Skocz do zawartości

Aplikacja nie została właściwie zainicjowana (0xc000007b)


Rekomendowane odpowiedzi

Od jakiegoś czasu po włączeniu systemu pojawia się komunikat o treści: "Aplikacja nie została właściwie zainicjowana (0xc000007b). Kliknij przycisk OK aby zakończyć aplikację." Po kliknięciu ok komputer po krótkiej chwili się restartuje. Podejrzewam, że przyczyną problemu może być upośledzenie pracy antywirusa (po uruchomieniu avasta pojawia się komunikat treści: "Program antywirusowy avast został zatrzymany lub jego stan jest niespójny. Uruchom program ponownie aby podjąć ochronę systemu."

Zrobiłam stan z combofixa, było to pierwszą rzeczą która przyszła mi do głowy po nieudanej próbie instalacji innego oprogramowania antywirusowego. Załączam również loga z tego skanu, a także logi obowiązkowe, zrobione juz po użyciu combofixa.

Proszę o sprawdzenie logów i pomoc w rozwiązaniu problemu. Z góry dziękuję.

Extras.Txt

GMER.txt

OTL.Txt

ComboFix.txt

checkup.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Niestety, jest tu infekcja Sality, czyli atakująca i sukcesywnie niszcząca wszystkie pliki wykonywalne na wszystkich dyskach. Wszelkie aplikacje zwracające błąd uruchomienia są już zaatakowane przez wirusa, uszkodzone i nadają się do wyrzucenia, jeśli nie będą mogły zostać wyleczone. Przypuszczalne źródło złapania: urządzenie USB, bo widać na wszystkich dyskach podczepione ukryte pliki autorun.inf. Składniki infekcji:

 

---- Kernel code sections - GMER 1.0.15 ----

 

? C:\WINDOWS\system32\drivers\nqjlkn.sys Nie można odnaleźć określonego pliku. !

 

DRV - File not found [Kernel | Unknown | Running] -- -- (amsint32)

 

PRC - [2010-09-22 12:46:28 | 000,035,840 | ---- | M] () -- C:\Documents and Settings\Parqr\Ustawienia lokalne\temp\wf1bad.exe

PRC - [2010-09-22 12:41:50 | 000,011,776 | ---- | M] () -- C:\Documents and Settings\Parqr\Ustawienia lokalne\temp\wininejai.exe

PRC - [2010-09-22 12:41:16 | 000,035,840 | ---- | M] () -- C:\WINDOWS\Temp\wa5bcb.exe

PRC - [2010-09-22 12:38:32 | 000,029,696 | ---- | M] () -- C:\Documents and Settings\Parqr\Ustawienia lokalne\temp\winycklix.exe

PRC - [2010-09-22 12:37:00 | 000,011,776 | ---- | M] () -- C:\WINDOWS\Temp\idhpkd.exe

 

O32 - AutoRun File - [2010-09-22 12:32:54 | 000,000,233 | RHS- | M] () - C:\autorun.inf -- [ FAT32 ]

O32 - AutoRun File - [2010-09-22 12:32:53 | 000,000,331 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2010-09-22 12:32:53 | 000,000,327 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]

[2010-09-22 12:32:54 | 000,103,140 | RHS- | M] () -- C:\efbik.exe

 

Dodatkowo: masz zapewne uszkodzony Tryb awaryjny, bo Sality zajmuje się kasowaniem klucza SafeBoot z rejestru.

 

Infekcja jest bardzo ciężka do usunięcia, może wymagać Reperacji XP z płyty CD (jeśli zniszczenia zaszły za daleko), a przy nieskutecznym leczeniu często kończy się totalnym formatem. Dla porównania podobny temat: KLIK. Rozpocznę od próby usuwania spod działającego Windows:

 

 

1. Wstępne usuwanie zostanie przeprowadzone w OTL. To nie zdejmie aktywności wirusa, jest czyszczeniem pola i redukcją składników przeładowujących (pliki autorun.inf). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
autorun.inf /alldrives
efbik.exe /alldrives
 
:Services
amsint32
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij przez Wykonaj skrypt. System będzie restartował, dostaniesz z tego log (zachowaj go do późniejszego wglądu), i natychmiast przejdź do tej operacji:

 

2. Pobierz SalityKiller: KLIK / KLIK. Podaję dwa linki, ponieważ przypuszczalnie pierwszy przy aktywnej infekcji się nie otworzy. Rozpakowany program umieść bezpośrednio na C:\. W Start > Uruchom > wklej polecenie uruchomienia skanu i jednoczesnego zapisu do raportu:

 

C:\salitykiller.exe -v -l C:\killerlog.txt

 

Wszelkie programy, które po tej operacji nadal nie będą działać, kwalifikują się tylko do całkowitego usunięcia z systemu.

 

3. Pobierz paczkę Sality_RegKeys.zip: KLIK. Rozpakuj i ze środka uruchom plik SafeBootWinXP.reg.

 

4. Do oceny: log powstały z usuwania OTL w punkcie 1, nowe logi z OTL + GMER. Zdaj i relację z działania Killera, czyli zawartość raportu C:\killerlog.txt = to będzie bardzo gruby raport, trzeba to będzie jakoś skompresować, lub przekleić z tego raportu tylko wątki tyczące leczenia plików (bym widziała co było naprawiane).

 

 

.

Odnośnik do komentarza

To nie jest pełny log z SalityKiller. Serwisy wklejkowe obcinają baaaardzo długie raporty. A sytuacja = bez zmian. Wszystko co było usuwane zostało zrekonstruowane i jeszcze zaczęły się mnożyć pliki. Sality nadal działa w tle. Powtórz wszystkie kroki raz jeszcze, z tą drobną modyfikacją, że od razu zablokuję uruchamianie plików autorun.inf, a skrypt do OTL będzie nieco inaczej wyglądał. Czyli:

 

1. W OTL wklej w sekcji Własne opcje skanowania / skrypt tę zawartość:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
 
:Files
autorun.inf /alldrives
twva.exe /alldrives
Recycled /alldrives
 
:Services
asc3360pr
amsint32
 
:Commands
[emptytemp]

 

Jak poprzednio: Wykonaj skrypt, będzie restart, otrzymasz log.

 

2. Powtórz operację z SalityKiller oraz importem pliku SafeBootWinXP.reg.

 

3. Do oceny: log z usuwania OTL, seria nowych logów OTL+GMER oraz porządny cały log z SalityKiller (skompresuj do ZIP, ZIP shostuj np. na SpeedyShare i podaj tu link). Dorzuć także log z USBFix z opcji Listing.

 

 

 

PS. Nie używaj funkcji Raportuj do zgłaszania odpowiedzi własnej w temacie. My widzimy, że ktoś napisał, a odpisujemy gdy jesteśmy obecni.

 

 

 

.

Edytowane przez picasso
22.10.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...