Przeglądarki nie uruchamiają się

[Boo]

Witam,

zaczynając od początku komputer w stanie zastanym po poprzednim "mechaniku" ciężko stwierdzić co i jak było czyszczone

 

System Windows XP "pomodzony" SP2 32bit

Antyvirus AVG

 

objawy: brak możliwości uruchomienia iexplore i firefox inne aplikacja np skype czy acrobat reader uruchamiają się

 

W załącznikach logi

dziwna sytuajca miała miejsce podczas uruchamiania gmer'a pojawiło się okno z komunikatem

 

LoadDriver ("c:\DOCUMEN~1\ADMINI~1\USAWI~1\Temp\pgliqpoc.sys") error 0xC000010E: Dla usuwalnego klucza nadrzrzędnego nie można utworzyć trwałego podklucza.

 

Możliwe tylko kliknięcie OK.

 

Jako alternatywę dla gmer zamieściłem z proponowanego na Forum programu RootRepeal

 

Bardzo proszę o pomoc i interpretację logów.

OTL.Txt

Extras.Txt

gmer.txt

checkup.txt

RootRepeal report.txt

[Landuss]

LoadDriver ("c:\DOCUMEN~1\ADMINI~1\USAWI~1\Temp\pgliqpoc.sys") error 0xC000010E: Dla usuwalnego klucza nadrzrzędnego nie można utworzyć trwałego podklucza.

 

To sterownik Gmera więc z nim był tu jakiś problem.

 

objawy: brak możliwości uruchomienia iexplore i firefox inne aplikacja np skype czy acrobat reader uruchamiają się

 

Co to znaczy "brak możliwości uruchomienia"?

 

W logach brak śladów infekcji, jedynie drobne szczątki.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\HBCD\SuperAntiSpyware\SASKUTIL.SYS -- (SASKUTIL)
DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\HBCD\SuperAntiSpyware\SASDIFSV.SYS -- (SASDIFSV)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mod7700.sys -- (mod7700)
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/webResults.html?src=ieb&q={searchTerms}
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-602162358-583907252-725345543-500\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..browser.search.defaultthis.engineName: "midica Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2794175&SearchSource=3&q={searchTerms}"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2794175&q="
[2011-05-20 13:24:50 | 000,000,000 | ---D | M] (MovieBario Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\c95ne7oz.default\extensions\{58beca16-cae6-4b7a-a0e8-153d0cbba63a}
[2010-11-20 11:33:00 | 000,000,000 | ---D | M] (Mario Forever Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\c95ne7oz.default\extensions\{707db484-2428-402d-afb5-d85b387544c7}
[2011-05-20 13:24:48 | 000,000,000 | ---D | M] (midica Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\c95ne7oz.default\extensions\{b7de27ca-0626-478a-95d6-6c0804782455}
[2011-05-20 13:24:52 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\c95ne7oz.default\extensions\engine@conduit.com
[2010-11-02 16:59:46 | 000,000,915 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\c95ne7oz.default\searchplugins\conduit.xml
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-602162358-583907252-725345543-500\..\Toolbar\WebBrowser: (no name) - {707DB484-2428-402D-AFB5-D85B387544C7} - No CLSID value found.
O3 - HKU\S-1-5-21-602162358-583907252-725345543-500\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-602162358-583907252-725345543-500\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[resethosts]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Mario_Forever Toolbar / Winamp Toolbar oraz niepotrzebny Spybot Search & Destroy (program przestarzały)

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

[Boo]

1. Skrypt wykonany

2. Programy Mario_Forever Toolbar / Winamp Toolbar oraz Spybot Search & Destroy odinstalowane

3. OTL zalacznik 1 wynik po wykonaniu skryptu zalacznik 2 i 3 po ponownym skanie OTL i Extras

4. zalacznik 3 logi z AdwCleaner

 

W odpowiedzi na "nie uruchamia się":

firefox czy po kliknięciu czy po wpisaniu ścieżki w "uruchoam" nawet nie pokazuje się w processexplorer sysinternals

iexplore po kliknięcu na ikonę w pasku start na chwilkę się pojawia wraz z podprocesem iedw.exe ale odrazu znika co dziwniejsze uruchomienie z poziomu ProcessExplorera komendy iexplore nie powoduje objawu powyżej

 

 

Z góry dziękuję za pomoc

po-wykonianiu-1-szego-skryptu-03272012_205730.txt

OTL.Txt

Extras.Txt

AdwCleanerR1.txt

[picasso]

Kończąc sprawę czyszczenia ze śmieci:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..extensions.enabledItems: {58beca16-cae6-4b7a-a0e8-153d0cbba63a}:3.3.3.2
FF - prefs.js..extensions.enabledItems: {b7de27ca-0626-478a-95d6-6c0804782455}:3.3.3.2
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\Temp\_ex-08.exe"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Files
C:\Documents and Settings\Administrator\Dane aplikacji\bearsharemediabartb

 

Klik w Wykonaj skrypt. Następnie w OTL uruchom Sprzątanie.

 

2. W AdwCleaner zastosuj Delete. Po tym możesz narzędzie odinstalować przez Uninstall.

 

3. Przekonfiguruj dostawcę wyszukiwania Google Chrome. W opcjach przeglądarki przestaw domyślną wyszukiwarkę np. na Google, zaś Mario Forever Customized Web Search usuń z listy.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

 

W odpowiedzi na "nie uruchamia się":

firefox czy po kliknięciu czy po wpisaniu ścieżki w "uruchoam" nawet nie pokazuje się w processexplorer sysinternals

iexplore po kliknięcu na ikonę w pasku start na chwilkę się pojawia wraz z podprocesem iedw.exe ale odrazu znika co dziwniejsze uruchomienie z poziomu ProcessExplorera komendy iexplore nie powoduje objawu powyżej

 

Na początek zacznij od aktualizacji, system jest w fatalnym stanie i ma krytyczny poziom zabezpieczeń. Do wykonania po kolei:

 

1. Starsza wersja antywirusa AVG 2011 (i wygląda też, że powstała przez aktualizację nakładkową na AVG 2010 a nie czystą instalację). Odinstaluj go przez Panel sterowania, następnie popraw narzędziem AVG Remover uruchomionym z poziomu Trybu awaryjnego Windows. Przy okazji, Skaner on-line mks_vir też do deinstalacji, to stary i martwy skaner.

 

2. Brak Service Packa, przestarzała wersja Internet Explorer jak i Firefox (dodatkowo: linia Firefox 3.6.x oficjalnie zakończy żywot w kwietniu tego roku, i tak będzie mus aktualizacji do linii 11.x), stare Javy i produkty Adobe z krytycznymi lukami. Wszystko uzupełnij: KLIK.

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 16
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.3
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25)

 

Po wykonaniu tych zadań sprawdź co się dzieje z przeglądarkami.

 

 

 

.

[Boo]

punkt 1,2,3,4 zrobione

niestety nie udało się po tych krokach uruchomić żadnej przeglądarki normalnie

Jednak gdy zrobiłem kopie pliku programu firefox.exe i nadalem jej nazwe firefox2.exe program uruchomil sie.

(nie zadziałało z przy zmianie iexplore na iexplore2.exe)

 

AVG (po usunięciu przy pomocy programu AVG Remover) wyrzuca błąd podczas instalacji najnowszej wersji free.

Jestem w trakcie instalacji sp3 jednak to 300 mb na modemie gsm trochę trwa. Jeżeli nie AVG Free może jakieś sugestie co do darmowego antywirusa

 

Ciekawi mnie dlaczego zmiana nazwy pliku uruchamiającego w przypadku firefox pomogła czy jest gdzies w systemie rejestrze zapisane jaki program jak się ma uruchamiać

[Boo]

Aktualizacja do SP3 nie pomoga

Kolejny etap Instalacja Aviry (AVG nie udalo sie zainstalowac) pomog skan ale na poczatku musialem pobrac aktualizacje przez ich narzedzie do budowania paczki bo automatyczne aktualizacje nie chcialy zadzialac

 

log z skanu aviry w zalaczaniku moze pomoze dla potomnych

 

 

Na chwile obecna temat mozna ucznac za zakonczony.

 

Bardzo dziekuje za pomoc

AVSCAN-20120328-154406-ED3A71D5.txt

[picasso]

Kolejny etap Instalacja Aviry (AVG nie udalo sie zainstalowac) pomog skan

 

Ale to ciekawe, bo Avira nic szczególnego tu nie zrobiła, popatrz na wyniki:

 

Begin scan in 'C:\'
C:\Documents and Settings\Administrator\Moje dokumenty\GoD\iGoD.exe
  [DETECTION] Is the TR/VKHost.apy Trojan
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\SweetIM34.zip
  [DETECTION] Contains suspicious code GEN/PwdZIP
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\SweetIM36.zip
  [DETECTION] Contains suspicious code GEN/PwdZIP
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy\Recovery\SweetIM62.zip
  [DETECTION] Contains suspicious code GEN/PwdZIP
C:\Program Files\Wru\Wru.exe
  [DETECTION] Is the TR/Drop.Agent.twa.18 Trojan

 

Wszystkie wyniki kierujące na katalog Spybot są bez znaczenia, pozostałe to programy P2P (Wru + iGoD). Pomijając wątpliwy charakter tych aplikacji (naciąganie i wyłudzanie kasy), jakoś nic mi się tu nie zgadza, by to była przyczyna blokady przeglądarek.... Ani iGoD.exe ani Wru.exe nawet nie stały w działających procesach w OTL. No chyba, że te pliki zostały zainfekowane (lub pobierałeś jakąś ich podejrzaną modyfikację z serwisów pośrednich).

 

 

Starting search for hidden objects.

Hidden thread

[NOTE] A system thread is not visible.

Hidden thread

[NOTE] A system thread is not visible.

Hidden driver

[NOTE] A memory modification has been detected, which could potentially be used to hide file access attempts.

 

Te są znacznie bardziej interesujące, Avira z tym nic nie zrobiła. Nie wiem do czego to podpasować, bo w OTL nie było widać typowego sterownika emulacji napędów wirtualnych (to jest nieinfekcyjna przyczyna dla takich odczytów z "Hidden driver") ... Są tu wprawdzie sterowniki MagicISO i StarOpen, ale nie jestem przekonana, by to było od tego.

 

 

 

.

[Boo]

Przepraszam że nie odpisywałem,

Temat niestety nie może być dalej kontynuowany gdyż komputer jest już 1000 km dalej.

Nie bez znaczenia wg mnie był fakt że Avira sama w sobie nie chciała się zaktualizować i trzeba było pobrać aktualizacje "ręcznie". Plików już nie ma i może faktycznie coś sie do nich dokleiło.

W każdym razie dziękuje jeszcze raz za pomoc. Temat proszę zamknąć.