Problem z uruchamianiem plików

[cichyfull2]

Siemka mam 12 lat i nazywam się Maciek.

Posiadam Windows XP.

Mam problem z wszystkimi plikami pisze mi 'Otwórz Za Pomocą' i jest spora lista.

Ale ja nie chce tego więc jak to naprawić bo wcześniej tego nie było.

A w panelu sterowania jak np chiałe wejść w zapore systemu windows to pisze 'C:\Windows\system32\rundl32.exe'.

Zaczeło się to tak, że włączyłem komputer ok. 2 dni wcześniej i pisało 'rundll32.exe został zamknięty przepraszamy za kłopoty'.

I od tamtej pory siedze na wielu forum i czytam ale nie kapuje jak to zrobić.

Proszę pomórzcie jeżeli to kapujecie i napiszcie to jakoś łatwo żebym to ogarnoł.

OTL.Txt

Extras.Txt

[Landuss]

Zabrakło tu obowiązkowego loga z Gmer więc w kolejnym poście to uzupełnij.

 

A problem z otwieraniem plików prawdopodobnie tkwi w przekonfigurowaniu uruchamiania exe przez infekcję:

 

O35 - HKLM\..exefile [open] -- C:\WINDOWS\svchost.com "%1" %*

O37 - HKLM\...exe [@ = exefile] -- C:\WINDOWS\svchost.com "%1" %*

 

1. Wejdź w panel usuwania programów i odinstaluj następujące pozycje - Babylon toolbar on IE / Conduit Engine / MyAshampoo Toolbar / StartNow Toolbar

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Documents and Settings\MACIEK\Dane aplikacji\Mozilla\Firefox\Profiles\p3cmhx1b.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}
C:\Documents and Settings\MACIEK\Dane aplikacji\Mozilla\Firefox\Profiles\p3cmhx1b.default\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4}
C:\Documents and Settings\MACIEK\Dane aplikacji\Mozilla\Firefox\Profiles\p3cmhx1b.default\extensions\engine@conduit.com
 
:Services
EagleNT
Steam Client Service
 
:Reg
[HKEY_USERS\S-1-5-21-436374069-2139871995-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_USERS\S-1-5-21-436374069-2139871995-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page Restore"=-
[HKEY_USERS\S-1-5-21-436374069-2139871995-682003330-1004\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-21-436374069-2139871995-682003330-1004\Software\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}]
[-HKEY_USERS\S-1-5-21-436374069-2139871995-682003330-1004\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
 
:OTL
FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120401&user_guid=AAB69A40950949C4AF9A2C3838F38FDE&machine_id=5fa4807e523744c04acf8e138fba4734&browser=FF&os=win&os_version=5.1-x86-SP3&q="
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKU\S-1-5-21-436374069-2139871995-682003330-1004..\Run: [Komunikator] C:\PROGRA~1\Tlen.pl\tlen.exe File not found
O4 - HKU\S-1-5-21-436374069-2139871995-682003330-1004..\Run: [steam] "D:\Steam\Steam.exe" -silent File not found
O35 - HKLM\..exefile [open] -- C:\WINDOWS\svchost.com "%1" %*
O37 - HKLM\...exe [@ = exefile] -- C:\WINDOWS\svchost.com "%1" %*
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, zaległy z Gmer oraz z AdwCleaner z opcji Search.

[cichyfull2]

Dzięki ziomek za to dzienks!

 

ile ci to zajeło?

[Landuss]

Nie tak szybko. To jeszcze nie koniec wykonywanych tu czynności. Masz zaprezentować nowe logi z OTL tak jak pisałem wyżej oraz z AdwCleaner i Gmera.

[cichyfull2]

Znowu sie zepsuło. Jest otwieranie za pomocą. Masz nowe logi z OLT i costam z AdwCleaner.

Pomóż

OTL.Txt

AdwCleanerR3.txt

[Landuss]

Jeśli "znowu się zepsuło" to albo nie usunęło się to do końca ostatnim razem albo znów sobie tą infekcję podstawiłeś uruchamiając jakiś zainfekowany plik lub strone www.

 

1. Użyj AdwCleaner tym razem z opcji Delete.

 

2. MyAshampoo Toolbar nadal widnieje jako zainstalowane. Masz z tym jakiś problem? Odinstaluj to w końcu.

 

3. Wykonaj kolejny skrypt do OTL o takiej zawartości:

 

:OTL
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll File not found
O2 - BHO: (StartNow Toolbar Helper) - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll File not found
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll File not found
O3 - HKLM\..\Toolbar: (StartNow Toolbar) - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O35 - HKLM\..exefile [open] -- C:\WINDOWS\svchost.com "%1" %*
O37 - HKLM\...exe [@ = exefile] -- C:\WINDOWS\svchost.com "%1" %*
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine]
 
:Commands
[emptytemp]

 

Klikasz w Wykonaj skrypt. Powinien powstać log, który zachowaj w celu prezentacji

 

4. Pokazujesz nowe logi z OTL oraz log powstały po restarcie w punkcie 3.

[cichyfull2]

Masz tutaj ''nowe logi'' z OLT i i ten Log z pkt 3.

A co dało w AdwCleaner 'delete'?

A MyAshampo usunołem.

Ale nie kapuje co mam usunąć jakie toolbar?

Napisz dokladnie co mam usunąć bo wpisze w 'wyszukaj' i usune.

Jak mam sprawdzić, który plik lub stona mi zaraża te pliki.

Daj nazwę jakiegoś dobrego AntyVirusa bo mam jakiegos zepsutego.

Bo mi się wydaje, że mam sporo Vitusów ale nie mam dobrego AntyVirusa.

Jak możesz daj linka do jakiegoś a jak nie to samą nazwe.

 

Tu masz treść loga bo nie mogę załączyć pisze 'Nie masz uprawniń do wysyłnia tego typu plików' :

''Edit: Już działa'' ''Ale dalej nie znam przyczyny''

 

All processes killed

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6E13D095-45C3-4271-9475-F3B48227DD9F}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6E13D095-45C3-4271-9475-F3B48227DD9F}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{30F9B915-B755-4826-820B-08FBA6BD249D} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{5911488E-9D1E-40ec-8CBB-06B231CC153F} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5911488E-9D1E-40ec-8CBB-06B231CC153F}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\\'' updated successfully.

File C:\WINDOWS\svchost.com "%1" %* not found.

HKEY_LOCAL_MACHINE\Software\Classes\.exe\shell\open\command\\|"%1" %* /E : value set successfully!

HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine\ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: MACIEK

->Temp folder emptied: 667723 bytes

->Temporary Internet Files folder emptied: 1143747 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 5242912 bytes

->Flash cache emptied: 0 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 0 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 7,00 mb

 

 

OTL by OldTimer - Version 3.2.39.2 log created on 04132012_135935

 

Files\Folders moved on Reboot...

File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

OTL.Txt

[Landuss]

A co dało w AdwCleaner 'delete'?

 

To opcja usuwająca szczątki po toolbarach.

 

A MyAshampo usunołem.

Ale nie kapuje co mam usunąć jakie toolbar?

 

W poprzednim logu nie było to usunięte dlatego wspomniałem, ale w tym już tego nie ma więc jest dobrze.

 

Daj nazwę jakiegoś dobrego AntyVirusa bo mam jakiegos zepsutego.

Bo mi się wydaje, że mam sporo Vitusów ale nie mam dobrego AntyVirusa.

 

Masz Avasta i to jest dobry antywirus poza tym jest darmowy. Nie musisz nic zmieniać w tej kwestii. Po prostu bądź bardziej ostrożny kiedy korzytasz z sieci.

 

Jeśli chodzi o obecne logi - to coś tu się nie zgadza bo log z usuwania pokazuje, że wszystko skasowane a log ekstras nadal widzi zapisy od infekcji. Pytanie zasadnicze - czy problem nadal występuje?

[cichyfull2]

Jak mam sprawdzić przyczyne?

[Landuss]

Jaką przyczynę? Infekcja mogła wejść po odwiedzeniu zainfekowanej strony www lub pobraniu zainfekowanego pliku i tego nie da się sprawdzić.

 

Pytam cię czy nadal masz problem z uruchamianiem plików, więc?

[cichyfull2]

spoko już działa jak cos napisze temat i wrzuce logi

[Landuss]

Wykonaj jeszcze czynności na sam koniec:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj Jave do najnowszej wersji - KLIK

 

4. Możesz wykonać skan za pomocą Malwarebytes Anti-Malware

[cichyfull2]

Znowu nie działa.Bez słow masz tu logi.

:( :( :( :( :(

OTL.Txt

[Landuss]

Przyznam, że nie rozumiem skąd to wróciło, albo nie do końca usunięte było ostatnim razem.

 

Wykonaj skrypt o tej zawartości:

 

:OTL
O35 - HKLM\..exefile [open] -- C:\WINDOWS\svchost.com "%1" %*
O37 - HKLM\...exe [@ = exefile] -- C:\WINDOWS\svchost.com "%1" %*
 
:Commands
[emptytemp]

 

Pokazujesz do wglądu nowe logi z OTL.

[cichyfull2]

Tu daj log, który się zrobił po wykonaniu kryptu to jest 1.

2 To Masz tu logi nowe z OLT.

3 Czy jak mi się zepsuje jeszcze kilka razy powiedzmy dla przykładu to pomożesz czy już będzisz miał mnei dość?

 

Po raz kolejny nie moge wrzucić tego loga co powstało na skutek wykonania skryptu wienc tu jest zawartość:

 

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\\'' updated successfully.

File C:\WINDOWS\svchost.com "%1" %* not found.

HKEY_LOCAL_MACHINE\Software\Classes\.exe\shell\open\command\\|"%1" %* /E : value set successfully!

HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: MACIEK

->Temp folder emptied: 25042039 bytes

->Temporary Internet Files folder emptied: 3855326 bytes

->Java cache emptied: 43224 bytes

->FireFox cache emptied: 49251759 bytes

->Flash cache emptied: 718 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: UpdatusUser

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 243715 bytes

RecycleBin emptied: 701807 bytes

 

Total Files Cleaned = 76,00 mb

 

 

OTL by OldTimer - Version 3.2.39.2 log created on 04182012_185756

 

Files\Folders moved on Reboot...

File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

OTL.Txt

[Landuss]

Usunięte. Użyj Sprzątanie z OTL. Mam nadzieje, że to już nie wróci bo nie powinno. A jeśli wraca to sprawdź czy nie popełniasz jakiegoś błędu, który zaognia infekcja na nowo. I nie napisałeś czy skanowałeś dysk przez Malwarebytes jak podałem wcześniej.

[cichyfull2]

Ten anty-virus jest niesamowity wziołem opcje 'Błyskawiczne skanowanie' i odrazu wykryl infekcje i usunął bez żanych problemów może kupie ten anty - virus bo swietny bo zaden nic nie wykrywał.

:D :D :D

[Landuss]

To nie jest antywirus tylko skaner antymalware. Program bardzo dobry nawet w wersji darmowej. W wersji komercyjnej jest ta różnica, że po prostu da się włączyć ochronę w czasie rzeczywistym.

 

Temat zamykam i uznaje za rozwiązany. Gdyby coś się działo - daj znać na PW to go otworzę.