Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Aplikacja nie została właściwie zainicjalizowana (0xc00007b)

TerioX

Przez TerioX
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

TerioX

TerioX

Opublikowano
Opublikowano

Otóż moim problemem jest to, iż nie działa mi kilka aplikacji. Dodatkowo przy niektórych wyświetla się błąd typu "Aplikacja lub biblioteka DLL ...\OpenAL64.dll nie jest poprawnym obrazem systemu Windows NT".

Próbowałem już przeinstalowywać .Net Frameworki ale niestety nie dało to żadnych skutków. W załącznikach zamieszczam logi. (Logi z gmera zamieszczę niedługo)

Extras.Txt

OTL.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Log z OTL tworzony na ustawieniach z innego forum, poprzez wklejanie w oknie do skanu rzeczy. Proszę nie zakładać, że wszędzie jest tak samo.

 

 

Otóż moim problemem jest to, iż nie działa mi kilka aplikacji.

 

Niestety, to jest z przyczyny okropnego wirusa w plikach wykonywalnych Sality:

 

DRV - [2011-11-16 16:14:30 | 000,005,077 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ilqqmm.sys -- (MCIDRV_2600_6_0)
 
[2011-11-16 16:39:07 | 000,044,686 | -H-- | M] () -- C:\WINDOWS\System32\ro327185.dl_
[2011-11-16 16:14:30 | 000,005,077 | ---- | M] () -- C:\WINDOWS\System32\drivers\ilqqmm.sys
[2011-11-16 15:54:28 | 000,081,920 | ---- | M] () -- C:\WINDOWS\System32\ro327185.dll
[2011-11-15 22:13:03 | 000,081,920 | ---- | M] () -- C:\WINDOWS\System32\qo327185.dll
[2011-11-15 22:13:03 | 000,044,686 | -H-- | M] () -- C:\WINDOWS\System32\qo327185.dl_

 

Wirus ten niszczy wszystkie pliki wykonywalne na wszystkich dyskach. Błąd "Aplikacja nie została właściwie zainicjalizowana (0xc00007b)" pokazuje się, gdyż pliki są już uszkodzone i one muszą być po pierwsze wyleczone z wirusa, a gdy to nie zmieni sytuacji = zastąpione zupełnie nowymi kopiami. Infekcja jest tego rodzaju, iż może się okazać konieczny format dysku i będzie to humanitarne. Przygotuj się na to psychicznie i uwaga = nie wolno Ci skopiować żadnego pliku wykonywalnego do kopii zapasowej, bo wirusa rozsiejesz.

 

Wirus wszedł za pomocą zarażonego urządzenia przenośnego typu pendrive, przy udziale techniki autorun.inf.

 

 

Dodatkowo przy niektórych wyświetla się błąd typu "Aplikacja lub biblioteka DLL ...\OpenAL64.dll nie jest poprawnym obrazem systemu Windows NT".

 

To inny problem. Cytuję co powiedziałam w innym temacie:

 

Ten błąd zwykle oznacza, że wzmiankowany na komunikacie plik jest uszkodzony i należy go odnowić. Plik tu podany pochodzi z OpenAL (widzę tę pozycję na Twojej liście zainstalowanych). Sality można też tu by było podpiąć, gdyby nie ciekawostka, figuruje tu OpenAL64.dll, czyli wersja 64-bit a Ty masz 32-bitowy Windows. To samo w sobie może wyjaśniać błąd z komunikatu, bo wersja 64-bit nie będzie oczywiście chodzić na systemie 32-bit.... Trochę poszukałam i ten szczególny błąd to raczej wina patcha, kolekcja użytkowników z tym samym: KLIK. Są tipy ze zmianą nazwy tego pliku: KLIK (podane ścieżki "vistowate", do XP trzeba dopasować).

Zostaw to na razie. W ogóle nieistotne przy wirusie Sality, gdy tu format dysku na widoku.

 

 

Próba leczenia:

 

1. Wstępne usuwanie (nie zatrzyma procesu infekowania i nie uleczy zainfekowanych już plików) i wprowadzenie blokady wykonawczej dla autorun.inf. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - [2011-11-16 16:14:30 | 000,005,077 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\ilqqmm.sys -- (MCIDRV_2600_6_0)
O4 - HKCU..\Run: [api32] C:\DOCUME~1\User\USTAWI~1\Temp\apiqq.exe File not found
 
:Files
autorun.inf /alldrives
C:\WINDOWS\System32\ro327185.dl_
C:\WINDOWS\System32\ro327185.dll
C:\WINDOWS\System32\qo327185.dll
C:\WINDOWS\System32\qo327185.dl_
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\igfxdv32.exe"=- 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\igfxdv32.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Po restarcie powinien się otworzyć raport z wynikami usuwania. Zachowaj go.

 

2. Przeskanuj system przez SalityKiller. Skan do skutku, dopóki nie zostanie uzyskany czysty wynik (zero wykrytych).

 

3. Napraw skasowany Tryb awaryjny. Pobierz paczkę Sality_RegKeys, z niej uruchom plik pasujący do XP.

 

4. Wygeneruj nowe logi do oceny: OTL z opcji Skanuj na ustawieniach z tego forum + zaległy GMER. Dołącz i log z wynikami usuwania z punktu 1 oraz wyraźnie się wypowiedz czy SalityKiller coś przetwarzał.

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Log z GMER do powtórki, zrobiłeś go w złych warunkach i nie przygotowałeś sytuacji usuwając sterownik SPTD od emulatora (KLIK):

 

DRV - [2011-11-16 16:00:30 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Nic się nie wypowiadasz na temat aktywności SalityKiller, czy on coś w ogóle przetwarzał? W aktualnym OTL wprawdzie brak sterownika Sality (nie odtworzył się czyli lepiej), ale niestety widzę załadowane moduły Sality:

 

========== Modules (No Company Name) ==========
 
MOD - [2011-11-21 15:51:02 | 000,081,920 | ---- | M] () -- C:\WINDOWS\system32\ro327185.dll
MOD - [2011-11-19 11:01:34 | 000,081,920 | ---- | M] () -- C:\WINDOWS\system32\or327185.dll

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Processes
killallprocesses
 
:Files
C:\WINDOWS\System32\ro327185.dl_
C:\WINDOWS\System32\ro327185.dll
C:\WINDOWS\System32\st329213.dll
C:\WINDOWS\System32\st329213.dl_
C:\WINDOWS\System32\vo327185.dll
C:\WINDOWS\System32\vo327185.dl_
C:\WINDOWS\System32\or327185.dll
C:\WINDOWS\System32\or327185.dl_
C:\WINDOWS\System32\qo327185.dll
C:\WINDOWS\System32\qo327185.dl_
C:\WINDOWS\System32\gr327185.dll
C:\WINDOWS\System32\gr327185.dl_

 

Klik w Wykonaj skrypt. Jeśli pomyślnie się przetworzy, wstępnie usuń kwarantannę OTL, przez SHIFT+DEL kasując folder E:\_OTL, by nie wprowadzać zamieszania dla skanera.

 

2. Ponów operację z SalityKiller.

 

3. Wykonaj dodatkowe obszerniejsze skanowanie systemu za pomocą Kaspersky Virus Removal Tool (o ile strona pobierania się otworzy, bo Sality zwykle blokuje URL Kasperskiego). W konfiguracji skanera zaznacz do skanowania wszystkie terytoria.

 

4. Do oceny: Przedstaw wykryte przez Kasperskiego zagrożenia ("Detected threats"), o ile takowe będą, a inny typ wyników mnie nie interesuje. Dodaj nowy log z OTL oraz GMER zrobiony w prawidłowych warunkach.

 

 

 

 

.

Edytowane przez picasso
21.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...