Bałagan w systemie, dwuklik powoduje wycięcie skrótu

[Eragras]

Witam.

 

Dostałem w rączki laptopa siostry, w celu naprawy systemu.

 

Objawy poczatkowe to, tak jak w temacie, dwuklik powodujący wycinanie skrótów, zamiast otwieranie aplikacji do których skróty prowadzą. Brak możliwości usunięcia jakiegokolwiek programu. Brak możliwości włączenia IE8( pod downgradzie do IE6 nie działa Wupdate). Brak mozliwości odinstalowania servicepacka 3, jak również jego zainstalowania.

 

Format jest niestety wykluczony, ale zapewne na tym forum format nie istnieje

 

Kombinuje nad tym lapkiem jakieś 1,5tyg. Różne manewry ze strony MS. typu http://support.microsoft.com/kb/822798

 

Ręcznie usunąłem aplikacje typu adobe reader wszelkie toolbary. itp. Programem unlocker usunąłem wiele śmieci po aktualizacjach z folderów na dysku C:

 

Skanowałem parę razy programem Tdsskiller, znalazł usunął ale nadal jest to samo.

Wedle podpowiedzi, uruchomiłem CureIt, coś znalazł(niestety nie zapisałem nazwy) wyleczył/usunął ale to i tak nic nie dało.

 

Nie działa dużo opcji typu, otwórz folder docelowy z okienka pobierania FF. Z autouruchamiania USB nie działa żadna opcja. Trzeba wchodzić ręcznie przez moj komp.

 

Starałem się uruchomić różne "FixIt" ze strony M$, ale za każdym razem mam info że skrypt nie został wykonany.

 

OS - XP media Center sp3

 

 

Dodam, że za którymś razem Avast znalazł rootkita podczas skanowania startowego.

Lok. C:\Windows\assembly\GAC_MSIL\Desktop(2)(2)(2).ini win32:Sirefef -PL [Rtk]

 

Z góry dziękuję za jakąkolwiek pomoc.

Będę bardzo wdzięczny.

 

Pozdro.

 

Dziś avast znalazł kolejne 2 zagrożenia, które usunął, ale jak można się było spodziewać, nic to nie dało.

 

Pomoże ktoś pozbyć się tego syfu z kompa? Powoli tracę nadzieje.

 

 

Skan Dr Web CureIt znalazł 14 zagrożeń.

 

Mam screen po neutralizacji

 

Fotka

 

Kombinowałem dalej, ale nic a nic to nie pomaga. Jedyny plus to taki że komp chodzi jakby dostał nowe bebechy. Szybko bez zacięć.

Niestety problemy występujące wcześniej są również teraz. Brak możliwości odinstalowania wielu programów w tym sp3 i update'ów.

Nie da się zainstalować sp3. Dwuklik nadal sprawia że skrót się wycina. IE8 nie działa po wielu reinstalkach i gruntownym czyszczeniu.

Odrzuciłem możliwość formatu ze względu na wiele danych i programów. Ale niestety bez Waszej pomocy będę zmuszony to wszystko skasować, boje się coś kopiować żeby nie wdał się jakiś syf na PD a potem na innego kompa.

 

Nowe logi ---->>>

OTL.Txt

 

Extras.Txt

 

Gmer.txt

 

 

oraz

 

Results of screen317's Security Check version 0.99.61

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````Antivirus/Firewall Check:``````````````

Windows Firewall Enabled!

avast! Antivirus

Antivirus up to date! (On Access scanning disabled!)

`````````Anti-malware/Other Utilities Check:`````````

CCleaner

Adobe Flash Player 11.6.602.180

Adobe Reader XI

Mozilla Firefox (19.0.2)

Mozilla Thunderbird (17.0.2)

````````Process Check: objlist.exe by Laurent````````

Programy Avast AvastSvc.exe

Programy Avast avastUI.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:: 5%

````````````````````End of Log``````````````````````

[Landuss]

Dopiero teraz miałem czas aby zerknąć uważniej w temat. Patrząc na najnowsze logi są ślady starej infekcji ZeroAccess w postaci linku symbolicznego:

 

Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\windows\$NtUninstallKB14293$] ->  -> Unknown point type

 

Tak jak wspominam to tylko szczątek i nie jest ta infekcja obecnie aktywna na tym systemie. Poza tym widzę tylko trochę pustych wpisów do skorygowania i w sumie tyle.

 

1. Uruchom GrantPerms i w oknie wklej:

C:\Windows\$NtUninstallKB14293$

Klik w Unlock.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\qagentrt.dll -- (napagent)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\kmsvc.dll -- (hkmsvc)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\eapsvc.dll -- (EapHost)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\dot3svc.dll -- (Dot3svc)

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\SAVRKBootTasks.sys -- (SAVRKBootTasks)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\378.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\fcdabus.sys -- (fcdabus)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avgidsdriverx.sys -- (AVGIDSDriver)
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{24735BE4-9E1F-4FFD-B8F4-BBD05126FD2B}: "URL" = "http://www.searchgateway.net/search-Google-Gateway.php?q=%7BsearchTerms%7D&sa=Search+Here&client=pub-4642981363251965&forid=1&ie=ISO-8859-1&oe=ISO-8859-1&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BL"C%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A11
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{2A7553C1-C0F4-426A-81EA-EEB7BED73382}: "URL" = "http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63009&p=%7BsearchTerms%7D"
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{9709F1F7-26EA-4E47-A8FC-BE17774DA05A}: "URL" = "http://www.mysearchresults.com/search?&c=2652&t=03&q=%7BsearchTerms%7D"
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found.
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\ShellBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\.DEFAULT..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
O4 - HKU\S-1-5-18..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found

:Files
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB14293$ /C

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Farbar Service Scanner

[Eragras]

Bardzo długo kombinowałem jak sie pozbyć tej infekcji. Różnymi programami. Możliwe, że mi sie udało ale zostały śmieci.

 

Zrobiłem krok po kroku co poleciłeś.

 

Log po wykonaniu skryptu --->> Skrypt log.txt

 

Niestety dwuklik nadal powoduje wycięcie skrótu. Zapewne to pozostałości po infekcji, ale nie mam pojęcia jak to naprawić.

Nadal są problemy z uruchamianiem jakiejkolwiek opcji z autostartu po włożeniu pd bądź płyty.

Z menu startu każdy program muszę uruchamiać kliknieciem Prawy Przyciskiem Myszy i kliknięciem w uruchom.

Lewy przycisk myszy nie działa.

 

Nadal nie moge zainstalować SP3 ponownie... Wyskakuje błąd "An internal error occurred."

 

Log z nowego Skanowania -->> OTL.Txt

 

Edit:

 

Dodam jeszcze że nie mogę odpalić msconfig z polecenia Uruchom z menu start. Tak było również wcześniej.

[Eragras]

Niestety coś się posypało jeszcze gorzej.

Korzystając z porady na innym forum, skopiowałem plik msconfig.exe z folderu pchealtl ....   do system32.

MSconfig udało się odpalić. W autostarcie odptaszkowałem pozycję z adobe flash updater. i wyszedłem z msconfiga. Prosił o ponowne uruchomienie no to uruchomiłem.

 

Od tego momentu nie mogę uruchomić żadnej usługi avasta. w autostarcie siedzi jakiś syf .txt w menedżerze urządzeń nie ma listy z urządzeniami. Nie działa net.

 

Nie zrobiłem nic co w normalnych warunkach zaszkodziłoby systemowi. Usunięcie z autostartu updatera od flasha nie mogło spowodować takich problemów.

 

Chyba się poddaje. Jeśli ktoś czegoś nie wymyśli do wieczora zrobię mu chamowi zerowanie dysku. i postawie windę od nowa.

 

 

 

To by było na tyle.

 

Dziękuję Landuss za pomoc w wyczyszczeniu infekcji. Wiem, że po Twoich podpowiedziach komp jest czysty i mogłem zgrać spokojnie większość danych. Właśnie czyszczę dysk i wgrywam od nowa windowsa.

Starałem się poprawić cokolwiek, ale jak jedno zadziałało to drugie przestało. Najlepszym wyjściem teraz jest reinstalacja.

 

Temat do zamknięcia.