Zaginiony Kosz i nieczynna Opera

[artus72]

Dzień dobry,

 

jakiś czas temu zniknął mi z pulpitu Kosz. Nic to, pomyślałem, w końcu jestem Prawdziwym Twardzielem, więc mogę żyć i bez Śmietnika

 

Od czasu do czasu po odpaleniu Opery wyświetlały mi się komunikaty, jak na załączonych obok obrazkach:

 

Pełna treść pierwszego komunikatu:

SecurityError: Error #2122: Naruszenie obszaru izolowanego: LoaderInfo.content: http://adv.adview.pl/ads/57/XSOOSZRNXLAFZQNNQXLSDDYWLYRHYZ.swf?clickTag=http%3A%2F%2Fad.adview.pl%2Fad%2Freloadwww%3Fatex%3D115172%26url%3D%26dx=100276%26ts=1316453161538 nie może uzyskać dostępu do http://gazeta.hit.gemius.pl/redot.gif?id=nSeaoPt0d32kwwiRXb3.HfU5DtvpfcO4xvMWTnltBuf.47/stparam=rgjjcqsphf. Jest wymagany plik reguł, ale flaga checkPolicyFile nie została ustawiona po wczytaniu tych multimediów.
at flash.display::LoaderInfo/get content()
at MethodInfo-11()

 

po czym jedyne, co mogłem zrobić, to zamknąć przeglądarkę - aplikacja robiła się odporna na klikanie mychą czy wciskanie jakichkolwiek klawiszy.

 

Nic to, pomyślałem. Jestem cierpliwy, więc jakoś wytrzymam te samowolki. W końcu nikt nie mówił, że z komputerami (podobnie jak z kobietami) będzie łatwo

 

Posłusznie zamykałem Operkę, otwierałem ponownie i wredne komunikaty albo się pokazywały albo i nie.

 

Po kilku dniach objawy ustąpiły i nie wróciły więcej.

 

 

Czara goryczy przepełniła się jakieś 3 dni temu. Próba uruchomienia rzeczonej przeglądarki zakończyła się wyświetleniem takiego oto komunikatu:

 

Przeskanowałem system OTL-em (logi w załącznikach), natomiast kilkakrotnie uruchamiany GMER po dotarciu do pewnego miejsca restartował komputer (chwilkę wczesniej był BSOD). Gdy za piątym razem dokładnie prześledziłem proces skanowania, spostrzegłem, że ostatni sprawdzany folder to: C:\Program Files\Opera\locale\

(folder ma wielkość 0 bajtów, ustawiony atrybut tylko do odczytu, nie można go eksplorować ani usuwać; jeśli dobrze pamiętam, to w tym folderze Opera zwykle przechowuje pliki .txt ze zlokalizowanymi menu). Próba otwarcia tego katalogu skutkuje takim oto komunikatem:

 

Nie poszło z GMER-em, więc postanowiłem spróbować z RootReapel-em.

Tu obeszło się bez restartu ale skanowanie zakończylo się dokładnie w tym samym miejscu. Nie mam już sił na kolejne skany... Bardzo proszę o pomoc.

Extras.Txt

OTL.Txt

[Landuss]

Nie wygląda by to była sprawa infekcyjna. Logi są czyste a temat przenoszę do odpowiedniego działu.

 

Jeśli chodzi o zniknięcie Kosza to łatwo przywrócić. Wklej do notatnika taki tekst:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}]
@="Recycle Bin"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}]
@="Recycle Bin"
"InfoTip"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
  6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
  00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\
  2d,00,32,00,32,00,39,00,31,00,35,00,00,00
"SortOrderIndex"=dword:00000060
"IntroText"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
  6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\
  00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\
  2d,00,33,00,31,00,37,00,34,00,38,00,00,00
"LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\
  6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
  00,5c,00,53,00,48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\
  2c,00,2d,00,38,00,39,00,36,00,34,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
  00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
  65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,31,00,00,\
  00
"Empty"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,\
  68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,31,\
  00,00,00
"Full"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,\
  68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,33,00,32,\
  00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\InProcServer32]
@="shell32.dll"
"ThreadingModel"="Apartment"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\ContextMenuHandlers]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\ContextMenuHandlers\{645FF040-5081-101B-9F08-00AA002F954E}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\PropertySheetHandlers]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\PropertySheetHandlers\{645FF040-5081-101B-9F08-00AA002F954E}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder]
"Attributes"=hex:40,01,00,20
"CallForAttributes"=dword:00000040

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik

 

Kosz powinien się pojawić po restarcie na pulpicie.

 

Natomiast jeśli chodzi o Operę to czy sprawdzałeś prostego kroku a więc deinstalacji i ponownej instalacji? Jesli tak i nic tio nie dało to sprawdź czy problem występuje w trybie awaryjnym.

 

[artus72]

Śmietnik wrócił już na swoje miejsce, dziękuję

 

Co do Opery... Folder, o którym pisałem w pierwszym poście nie pozwala się usunąć (ani w trybie normalnym ani awaryjnym), więc można wnioskować, że deinstalacja sie nie powiedzie. Coś siedzi w jego wnętrzu, bo jak inaczej wytłumaczyć jego nieusuwalność?

 

Za którymś razem udało mi się skopiować częściowy log z GMER-a (w tym celu zatrzymałem skanowanie). Widać na nim obiekt o wielkości 0 bajtów. Prawdę mówiąć, w tym samym folderze jest jeszcze jeden element (wielkości ok. 400 KB), niestety, nie udało mi się zdążyć ze skopiowaniem logu przed Blue Screenem i restartem komputera...

 

Nie śmiem kwestionować Twojego doświadczenia, ale mimo wszystko obstawałbym za jakimiś wirusami...

GMER.txt

Gmer2.txt

[Landuss]

Dodałeś log z Gmer i rzeczywiście on sugeruje, że tu może być rootkit w MBR. Wstępnie wykonaj skan za pomocą Kaspersky TDSSKiller. Na początek jeśli coś wykryje wybierz opcję Skip a tutaj przedstaw raport.

[artus72]

TDSSKiller nie wykrył niczego.

 

A co z tym zabezpieczonym folderem?

Czy można go jakoś skasować?

 

 

[EDYTA]

GMER wysypywał się na pliku, który siedział w bad sektorze. Problematyczny folder, przy pomocy Fedory LiveCD, przeniosłem w inne miejsce.

 

Komputer chodził jeszcze chwilę, a potem nastąpiła tzw padara. Cudem udało mi się odzyskać część danych z twardziela. Dobrze, że dysk jest (jeszcze) na gwarancji.

 

Temat można zamknąć.

 

P.S. Najważniejszą rzeczą w komputerze jest solidne chłodzenie (czyli właściwa obudowa). Najgorszą - umieszczanie dwu dysków jeden nad drugim.

W moim kompie dyski nagrzewały się od siebie nawzajem. Ten, który w ogóle nie był chłodzony (jego temperatura dochodziła do 47°C) już dawno wyzionął ducha. Ten poniżej pochodził dłużej, ale też się przegrzał. Dzisiaj kupowałbym inne pudło...

TDSSKiller.txt