Skocz do zawartości

Wybierz program, którego chcesz użyć...


Rekomendowane odpowiedzi

Witam właściwie temat opisuje zagadnienie. Próba otwarcia jakiegokolwiek programu (.exe), czy to centrum zabezpieczeń windows (wyłączona zapora!), czy OTL, czy antywirsa powoduje wyświetlenie windowsowskiego okienka wybierz program, którego chcesz użyć do otwarcia... Wiem, że mało informacji, ale w zaistniałej sytuacji nie potrafię wygenerować wymaganych logów. Będę wdzięczny za pomoc. Pozdrawiam.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tak, istotnie jest tu infekcja która dopisuje jako program otwierający EXE szkodnika. Możliwe, że (niewidoczne tu, bo OTL tego jeszcze nie skanuje w standardzie) także komendy dla przeglądarek internetowych mają przypisany ten sam obiekt.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O35 - HKU\S-1-5-21-1202660629-1993962763-682003330-1003..exefile [open] -- "C:\Documents and Settings\Antoś\Ustawienia lokalne\Dane aplikacji\cbo.exe" -a "%1" %*
O37 - HKU\S-1-5-21-1202660629-1993962763-682003330-1003\...exe [@ = exefile] -- "C:\Documents and Settings\Antoś\Ustawienia lokalne\Dane aplikacji\cbo.exe" -a "%1" %*
[2011-04-22 11:08:14 | 000,011,328 | -HS- | C] () -- C:\Documents and Settings\Antoś\Ustawienia lokalne\Dane aplikacji\1v5s1i7v7nxn0yrg8u40nyrjrk4nq8hil024d
[2011-04-22 11:08:14 | 000,011,328 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\1v5s1i7v7nxn0yrg8u40nyrjrk4nq8hil024d
[2011-03-08 12:02:04 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB}
[2011-03-08 12:02:05 | 000,005,407 | ---- | M] () -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\searchplugins\fast-browser-search.xml
FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search"
FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q="
FF - prefs.js..browser.search.order.1: "Fast Browser Search"
FF - prefs.js..browser.search.selectedEngine: "Fast Browser Search"
FF - prefs.js..keyword.URL: "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={436D0D8E-5551-AAA4-E1EE-734D5DC98894}&q="
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab" (Reg Error: Key error.)
O4 - HKLM..\Run: [GEST]  File not found
O4 - Startup: C:\Documents and Settings\Antoś\Menu Start\Programy\Autostart\Skrót do PRINT.lnk =  File not found
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z usuwania.

 

2. Wytwórz nowy skan OTL na dostosowanym warunku. W sekcji Własne opcje skanowania / skrypt wklej co niżej podane i klik w Skanuj (a nie Wykonaj skrypt).

 

HKLM\SOFTWARE\Clients\StartMenuInternet|command /RS

Ponadto, teraz już GMER będzie się dało uruchomić, tylko przed próbą skanowania musisz usunąć sterownik emulacji SPTD (KLIK):

 

DRV - [2009-09-03 16:49:27 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

 

.

Odnośnik do komentarza

Infekcja została pomyślnie usunięta.

 

1. Skasuj z dysku te fragmenty adware Fast Browser Search wszczepionego do Firefox:

 

[2011-03-08 12:02:04 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB}

[2011-04-27 14:41:12 | 000,005,407 | ---- | M] () -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\searchplugins\fast-browser-search.xml

2. W OTL wywołaj Sprzątanie.

 

3. Przeskanuj system za pomocą posiadanego Malwarebytes' Anti-Malware. Jeśli coś wykryje, pokaż raport. Jeśli nic nie wykryje, przejdź do:

 

4. Aktualizacja software:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 20

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

"FileZilla Client" = FileZilla Client 3.3.2.1

"Gadu-Gadu 10" = Gadu-Gadu 10

"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)

- Szczegóły aktualizacyjne wymienianych: INSTRUKCJE.

- Straszne Gadu 10 można zamienić. Posiłkuj się tematem Darmowe komunikatory. Patrz na opisy: AQQ, Kadu, WTW, Miranda.

 

5. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

 

EDIT: Ad punktu 1. O kurcze, tak mi się wydawało, że układ w logu już widziałam. Mamy nieukończony temat z tym śmieciem Fast Browser Search: KLIK. To ja bym zrobiła to inaczej, skoro i tak są tu kwalifikacje do wymiany wersji: czysta instalacja Firefox w celu wyplenienia tego adware na dobre (ponieważ doprawdy nie widzę skąd się odtwarza).

 

  • Zachowaj tylko niezbędne dane, czyli bookmarki (np. za pomocą narzędzia MozBackup)
  • Odinstaluj Firefox.
  • Skasuj z dysku cały folder ustawień Firefox C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla, również C:\Program Files\Mozilla Firefox jeśli deinstalacja go nie ruszyła.
  • Start > Uruchom > regedit i skasuj wszystkie klucze spełniające warunek HKEY_LOCAL_MACHINE\Software\Mozilla*
  • Zamontuj najnowszą wersję Firefox i tylko bookmarki odtwórz.

PS. W moim panelu ACP zanotowałam także jakiś czas temu, że Twoje konto na forum zostało zablokowane. Tak się dzieje po 3 nieprawidłowych logowaniach. Ręcznie wtedy konto odblokowałam.

 

 

.

Odnośnik do komentarza

Odnośnie pkt1 reinstalacja Mozilli:

1/mozbackup-tylko bookmarki zachowane

2/doaj usuń programy-usunięta Mozilla Firefox

3/próba usunięcia folderu C:\Doc&Settings\Antoś\Dane aplikacji\Mozilla-porażka(chroniony, lub uzywany)-udało mi się usunąć zawartość, (chyba) bowiem folder z podfolderami wydają się puste, ale samych folderów nie mogę wywalić

4/C:\Program Files\Mozilla Firefox-usuniety z powodzeniem

5/wywalone wszystkie klucze mozilla* w lokalizacji wskazanej przez Ciebie

6/restart kompa

7/powrót do pkt 3/ niestety bez sukcesu

 

Pytanie olać pkt 3/ i instalować nowego liska, czy...

Odnośnik do komentarza
3/próba usunięcia folderu C:\Doc&Settings\Antoś\Dane aplikacji\Mozilla-porażka(chroniony, lub uzywany)-udało mi się usunąć zawartość, (chyba) bowiem folder z podfolderami wydają się puste, ale samych folderów nie mogę wywalić

 

To znaczy jaki błąd się ujawnia? Opisz go dokładnie, bo być może właśnie z powodu specyficznego zablokowania tego folderu ten Fast Browser Search nie chciał popuścić (to by wyjaśniało wszystko). Wstępnie poddaję trop sprawdzenia, czy ten folder nie jest przypadkiem zablokowany przez uprawnienia. Sprawdź to, wzorując się na tych instrukcjach: KLIK.

 

 

Pytanie olać pkt 3/ i instalować nowego liska, czy...

 

Dopóki tego folderu nie usuniesz, nie zabieraj się do instalacji nowego Lisa.

 

 

 

.

Odnośnik do komentarza

Przerobiłem dwa sposoby z podanych przez Ciebie:

1/ Przejęcie pliku, lub folderu na własność, ale po przejsciu wszystkich kroków dostaję taki obrazek, niby uprawnienia zaptaszone, ale wyszarzałe (nie tak, jak u Ciebie na zdjęciu aktywne)-folderu usunąć się nie da.

post-1677-0-12926600-1303979035_thumb.jpg

2/ Komenda: cacls "C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles" /E /G Antoś:F zwraca wynik, że odpowiedni folder został przetworzony, ale dolderu usunąć się nie da

Za każdym razem pojawia się systemowe okienko (z białym krzyżykiem w czerwonym kółeczku+dźwięk)

Błąd usuwania pliku, lub folderu

Nie mozna usunąć Profiles: Plik jest używany przez inną osobę lub program.

Zamknij wszystkie programy, które mgogą uzywać tego pliku i spróbuj ponownie.

 

Czy rozpocząć pracę nad trzecim wariantem sugerowanym przez Ciebie: narzędzie Microsoftu SubInACL, czy problem tkwi gdzie indziej?

Pozdrawiam

Odnośnik do komentarza

LockHunter

C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles

What processes are locking this file?

 

C:\WINDOWS\Explorer.EXE

D:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

===========================

Microsoft Security Essentials

uruchomiony jako zaplanowane skanowanie szybkie wykrył:

Rogue:Win32/FakeRean koń trojański

file:C:\System Volume Information\_restore{26CA28D8-1737-4F2F-B8B9-587F1F4AE0F4}\RP31\A0005135.exe

============================

Ponieważ jestem dopiero przy pkt3 Twoich zaleceń skan Malwarebytes'-nie czyściłem folderów przywracania systemu

 

Czy po wywołaniu sprzątania w OTL i restarcie kompa OTL odinstalowuje się ?[zginęły obydwie ikony OTL z pulpitu .exe i .com

Odnośnik do komentarza
LockHunter

C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles

What processes are locking this file?

 

Zdejmij w tym programie wszystkie uchwyty procesów. Jeśli się uda, folder będzie gotowy do kasacji z ręki.

 

 

Czy po wywołaniu sprzątania w OTL i restarcie kompa OTL odinstalowuje się ?[zginęły obydwie ikony OTL z pulpitu .exe i .com

 

Tak.

 

 

Ponieważ jestem dopiero przy pkt3 Twoich zaleceń skan Malwarebytes'-nie czyściłem folderów przywracania systemu

 

Jak wypada z linii operacyjnej, czyszczenie folderów Przywracania na samym końcu, gdy zostaną ukończone wszystkie modyfikacje mające odbicie w punktach.

 

 

 

.

Odnośnik do komentarza

1/ LockHunter-zblokowanie procesów - folder razem z podfolderami usunięty bez problemu

2/ Skan Malwarebytes' -czysto wszędzie

3/ Czy poza dodaj usuń programy (panel administracyjny) odnośnie wywalenie zalecanych przez Ciebie rzeczy powinienem jeszcze coś zrobić (w temacie odinstalowania-oczywiście)?

4/ Jak rozumiem teraz mogę już Liska zainstalować?

Odnośnik do komentarza
3/ Czy poza dodaj usuń programy (panel administracyjny) odnośnie wywalenie zalecanych przez Ciebie rzeczy powinienem jeszcze coś zrobić (w temacie odinstalowania-oczywiście)?

 

W sumie nie zostało tu nic szczególnego do przeprowadzenia:

- Aktualizacja Filezilli (można to zrobić nakładkowo)

- Java (po deinstalacji sprawdź jeszcze czy nie wychwyci czegoś dodatkowego JavaRa, ale nie używaj tej aplikacji do aktualizacji, świeżość definicji kończy się na numerze 24)

- Luźne rozważania na temat wymiany GG (do przeprowadzenia w dowolnym momencie).

Natomiast po wszystkich przeprowadzonych instalacjach zapewne pojawią się pliki tymczasowe i je sobie sprzątniesz po raz któryś już z kolei narzędziem TFC - Temp Cleaner.

 

 

4/ Jak rozumiem teraz mogę już Liska zainstalować?

 

Tak.

 

 

.

Odnośnik do komentarza

1/ Wszystkie punkty z Twoich zaleceń - zrealizowane - nawet nie wiesz jaka to radość, gdy podczas otwierania nowej karty w Firefox'ie otwiera się czysta karta, a nie Fast Browser Search!

2/ Okiem laika-wszystko jest ok!

3/ został taki kwiatek nie wiem, czy istotny, był on również przed infekcją, po uruchomieniu systemu wyskakuje na pulpicie okienko - klikam, anuluj i działam, jeżeli nie stanowi to jakiegoś zagrożenia-to mnie to specjalnie nie przeszkadza.

post-1677-0-33058600-1303994414_thumb.jpg

4/ Jeżeli uznajesz tematy(ten i poprzedni) do zamknięcia - to Wielkie Dziękuję za pomoc! Napisz, gdzie wysłać kwiaty.

Pozdrawiam Darek.

Odnośnik do komentarza
3/ został taki kwiatek nie wiem, czy istotny, był on również przed infekcją, po uruchomieniu systemu wyskakuje na pulpicie okienko - klikam, anuluj i działam, jeżeli nie stanowi to jakiegoś zagrożenia-to mnie to specjalnie nie przeszkadza.

Widziałam to w logu i nawet się zastanawiałam czy nie kasować tego w skrypcie (założyłam jednak, że to pochodna któregoś menedżera do zarządzania Autostartem):

 

O4 - Startup: C:\Documents and Settings\Antoś\Menu Start\Programy\Autostart\OpenOffice.org 3.1.lnk.disabled ()

Korekta bardzo prosta: wejdź do folderu C:\Documents and Settings\Antoś\Menu Start\Programy\Autostart i skasuj obecny tam skrót OpenOffice.

 

 

Napisz, gdzie wysłać kwiaty.

 

Umówmy się, że już je otrzymałam. :P

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...