PreliminaryMonty16k Opublikowano 31 Maja 2011 Zgłoś Udostępnij Opublikowano 31 Maja 2011 Witam. Komputer z Windows XP - nie wiem, który Service Pack, gdyż po wybraniu MÓJ KOMPUTER i właściwości pojawia się okno: C:\WINDOWS\system32\rundll32.exe nie można odnaleźć aplikacji. Zaczęło się od tego, iż po uruchomieniu systemu wskakiwał "lewy" program XP Antispyware. Nie można było nic zrobić tylko wyłączyć. Przy pomocy Kaspersky Rescue Disk udało się unieruchomić tego lewego antyspyware. Chciałem po tym użyć Malwarebytes' Anti-Malware free version ale... Nie można jednak uruchamiać plików .exe. Za każdym razem pokazuje się okno wybierz aplikację (otwieranie za pomocą). Log tylko z OTL (.com) z wiadomych względów. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 31 Maja 2011 Zgłoś Udostępnij Opublikowano 31 Maja 2011 Komputer z Windows XP - nie wiem, który Service Pack, gdyż po wybraniu MÓJ KOMPUTER i właściwości pojawia się okno: C:\WINDOWS\system32\rundll32.exe nie można odnaleźć aplikacji. Ocenę poziomu SP można wykonać też pośrednio, weryfikując wzrokowo daty modyfikacji plików Windows (modelowy przykład: explorer.exe). Rok 2004 = SP2, rok 2008 = SP3. Czyli tu mamy: PRC - [2004-08-04 01:44:20 | 001,033,728 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe Co się zgadza z: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18702) Czasem data modyfikacji pliku jest rzetelniejsza. Są w obiegu różne triki (pod instalacje określonych aplikacji) oszukujące ciąg SP w rejestrze i status SP może wyświetlić się nieprawdziwie, ale data plików się nie zmieni i w ten sposób nie dam się wyprowadzić w pole. Chciałem po tym użyć Malwarebytes' Anti-Malware free version ale... Trik na przyszłość: dla niedziałającego programu EXE można zmienić ręcznie w nazwie jego rozszerzenie na COM i powinno się uruchomić. Tak, mamy tu kwiatek: O35 - HKU\S-1-5-21-1343024091-1220945662-839522115-1003..exefile [open] -- "C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\fto.exe" -a "%1" %* 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O35 - HKU\S-1-5-21-1343024091-1220945662-839522115-1003..exefile [open] -- "C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\fto.exe" -a "%1" %* [2011-05-31 12:53:46 | 000,013,764 | -HS- | M] () -- C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\y683lqu143608044w15211x00r58m25x07ey5 [2011-05-31 12:53:46 | 000,013,764 | -HS- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\y683lqu143608044w15211x00r58m25x07ey5 :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. 2. Rzecz jasna do oceny log z usuwania + nowy z opcji Skanuj. . Odnośnik do komentarza
PreliminaryMonty16k Opublikowano 1 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2011 Właściwości z MÓJ KOMPUTER już działają, .exe też Natomiast nie działa IE ze startu - nie można znaleźć elementu docelowego. Z WSZYSTKIE PROGRAMY jest OK. 06012011_080900.txt Odnośnik do komentarza
picasso Opublikowano 1 Czerwca 2011 Zgłoś Udostępnij Opublikowano 1 Czerwca 2011 Zadanie pomyślnie wykonane. Duża ilość plików tymczasowych przeczyszczona. Nie podałeś jednak aktualnego loga z OTL Skanuj. Natomiast nie działa IE ze startu - nie można znaleźć elementu docelowego. Z WSZYSTKIE PROGRAMY jest OK. W Menu Start: to "ostatnio używany element" czy element przypięty? I uruchom MBAM do skanu. Możliwe, że jest także przez tę infekcję zmodyfikowana wartość otwierająca w: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\naom\command] @="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -extoff" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] @="C:\\Program Files\\Internet Explorer\\iexplore.exe" MBAM potrafi wykryć ten rodzaj modyfikacji. . Odnośnik do komentarza
PreliminaryMonty16k Opublikowano 1 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 1 Czerwca 2011 Skan teraz zrobiłem (wcześniej nie doczytałem). Resztę zrobię w nocy (praca wzywa...) IE jako element przypięty. Nie mogę zrobić aktualizacji, w alertach systemu pokazuje, iż nie działają aktualizacje automatyczne, a centrum zabezpieczeń nie może włączyć aktualizacji automatycznych. A na stronie Windows update błąd 0x80070424 EDIT: Udało mi się naprawić WU po przez tą komendę: %SYSTEMROOT%\SYSTEM32\REGSVR32.EXE %SYSTEMROOT%\SYSTEM32\WUAUENG.DLL Jeżeli w systemie nie ma już innych śmieci temat można zamknąć. Dziękuje picasso za pomoc. OTL.Txt mbam-log-2011-06-01 (14-36-47).txt Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2011 Zgłoś Udostępnij Opublikowano 2 Czerwca 2011 Zgodnie z tym co nakreśliłam wyżej, problemem dla otwierania przypiętego Internet Explorer w Menu Start były wpisy: HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\fto.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") Good: (firefox.exe) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\fto.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> Quarantined and deleted successfully.HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\xxx\Ustawienia lokalne\Dane aplikacji\fto.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully. Na koniec wykonaj kroki: 1. Porządki po infekcji: Sprzątanie w OTL oraz wyczyszczenie folderów Przywracania systemu (KLIK). 2. Aktualizacje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7"{AC76BA86-7AD7-1045-7B44-A70000000000}" = Adobe Reader 7.0 - Polish"Gadu-Gadu" = Gadu-Gadu 7.7"Google Chrome" = Google Chrome"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) - Obowiązkowo do aktualizacji przeglądarki, Java, Adobe Reader: INSTRUKCJE. - Na temat trupa GG7: w temacie Darmowe komunikatory są opisane alternatywy takie jak AQQ, Kadu, WTW i Miranda. 3. I oczywiście tu czeka instalacja Service Pack 3. O ile już tego nie wykonałeś, bo wzmiankujesz próby dostania się na Windows Update. . Odnośnik do komentarza
PreliminaryMonty16k Opublikowano 2 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 2 Czerwca 2011 SP3 już zainstalowany. Java - zaktualizowana. Reszta w trakcie. Jeszcze raz dziękuje za pomoc. Temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi