Programy nie uruchamiają się - Wybierz program, którego chcesz użyć

[florestan]

Witam,

 

mój problem jest w sumie bardzo podobny do opisanego tu, ale w poradach stoi, że każdy przypadek należy rozpatrywać osobno, to zgłaszam się tu. Sytuacja analogiczna - próba uruchomienia jakiegokolwiek programu prowadzi do okna wybierania programu do uruchomienia go. Programy można otwierać tylko poprzez otwieranie przypisanych im plików (np. WORDa przez otwarcie dokumentu czy Firefoxa przez kliknięcie zakładki). Dodam jeszcze, że problem pojawił się po zagnieżdżeniu się malware'u (XP AntySpyware 2011) i skanie dokonanym przez Avasta przed uruchomieniem systemu. XP AntySpyware zniknął, ale nic nie chce się odpalić z .exe.

 

W załączniku logi z OTL, logów od rootkita nie zamieszczam, bo nie znalazłem programu skanującego odpalanego inaczej jak przez .exe.

 

Z góry dziękuję za pomoc i przepraszam, jeżeli ten temat zbędnie dubluje linkowany przeze mnie poprzedni wpis w podobnej sprawie.

OTL.Txt

Extras.Txt

[picasso]

Prócz przypisanego otwierania EXE do szkodnika, są również ślady podpinania zarażonych USB.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O35 - HKU\S-1-5-21-475824280-832462123-3825567487-1006..exefile [open] -- "C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\icx.exe" -a "%1" %*
O37 - HKU\S-1-5-21-475824280-832462123-3825567487-1006\...exe [@ = exefile] -- "C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\icx.exe" -a "%1" %*
[2011-04-24 12:19:15 | 000,010,630 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\24i7851j8d6d4u43agcq3bpyk6bp4265btif5y72
[2011-04-24 12:19:15 | 000,010,630 | -HS- | C] () -- C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\24i7851j8d6d4u43agcq3bpyk6bp4265btif5y72
[2011-02-13 16:51:26 | 000,031,797 | ---- | C] () -- C:\Documents and Settings\Admin\Dane aplikacji\7817.97A
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 50848
IE - HKU\S-1-5-21-475824280-832462123-3825567487-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:50848
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -  File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-475824280-832462123-3825567487-1006\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKU\S-1-5-21-475824280-832462123-3825567487-1006..\Run: [uniblue RegistryBooster 2]  File not found
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_04-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log.

 

2. Od razu przeprowadź deinstalacje:

 

• Zbędne oprogramowanie: Spybot Search & Destroy (przestarzały program), LiveUpdate 3.0 (pozostałość po Symantec), WinAmp Toolbar.
  
• Użyj JavaRa do usunięcia wszystkich przestarzałych wersji Java. Odinstaluj także Adobe Reader 7.1.0. Aktualizacja obu aplikacji będzie potem.
  
• Nie jestem pewna co to za "Facebook Plug-In" w zainstalowanych, wiesz co to jest i skąd weszło?
  

3. Produkujesz nowe logi z OTL, załączasz zaległy log z GMER. Dorzuć i log powstały z usuwania w punkcie 1.

 

 

 

.

[florestan]

Zadania wykonane zgodnie z planem, wszystko zdaje się działać poprawnie. Załączam wszystkie kwity, łącznie z JawaRa.

 

Facebook Plug-In dzwoni mi gdzieś z tyłu głowy, ale z niczym tego nie kojarzę, a że fb ufam średnio, to wywaliłem.

 

Coś jeszcze do zrobienia, poza oczyszczeniem tych pendrive'ów?

gmer.txt

OTL_pozmianach.Txt

Extras_pozmianach.Txt

JavaRa.txt

OTL_skrypt.txt

[picasso]

Omyłkowo załączyłeś GMER wielokrotnie, nie ma tu wcale raportu z przetwarzania skryptu w OTL oraz usuwania JavaRa. Usuwam duplikaty, a Ty doedytuj wyżej post i wstaw właściwe.

 

1. W Firefox wyresetuj ustawienia proxy: Narzędzia > Opcje > Zaawansowane > Ustawienia > Bez serwera proxy.

 

2. Drobniutka poprawka do OTL:

 

:OTL
SRV - File not found [Auto | Stopped] --  -- (Automatic LiveUpdate Scheduler)
O4 - HKU\S-1-5-21-475824280-832462123-3825567487-1006..\Run: [updateMgr]  File not found
O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab" (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab" (Java Plug-in 1.6.0_17)
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
[2008-12-25 15:24:24 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAM FILES\JAVA\JRE6\LIB\DEPLOY\JQS\FF

Tym razem nie będzie restartu.

 

3. JavaRa coś nieskuteczna, nadal widzę w Dodaj / Usuń programy całą grupę przestarzałych Java, więc odinstaluj to tradycyjną drogą.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 17
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java™ 6 Update 4
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7

 

Coś jeszcze do zrobienia, poza oczyszczeniem tych pendrive'ów?

 

Mapowanie powstałe przez podpięcie zarażonych urządzeń zostało już usunięte skryptem OTL, a widzę że aktualnie do tego komputera nie są podpięte żadne zewnętrzne dyski, tzn. typuję że D to jest twardy:

 

Drive C: | 43,88 Gb Total Space | 10,96 Gb Free Space | 24,98% Space Free | Partition Type: FAT32
Drive D: | 44,37 Gb Total Space | 9,09 Gb Free Space | 20,49% Space Free | Partition Type: FAT32

Czy sugerujesz, że masz w posiadaniu nie podłączone tu pendrivy o niezbadanej zawartości?

 

 

 

.

[florestan]

Przepraszam za duble w logach, coś musiałem pomieszać przy przerabianiu ich na .txt (wcześniej nie dały się podpiąć do posta jako załączniki). Ale już wszystko powinno być ok. Załączam też loga z drugiego skryptu OTLa.

 

Jeszcze dwie sprawy:

 

JavaRa coś nieskuteczna, nadal widzę w Dodaj / Usuń programy całą grupę przestarzałych Java, więc odinstaluj to tradycyjną drogą.

 

Przepraszam, ale słabo się na tym wszystkim znam - co to znaczy "tradycyjną drogą"?

 

Czy sugerujesz, że masz w posiadaniu nie podłączone tu pendrivy o niezbadanej zawartości?

 

Tak, o to mi chodziło. Mam ich kilka i niestety muszę ich używać na różnych komputerach, często niezbyt dobrej reputacji. Nie podpinałem ich podczas skanu, czy powinienem to zrobić? Czy gdzieś na forum jest opisana jakaś osobna, ogólna procedura czyszczenia takich rzeczy?

OTL_skrypt_2.txt

[picasso]

Przepraszam, ale słabo się na tym wszystkim znam - co to znaczy "tradycyjną drogą"?

 

W zdaniu załączyłam słowo klucz: po prostu w Dodaj / Usuń programy.

 

 

Tak, o to mi chodziło. Mam ich kilka i niestety muszę ich używać na różnych komputerach, często niezbyt dobrej reputacji. Nie podpinałem ich podczas skanu, czy powinienem to zrobić? Czy gdzieś na forum jest opisana jakaś osobna, ogólna procedura czyszczenia takich rzeczy?

 

Weryfikacja zawartości pendrive musi odbyć się z zachowaniem środków ostrożności. W pierwszej kolejności zabezpiecz system stosując opcję Computer Vaccination w Panda USB Vaccine i zresetuj system. Następnie podepnij wszystkie urządzenia i wygeneruj log z USBFix z opcji Listing.

 

 

 

 

.

[florestan]

Java usunięta (choć w Dodaj / Usuń były tylko trzy z podanych czterech).

 

Oto logi z USBFix.

UsbFix.txt

[picasso]

Na urządzeniu są zlokalizowane infekcje. Nie jestem pewna jednak zawartości niektórych ukrytych folderów. Doprecyzuj dane. Uruchom OTL, wszystkie sekcje ustaw na Brak + Żadne, a we Własne opcje skanowania / skrypt wklej:

 

DIR /A /S F:\ /C
DIR /A /S G:\ /C
DIR /A /S H:\ /C

Klik w Skanuj (a nie wykonaj skrypt). Podaj raport. Po jego ocenie otrzymasz instrukcje usuwania infekcji.

[florestan]

Skan z OTLa z pamięciami przenośnymi.

OTL_usb.Txt

[picasso]

Edytowałam Twój log, tak by nie pokazywał zbyt dużo danych osobistych tylko najważniejsze punkty. Niektóre foldery na Twoich pendrive, wyglądające na pozainfekcyjne, są ukryte i nie jestem pewna czy to celowe:

 

[07/01/2009 - 23:43:48 | HD ] 	H:\warsztaty_czechy
[08/01/2009 - 15:52:14 | HD ] 	H:\8.01
[10/01/2009 - 14:56:36 | HD ] 	H:\koszulki

A szkodników to jest tu malownicza grupa:

 

F:

 

 Katalog: F:\NAUCIO
2010-11-25  14:54    
          .
2010-11-25  14:54    
          ..
2010-10-13  08:22           267˙264 takabila.exe
 
 Katalog: F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665
2010-11-25  14:54    
          .
2010-11-25  14:54    
          ..
2004-08-04  11:00           164˙560 jwgkvsq.vmx
 
 Katalog: F:\zvornik
2011-04-18  11:35    
          .
2011-04-18  11:35    
          ..
2011-02-14  07:36           119˙296 bjeljina.exe

H:

 

2009-06-23  11:31         1˙406˙935 Recycle.exe
2009-03-30  17:51           110˙838 0bcobed.exe
 
 Katalog: H:\RECYCLER
2009-01-08  16:34    
          .
2009-01-08  16:34    
          ..
2009-01-08  16:34    
          S-1-5-21-1482476501-1644491937-682003330-1013
2009-06-23  11:32                64 Desktop.ini
2009-06-23  11:32           107˙520 setup32.exe
 
 Katalog: H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013
2009-01-08  16:34    
          .
2009-01-08  16:34    
          ..
2009-01-21  13:23                62 Desktop.ini
2008-10-21  11:47            20˙530 ine32.exe
2008-04-06  15:34            12˙288 iuhx32.exe
2008-05-18  11:32            30˙720 iuhi64.exe
2008-04-22  08:39            13˙824 ise32.exe
 
 Katalog: H:\Recycled
2009-01-08  16:34    
          .
2009-01-08  16:34    
          ..
2009-01-08  16:34                22 INFO2
2009-01-08  16:34                65 desktop.ini
2006-09-14  07:21            20˙480 ctfmon.exe

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
Recycled /alldrives
RECYCLER /alldrives
F:\zvornik
F:\NAUCIO
H:\SYSTEM
H:\Recycle.exe
H:\0bcobed.exe
C:\iud32.exe
C:\FOUND.*

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. W Panda USB Vaccine wykorzystaj opcję USB Vaccination na każdym z pendrive z osobna.

 

3. Wystarczy, że podasz tylko log z usuwania OTL oraz nowy z USBFix z opcji Listing.

 

 

 

.

[florestan]

Logi z OTL i USBFix. A tak z ciekawości - czy warto "szczepić" Pandą każdy nowy pendrive, czy to nadgorliwość?

OTL_usb_2.txt

UsbFix2.txt

[picasso]

Obiekty infekcji zostały pomyślnie usunięte.

 

1. W OTL wywołaj opcję Sprzątanie.

 

2. Zaległe aktualizacje (o ile tego już nie skorygowałeś) Direfox, Java i Adobe Reader: INSTRUKCJE.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. W ostatnim dostarczonym Extras widziałam niezdrową kombinację Gadu-Gadu 7.7 + Nowe Gadu-Gadu. Zamiast się tak męczyć, dobierz alternatywę: Darmowe komunikatory. Do czytania opisy: AQQ, Kadu, WTW i Miranda. Reszta to protezy.

 

 

A tak z ciekawości - czy warto "szczepić" Pandą każdy nowy pendrive, czy to nadgorliwość?

 

Jeśli to Twoje pendrive. Cudze = komuś się może nie spodobać takie rozporządzanie nie swoim urządzeniem.

 

 

.

[florestan]

Ok, zrobiłem wszystko zgodnie z poleceniami. Zdaje się, że wszystko działa bez zarzutu. Dziękuję serdecznie za pomoc!