRV:64bit: - [2009-12-01 19:14:40 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndis)

 

O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found

O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found

3. Jest tu uszczerbek w dostawcach Winsock:

 

O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000009 [] -  File not found

W pierwszej kolejności w ogóle pokaż do jakiego dostawcy się to odwołuje. Start > w polu szukania wklep regedit > wyeksportuj do wglądu klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5

 

Jeśli ocenię, że 000000000009 to jeden z wpisów natywnych, podam instrukcje jak to naprawić. Jeśli wpis pochodzi od dostawcy niedomyślnego i już usuniętego, do wykonania będą instrukcje przedstawione w spoilerze tego tematu: KLIK. Sugerując się obecnością pozycji "Bonjour" w spisie zainstalowanych programów jest możliwe, że to właśnie szczątki po jakiś nieprawidłowych operacjach usuwania tego.

 

4. Na samym końcu, gdy już powyższe kroki zostaną wykonane, wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

Tak nawiasem mówiąc, to malware w logu raczej nie miało charakterystyki "rootkit", nie na systemie 64-bitowym. Na x64 sterownik poziomu kernel pozbawiony certyfikatu nie może się uruchomić. Tu był status "Stopped".

 

 

Problem rozwiązany! Ciężko uwierzyć ale przyczyna była drukarka, bo kiedy ją odinstalowałem (miałem problemy z nią) i zainstalowałem od nowa to problem minął.

 

Z tego wynika, że potencjalne przyczyny to jedno z tych:

- Wyszukiwanie urządzeń w oknie Mój komputer.

- Drukarka dodała własne rozszerzenie do obszaru NameSpace. Coś na podobieństwo tego: KLIK.

 

 

 

.

Odnośnik do komentarza
Nie bardzo wiem jak użyć tego Autorunsa ale więc nie bd się w to bawił

 

To jest bardzo proste.

 

  • Wchodzisz do karty Drivers i kasujesz usługi o nazwach ABndisMP + ABndis
  • Wchodzisz do karty Internet Explorer i tam szukasz wszystkich wpisów ArcaVir (z numerkiem {40525A66-DB98-480D-BCF9-7AF88C1AF438}) i kasujesz.

i 3 pkt tez nie bardzo rozumiem wiec daje screena z rejestru

 

Ten obrazek jest do kitu, nie pokazuje informacji o którą mi chodzi. Kliknij prawym na klucz NameSpace_Catalog5, z menu kontekstowego wybierz opcję Eksportu i zapisz to do pliku REG. Plik REG otwórz w Notatniku i przeklej z niego wszystko do posta.

 

 

 

.

Odnośnik do komentarza

Podejrzenia się sprawdziły, ten numer 9 to poszkodowany dostawca Bonjour:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000009]

"LibraryPath"="C:\\Program Files (x86)\\Bonjour\\mdnsNSP.dll"

"DisplayString"="mdnsNSP"

"ProviderId"=hex:e9,e6,00,b6,3b,55,19,4a,86,96,33,5e,5c,89,61,53

"SupportedNameSpace"=dword:0000000c

"Enabled"=dword:00000001

"Version"=dword:00000001

"StoresServiceClassInfo"=dword:00000001

"ProviderInfo"=hex:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000009]

"LibraryPath"="C:\\Program Files\\Bonjour\\mdnsNSP.dll"

"DisplayString"="mdnsNSP"

"ProviderId"=hex:e9,e6,00,b6,3b,55,19,4a,86,96,33,5e,5c,89,61,53

"SupportedNameSpace"=dword:0000000c

"Enabled"=dword:00000001

"Version"=dword:00000001

"StoresServiceClassInfo"=dword:00000001

"ProviderInfo"=hex:

 

To z tymi Drivers zrobiłem ale w IE nie ma tych wpisów

 

Hmm, powinno być w Autoruns, uwzględnia to miejsce (klucz Extensions) ....

 


Obie akcje złączę w jednym imporcie rejestru.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000008
"Num_Catalog_Entries64"=dword:00000008
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000009]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000009]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{40525A66-DB98-480D-BCF9-7AF88C1AF438}]
 

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik wybierz opcję Importu i wskaż plik FIX.REG.

 

2. Zresetuj komputer.

 

 

 

.

Odnośnik do komentarza

Gotowe ;)

 

Mam jeszcze jedno ostatnie pytanie niezwiązane z wirusami ale z PC ;)

 

Wczoraj ok godziny 19 wyłączyłem PC i włączyłem go dopiero ok 22 i nie miałem internetu i w ogóle jakieś głupie rzeczy były ;)

 

wszedłem żeby sprawdzić stan połączenia kliknąłem właściwości i w składnikach miałem włączone jakieś ABdnis Drive (patrz obrazek). Kiedy to wyłączyłem internet wrócił. Moje pytanie: Kto to mógł włączyć i co to jest? Ja na 100% tego nie włączałem bo i po co ;)

 

post-1447-0-54831600-1296518248_thumb.jpg

Odnośnik do komentarza
Wczoraj ok godziny 19 wyłączyłem PC i włączyłem go dopiero ok 22 i nie miałem internetu i w ogóle jakieś głupie rzeczy były ;)

 

wszedłem żeby sprawdzić stan połączenia kliknąłem właściwości i w składnikach miałem włączone jakieś ABdnis Drive (patrz obrazek).

 

"ABdnis Drive" = spójrz co usuwałeś w Autoruns: ABndisMP + ABndis. To filtr ArcaVir nałożony na urządzenie sieciowe.

 

Kiedy to wyłączyłem internet wrócił.

 

Podświetl tę pozycję i odinstaluj.

 

 

 

 

.

Odnośnik do komentarza
Zastanawia mnie tylko kto to włączył

 

Nie rozumiem pytania, bo to oczywistość. Ten filtr na urządzeniu pojawia jako skutek instalacji antywirusa ArcaVir. Filtr cały czas działał, pomimo że rzekomo antywirus się odinstalował w całości, bo został czynny sterownik ArcaVir w systemie. Nie notowałeś żadnych problemów z tym fantomem, dopóki nie ruszyłam sterownika ArcaVir. Jego usunięcie w Autoruns spowodowało naruszenie filtra, a w konsekwencji brak sieci urządzenia filtrowanego przez ten sterownik.

Odnośnik do komentarza

Nie rozumiem pytania, bo to oczywistość. Ten filtr na urządzeniu pojawia jako skutek instalacji antywirusa ArcaVir. Filtr cały czas działał, pomimo że rzekomo antywirus się odinstalował w całości, bo został czynny sterownik ArcaVir w systemie. Nie notowałeś żadnych problemów z tym fantomem, dopóki nie ruszyłam sterownika ArcaVir. Jego usunięcie w Autoruns spowodowało naruszenie filtra, a w konsekwencji brak sieci urządzenia filtrowanego przez ten sterownik.

A teraz rozumiem ;)

 

Dziękuje jeszcze raz za wszystko!!

Temat chyba do zamkniecia ;)

Edytowane przez picasso
Temat rozwiązany, zamykamy. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...