Nie uruchamiają się pliki exe, nie można zapisać plików, aplikacje się same zamykają

[kular]

Witam

 

Od kilku dni mam następujący problem. Przestały się uruchamiać aplikacje. Avast też nie startuje. Jedynie Firefox o dziwo jeszcze startuje. Większość innych po kliknięciu się nie odpala. Co ciekawe musiałem na innym kompie sciągnąć pliki do zrobienia logów bo na moim nie mogłem zapisać żadnego pobieranego pliku bo aplikacja się zamykała przy próbie dostępu do dysku. Nawet z notatnika nie mogę zapisać pliku bo się automatycznie zamyka, mogę natomiast stworzyć nowy plik i w nim zapisać.

 

Oto logi:

 

Log w OTL oznaczony jest jako Run3 bo pierwszym razem odpaliłem go bezpośrednio z płyty bo nie chciałem ryzykować przeniesiem infekcji przez pendrive na komputer kolegi więc nagraliśmy programy na CD. A potem zapomniałem podpiąć pendrive na którym przyniosłem być może wirusa. Ale teraz jest sformatowany, ale na wszelki wypadek, żeby też było widać czy się coś na nim nie ukrywa.

 

Niestety logów nie mogę załączyć bo otwarcie dodawania załączników skutkuje zamknięciem przeglądarki.

 

Wrzuciłem je na wklej.org

 

OTL

Extras

 

 

Results of screen317's Security Check version 0.99.18

Windows 7 (UAC is enabled)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 26

Adobe Flash Player 10.3.181.34

Mozilla Firefox (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

windows defender MpCmdRun.exe

AVAST Software Avast AvastSvc.exe

``````````End of Log````````````

 

 

pozdrawiam i proszę o pomoc

[picasso]

Hmmm, nie widzę nic dosłownego, ale jest pokazany w protokołach internetowych 32-bitowy plik Microsoftu bez sygnatury Microsoftu, co wskazuje na jedno z dwóch = plik uszkodzony lub plik podmieniony infekcją:

 

O18 - Protocol\Handler\cdl {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\Windows\SysWOW64\urlmon.dll ()
O18 - Protocol\Handler\file {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll ()
O18 - Protocol\Handler\ftp {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll ()
O18 - Protocol\Handler\http {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll ()
O18 - Protocol\Handler\https {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll ()
O18 - Protocol\Handler\local {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll ()
O18 - Protocol\Handler\mk {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\SysWOW64\urlmon.dll ()

W spisie są w zasadzie dwa pliki widoczne bez sygnatury która jak najbardziej być powinna:

 

[2011-08-10 20:09:27 | 001,791,488 | ---- | C] () -- C:\Windows\SysWow64\iertutil.dll
[2011-08-10 20:09:25 | 001,102,848 | ---- | C] () -- C:\Windows\SysWow64\urlmon.dll

 

Nie jestem przekonana czy tu jest problem infekcji. Na początek spróbujmy zdiagnozować kondycję plików. Wypróbuj z poziomu Trybu awaryjnego Windows:

 

1. Wdrożenie komendy sfc /scannow, wyniki przefiltruj do znaczników [sR] i zaprezentuj log: KLIK.

 

2. Dodatkowo, są tu potwornie stare sterowniki StarForce (z pewnością Windows powinien je blokować z powodu niekompatybilności). Użyj narzędzie usuwające sfdrvrem.exe: KLIK.

 

DRV - [2003-09-06 15:37:22 | 000,062,656 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\prohlp02.sys -- (prohlp02)
DRV - [2003-09-06 14:27:06 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\sfhlp01.sys -- (sfhlp01)
DRV - [2003-09-06 14:25:52 | 000,051,744 | ---- | M] (Protection Technology) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\prodrv06.sys -- (prodrv06)
DRV - [2003-09-06 14:22:08 | 000,006,944 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\prosync1.sys -- (prosync1)

Pomijam na razie masę śmieci sponsoringowych w przeglądarkach. To mały kaliber i na potem.

 

 

.

[kular]

1. SFC

 

2. Pobrałem ten plik. To ten z podpunktu Versions before 5.5. Wypakowany z SFREMOVE. Ale po uruchomieniu dostalem komunikat : No protection driver to remove.

 

 

Zapomniałem wspomnieć, że system na starcie wywala trzy błędy dotyczące plików DLM.exe, jusched.exe, AdobeARM.exe. Komunikat pojawia się także jak chcę np uruchomić internet explorera.

 

Błąd aplikacji.

Aplikacja nie została właściwie uruchomiona (0xc0000005). Kliknij OK aby zakończyć aplikację.

 

Nie widzę na razie, żadnej poprawy.

[picasso]

Pobrałem ten plik. To ten z podpunktu Versions before 5.5. Wypakowany z SFREMOVE. Ale po uruchomieniu dostalem komunikat : No protection driver to remove.

 

Zajmiemy się tym potem. Podam konkretne instrukcje ręcznego usunięcia.

 

 

Nie widzę na razie, żadnej poprawy.

 

Narzędzie SFC wykryło uszkodzenia, niestety nie było zdolne ich naprawić ("source file in store is also corrupted" = uszkodzone są także odpowiedniki w repozytorium). Zdefektowane są pliki IE, zarówno 32-bit jak i 64-bit. Przewija się tu build 9.4.8112.16434, a tu wersja pokazana jako bieżąca zainstalowana:

 

64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)

Ręczna robota nas czeka. Zanim zacznę tu dziergać pojedynczo z podmianami plików, spróbuj normalnych procedur systemowych odkręcających całość:

 

1. Odinstaluj IE9, co powinno przywrócić zdrowe wbudowane w system pliki IE8 (potem nadpiszesz nowym instalatorem IE9).

 

2. Lub użyj Przywracanie systemu cofając stan conajmniej poza 10 sierpień (wg logów to jest data utworzenia przynajmniej dwóch uszkodzonych plików IE).

 

 

 

 

.

[kular]

Odinstalowałem IE9 i wygląda na to, że problemy ustąpiły. W czasie startu systemu wszystkie aplikacje się ładują. Nie ma wyżej opisanych komunikatów o błędzie uruchomienia. IE8 się uruchamia normalnie. Także zapisywanie plików w aplikacjach i dostęp do katalogów działa ok.

 

Co dalej?

 

Jakie mogły być tego przyczyny jeśli nie wirus. Nie wiem ale wydaje mi się, że w tym samym czasie co to się zaczęło dziać chyba się jakieś aktualizacje systemowe instalowały, ale nie pamiętam dobrze.

 

A może uszkodzony dysk?

[picasso]

Temat przenoszę do działu Windows 7.

 

 

Odinstalowałem IE9 i wygląda na to, że problemy ustąpiły.

 

To teraz spróbuj go zainstalować ponownie, z instalatora pobranego na dysk: Internet Explorer 9.

 

 

Jakie mogły być tego przyczyny jeśli nie wirus. Nie wiem ale wydaje mi się, że w tym samym czasie co to się zaczęło dziać chyba się jakieś aktualizacje systemowe instalowały, ale nie pamiętam dobrze.

 

Nie sądzę, że to wirus. Można podejrzewać: błędy pobierania / instalacji IE9, błędy dysku.

 

 

A może uszkodzony dysk?

 

Oczywiście tradycyjnie można: sprawdzić dysk systemowym narzędziem checkdisk + extra przeprowadzić bardziej kompleksową diagnostykę sprzętową przy udziale MHDD.

 

 

---

Możemy przejść do pozostałych zaległych prac:

 

1. Wyrzucenie przestarzałych StarForce. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Na ujawnionej liście Sterowników niezgodnych z Plug and Play szukaj do deinstalacji tych sterowników (one tam powinny w większości występować pod nazwami wyświetlanymi "StarForce..." a nie podanymi tu systemowymi):

 

DRV - [2003-09-06 15:37:22 | 000,062,656 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\prohlp02.sys -- (prohlp02)
DRV - [2003-09-06 14:27:06 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\sfhlp01.sys -- (sfhlp01)
DRV - [2003-09-06 14:25:52 | 000,051,744 | ---- | M] (Protection Technology) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\prodrv06.sys -- (prodrv06)
DRV - [2003-09-06 14:22:08 | 000,006,944 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\prosync1.sys -- (prosync1)

 

2. Przeczyszczenie przeglądarek z pasków sponsoringowych:

• Uruchom menedżer rozszerzeń Firefox i odinstaluj adware: free-downloads.net Community Toolbar, DAEMON Tools Toolbar, Virtus Search Opt-in, vShare Toolbar.
  
• Wejdź do Panelu sterowania do modułu deinstalacji i usuń ponownie: free-downloads.net Toolbar i vShare Plugin (tak, to jest ten meczowy dodatek, wątpliwej reputacji, wciskający śmieci w przeglądarki).
  
• Następnie uruchom AD-Remover w trybie usuwania, który powinien dokasować szczątki vShare i Conduit.
  

Po przeprowadzeniu obu akcji wygeneruj nowy log z OTL opcją Skanuj oraz AD-Remover trybu skanowania (nie usuwania). Na ich podstawie zmontuję końcowy skrypt czyszczący.

 

 

 

 

 

 

.

[kular]

Zainstalowałem IE9. Wszystko działa ok. Powinienem zainstalować wersję 64 bitową prawda?

 

Tych sterowników nie znalazłem w tym spisie. Nie było ich ani pod tymi nazwami ani pod Starforce.

 

Odinstalowałem wszystko wg zaleceń.

 

Oto nowe logi:

 

Ad-Report-CLEAN1.txt

Ad-Report-SCAN1.txt

OTL.Txt

[picasso]

Powinienem zainstalować wersję 64 bitową prawda?

 

Tak. Zresztą instalator 32-bit nawet by się nie zdołał uruchomić, twierdząc że nie jest przeznaczony na ten system. Wersja 64-bit automatycznie montuje i tak podwójny IE (32-bit i 64-bit).

 

 

Tych sterowników nie znalazłem w tym spisie. Nie było ich ani pod tymi nazwami ani pod Starforce.

 

Skoro tam ich nie ma, to będziemy usuwać usługi tych sterowników, bo one nadal są. Oczywiście dodam też wywalanie odpadków po paskach.

 

 

1. Jeszcze raz popraw AD-Remover, bo widzi w preferencjach Firefox jeden wpis vShare:

 

-- File opened: C:\Users\Kulesza\AppData\Roaming\Mozilla\FireFox\Profiles\hw2lqvuc.default\Prefs.js --
Line found: user_pref("vshare.install.fresh", "true"); 
-- File closed --

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - [2003-09-06 15:37:22 | 000,062,656 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\prohlp02.sys -- (prohlp02)
DRV - [2003-09-06 14:27:06 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\sfhlp01.sys -- (sfhlp01)
DRV - [2003-09-06 14:25:52 | 000,051,744 | ---- | M] (Protection Technology) [Kernel | System | Stopped] -- C:\Windows\System32\drivers\prodrv06.sys -- (prodrv06)
DRV - [2003-09-06 14:22:08 | 000,006,944 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\prosync1.sys -- (prosync1)
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search"
FF - prefs.js..browser.search.selectedEngine: "free-downloads.net Customized Web Search"
[2011-02-26 17:12:56 | 000,002,059 | ---- | M] () -- C:\Users\Kulesza\AppData\Roaming\Mozilla\Firefox\Profiles\hw2lqvuc.default\searchplugins\daemon-search.xml
O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3 - HKU\S-1-5-21-1677014034-4263068508-404753397-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3:64bit: - HKU\S-1-5-21-1677014034-4263068508-404753397-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O3 - HKU\S-1-5-21-1677014034-4263068508-404753397-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} -  File not found
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-1677014034-4263068508-404753397-1000..\Run: [RGSC]  File not found
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\98f7f45e-249e-4c36-8c57-233f5304b081]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{08FF730A-494F-4cba-AA0B-E4F1D44715F9}]
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany. Otworzy się log z wynikami.

 

3. Wystarczy do oceny tylko log z usuwania OTL.

 

I to byłby koniec zmagań.

 

 

 

.

[kular]

Nie wiem czy wszystko się wykonało bo system nie uruchomił się ponownie po wykonaniu skryptu w OTL a OTL sam się zamknął po chwili wykonywania skryptu. Z tego co zauważyłem to doszedł do tego

[emptyflash]

[emptytemp]

 

Po uruchomieniu systemu ponownie pojawił się taki plik:

08132011_173151.txt

[picasso]

To jest fragment raportu po resecie. Czy nie ma części przed restartem (patrz w katalogu C:\_OTL)?

[kular]

Niestety nie ma. Jest tylko ten co załączyłem.

[picasso]

Sądzę, że skrypt się wykonał, ale daj pro forma nowy log OTL z opcji Skanuj (bez Extras), który udowodni co się stało.

[kular]

OTL.Txt

[picasso]

Wszystko wykonane.

 

1. Odinstaluj AD-Remover. Przez SHIFT+DEL skasuj z dysku te dwa folderki:

 

[2011-08-13 17:31:51 | 000,000,000 | ---D | C] -- C:\_OTL
[2011-08-12 20:08:15 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0

2. Zaktualizuj softy:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416015FF}" = Java™ 6 Update 15 (64-bit)
"{64A3A4F4-B792-11D6-A78A-00B0D0160150}" = Java™ SE Development Kit 6 Update 15 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 26
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Gadu-Gadu 10" = Gadu-Gadu 10
"Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl)

• Zaktualizuj Liska: Firefox 5.0.1
  
• Wszystkie Java odinstaluj, wstaw najnowsze wersje (32-bit i 64-bit, to są dwa instalatory): Java SE 7 (JRE).
  
• Zamień wersje czytnika PDF: Adobe Reader X (10.1.0). Nie zaznaczaj montażu sponsora.
  
• Starszy Flash (wg Security Check to 10.3.181.34) w obu wariantach odinstaluj i zamontuj Adobe Flash Player 10.3.183.5 (tę stronę trzeba otworzyć po kolei w IE i Firefox, bo są podawane inne instalatory, ponownie: nie zaznaczaj montażu sponsora).
  
• Mam też propozycję wymiany ciężkiego GG10 oblepionego gniotami / reklamami programem: natywnie 64-bitowym, bez reklam, portable, z dobrą obsługą GG10 (i importem archiwum oryginalnego GG10). Ten program to WTW. Opis tu: Darmowe komunikatory.
  

3. Wyczyść foldery Przywracania systemu (by pozbyć się punktów, które mogą mieć nagrane wadliwe pliki IE): INSTRUKCJE.

 

Żegnamy się.

 

 

.

[kular]

Ok. Wszystko zrobione. I wygląda na to, że wszystko ładnie działa. Wykonałem pełny Checkdisk i defragmentację za pomocą PuranDefrag bo widziałem, że polecasz ten program. Zrobiłem też skanowanie dysku za pomocą HDTune i dysk czysty i SMART też beż żadnych realokowanych czy przygotowanych do przeniesienia sektorów. MHDD nie udało mi się uruchomić bo nie widzi dysku.

 

Dziękuję bardzo za pomoc. Obyło się bez reinstalacji a to dla mnie ważne.

Na pewno będę polecał to forum znajomym.

 

pozdrawiam

kular