misiek3510 Opublikowano 20 Czerwca 2011 Zgłoś Udostępnij Opublikowano 20 Czerwca 2011 Witam, jak w temacie, nie działają z dwukliku pliki exe, wyskakuje komunikat otwórz za pomocą. Pliki można odpalać natomiast poprzez kliknięcie prawym przyciskiem myszki i wybranie uruchom jako. Dodatkowo nie można wejść we właściwości systemu oraz w menu dodaj usuń programy w panelu sterowania. Wyskakuje komunikat: C:\Windows\System32\rundll32.exe - nie można odnaleźć aplikacji. Lapka dostałem kilka godzin temu z informacją, że prawdopodobnie user sam zapuścił combofixa po czym próbował naprawiać instalkę poprzez opcję napraw z instalatora xp i ponowną reinstalację plików systemowych. Załączam logi: OTL.Txt Extras.Txt gm.txt Z góry dzięki za pomoc. Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2011 Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 Lapka dostałem kilka godzin temu z informacją, że prawdopodobnie user sam zapuścił combofixa po czym próbował naprawiać instalkę poprzez opcję napraw z instalatora xp i ponowną reinstalację plików systemowych. Szkodnik jest zapisany jako most do otwierania EXE w gałęzi HKCU i Reperacje nakładkowe tego nie naprawią (to nie jest element systemu, instalacja tego nie nadpisze): O35 - HKU\S-1-5-21-1275210071-630328440-725345543-1003..exefile [open] -- "C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\rpf.exe" -a "%1" %*O37 - HKU\S-1-5-21-1275210071-630328440-725345543-1003\...exe [@ = exefile] -- "C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\rpf.exe" -a "%1" %* Prócz tego są tu również ślady podpinania zainfekowanych urządzeń USB oraz adware Fast Browser Search / Search Guard Plus. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O35 - HKU\S-1-5-21-1275210071-630328440-725345543-1003..exefile [open] -- "C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\rpf.exe" -a "%1" %* O37 - HKU\S-1-5-21-1275210071-630328440-725345543-1003\...exe [@ = exefile] -- "C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\rpf.exe" -a "%1" %* [2011-05-09 00:14:32 | 000,012,312 | -HS- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\kwtd246lfs3h331o70m8o0w3 O2 - BHO: (Search Assistant) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - C:\Program Files\SGPSA\BHO.dll (MTWB) O2 - BHO: (Fast Browser Search Toolbar Helper) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O3 - HKLM\..\Toolbar: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O3 - HKU\S-1-5-21-1275210071-630328440-725345543-1003\..\Toolbar\ShellBrowser: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O3 - HKU\S-1-5-21-1275210071-630328440-725345543-1003\..\Toolbar\WebBrowser: (Fast Browser Search Toolbar) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - C:\Program Files\Fast Browser Search\IE\FBStoolbar.dll () O4 - HKLM..\Run: [FBSearch] C:\Program Files\Search Guard Plus\SearchGuardPlus.exe () O4 - HKLM..\Run: [sGPUpdater] C:\Program Files\Search Guard PlusU\sgpUpdaters.exe () O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-1275210071-630328440-725345543-1003..\Run: [Gadu-Gadu] File not found O4 - HKU\S-1-5-21-1275210071-630328440-725345543-1003..\Run: [Komunikator] File not found O4 - HKU\S-1-5-21-1275210071-630328440-725345543-1003..\Run: [Picasa Media Detector] File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O24 - Desktop Components:4 () - "http://s.ytimg.com/yt/jsbin/www-core-vfl135925.js" [2010-08-12 10:02:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\2D33C [2005-12-24 00:12:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Kazaa Lite :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [resethosts] [emptyflash] [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zresetowany, powinien się pokazać log z usuwania. 2. Przejdź do Dodaj / Usuń programy i odinstaluj następujące pozycje adware: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Search Guard Plus" = Search Guard Plus (My Tattoons)"Search Guard Plus Updater" = Search Guard Plus Updater (My Tattoons)"TBSB07183.TBSB07183Toolbar" = Fast Browser Search (My Tattoons) 3. Wygeneruj nowe logi z OTL z opcji Skanuj, GMER nie jest mi już potrzebny. Dorzuć log OTL powstały z usuwania w punkcie 1 oraz raport z AD-Remover trybu skanu. . Odnośnik do komentarza
misiek3510 Opublikowano 21 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 2. Przejdź do Dodaj / Usuń programy i odinstaluj następujące pozycje adware: Nie mogę odinstalować ostatniej pozycji. Soft nie reaguje na przycisk usuń. Pliki o które prosiłaś: OTL.Txt Ad-Report-SCAN1.txt 06212011_180225.txt Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2011 Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 Skrypt przetworzony prawidłowo i problem otwierania EXE (tym samym pochodne błedy) powinien być zażegnany. Lecimy dalej, czyli usunięcie śladów Fast Browser Search / Search Guard Plus i martwego wejścia w Dodaj / Usuń: 1. Przepuszczaj przez OTL kolejny skrypt: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] "Tabs"="res://ieframe.dll/tabswelcome.htm" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}"=- "{B7D3E479-CC68-42B5-A338-938ECE35F419}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"=- "{B7D3E479-CC68-42B5-A338-938ECE35F419}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9EBBE90B-282E-4c39-8A7E-120749169F0F}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9EBBE90B-282E-4c39-8A7E-120749169F0F}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0974BA1E-64EC-11DE-B2A5-E43756D89593}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B7D3E479-CC68-42B5-A338-938ECE35F419}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{19F2B849-4ADE-4d4b-85F9-C31C643DBDE9}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{02D80F21-9064-4945-8586-035DA6759187}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{0974BA1E-64EC-11DE-B2A5-E43756D89593}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{9EBBE90B-282E-4c39-8A7E-120749169F0F}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{4388B5C4-830A-42AD-94F6-487B6AA05767}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}] [-HKEY_LOCAL_MACHINE\Software\Classes\BHO.PSHelper] [-HKEY_LOCAL_MACHINE\Software\Classes\BHO.PSHelper.1] [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\BHO.dll] [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\{055069F3-F78B-4BD1-A277-FE66648D3300}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\TBSB07183.TBSB07183Toolbar] :Files C:\Documents and Settings\OEM\Ustawienia lokalne\Dane aplikacji\kwtd246lfs3h331o70m8o0w3 C:\Program Files\Fast Browser Search C:\Program Files\Search Guard Plus C:\Program Files\Search Guard PlusU C:\Program Files\SGPSA :Commands [emptytemp] 2. Te pliki na Pulpicie, ze względu na wadę nazwy, są nie do ruszenia normalną kasacją spod Windows, będzie błąd "nie można znaleźć pliku": File not found -- C:\Documents and Settings\OEM\Pulpit\CATGC311.File not found -- C:\Documents and Settings\OEM\Pulpit\CAQNQJMT.File not found -- C:\Documents and Settings\OEM\Pulpit\CAQFUZ6D.File not found -- C:\Documents and Settings\OEM\Pulpit\CANYWFJH.File not found -- C:\Documents and Settings\OEM\Pulpit\CA10GZLH. Poradzi sobie z nimi Delete FXP Files. To demo, ale kasacja wykonalna. 3. Wykonaj pełne skanowanie przez Malwarebytes' Anti-Malware. 4. Wystarczy mi do oceny: wynik przetwarzania skryptu z punktu 1, nowy log z AD-Remover trybu skanu oraz raport z MBAM. . Odnośnik do komentarza
misiek3510 Opublikowano 21 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 Pliki z pulpitu skasowane. Załączam logi: 06212011_200653.txt Ad-Report-SCAN2.txt mbam-log-2011-06-21 (22-12-10).txt Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2011 Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 Wykonaj końcowe kroki: 1. W MBAM liczą się tylko wyniki z partii "Zainfekowanych kluczy rejestru" i te usuń za pomocą programu. Wyniki z "Zainfekowanych plików": fałszywy alarm na pliku AllPlayer (to zresztą bardzo sfatygowana wersja), zaś c:\system volume information (katalog Przywracania systemu) + d:\_OTL (kwarantanna OTL) zostaną przeczyszczone innymi działaniami. 2. Pozamiataj po używanych narzędziach: odinstaluj AD-Remover + użyj Sprzątanie w OTL. 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"ALLPlayer V2.1" = ALLPlayer V2.1"Gadu-Gadu" = Gadu-Gadu 7.7"Gadu-Gadu 10" = Gadu-Gadu 10"JRE 1.3.1_03" = Java 2 Runtime Environment Standard Edition v1.3.1_03 - Krytyczny poziom aktualizacji Windows. Niezbędnym jest tu nadrobić SP3+IE8 oraz wszystkie aktualizacje wydane po roku 2008 (data publikacji SP3). Zaktualizuj też Java i upewnij się że jest zainstalowany najnowszy Flash. Szczegóły aktualizacyjne: INSTRUKCJE. - Namów tego użytkownika, by zrezygnował z bezsensownego duplikatu GG7+GG10. W temacie Darmowe komunikatory są przedstawione propozycje alternatyw: AQQ, Kadu, WTW, Miranda. - Można też rozważyć wymianę próchna AllPlayer czymś nowoczesnym. Najlepiej, by zestaw chodził na wewnętrznych kodekach lub był przynajmniej częściowo niezależny. Propozycje: VLC Player, Kantaris MediaPlayer, MPLayer for Windows, PotPlayer, Media Player Classic. . Odnośnik do komentarza
misiek3510 Opublikowano 21 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2011 (edytowane) Dziękuje Picasso, jestem w trakcie uaktualniania systemu. Powiem szczerze nie wierzyłem, że ten system obędzie się bez format c:, jesteś naprawdę niezła w te klocki. Pozdrawiam. Edytowane 22 Czerwca 2011 przez picasso Temat wygląda na ukończony. Zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi