Skróty do programów nie uruchamiają się (program.lnk nie jest prawidłową aplikacją systemu Win32)

[GrzegorzB]

Witam,

 

jak w temacie: skróty do programów nie uruchamiają się (program.lnk nie jest prawidłową aplikacją systemu Win32).

Uruchomiłem combofix (załączam log), zanim przeczytałem regulamin forum

Załączam pozostałe logi

 

Z góry dziękuję za udzielenie pomocy.

 

Grzegorz

Addition.txt

combofix.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

[picasso]

Temat przenoszę do działu Windows. To nie wygląda na sprawę infekcji. W spoilerze masz drobne doczyszczanie szczątków adware i wpisów pustych, ale to nie ma związku z problemami.

 

 

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {68C57A20-847B-45C0-901A-1FDAF5544296} - System32\Tasks\EPUpdater => C:\Users\acer\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe 
HKCU\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.intl.acer.yahoo.com
URLSearchHook: HKCU - Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No File
SearchScopes: HKCU - DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKCU - {4D2324C7-6390-4098-B2AA-096618FB9BBE} URL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF Plugin: @divx.com/DivX Content Upload Plugin,version=1.0.0 - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll No File
FF Plugin: @divx.com/DivX Player Plugin,version=1.0.0 - C:\Program Files\DivX\DivX Player\npDivxPlayerPlugin.dll No File
FF HKLM\...\Firefox\Extensions: [ocr@babylon.com] - C:\Program Files\Babylon\Babylon-Pro\Utils\ocr@babylon.com
S2 CLTNetCnService;
R3 catchme; \??\C:\Users\acer\AppData\Local\Temp\catchme.sys [x]
U3 mbr; \??\C:\ComboFix\mbr.sys [x]
C:\Users\acer\Downloads\Babylon10_setup.exe
C:\Users\acer\Downloads\Babylon10_setup(1).exe
C:\Users\acer\Downloads\Download_MaxSDDMnew.exe
C:\Users\acer\Downloads\Download_MaxSDDMnew (1).exe
CMD: sc config "Internet Manager. RunOuc" start= demand

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.Reset nie naruszy zakładek i haseł.

 

3. Wyczyść Google Chrome:

- Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

 

 

 

ComboFix użyty niestety niepotrzebnie. Odinstaluj go w poprawny sposób. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\acer\Downloads\ComboFix.exe /uninstall

 

Radzę pozbyć się też Spybot - Search and Destroy. Cienki program jak na dzisiejsze warunki.

 

 

Skróty do programów nie uruchamiają się (program.lnk nie jest prawidłową aplikacją systemu Win32).

Wstępnie sprawdź co da zresetowanie klucza LNK po stronie bieżącego użytkownika. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk]
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk]
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithList]
 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithProgids]

"lnkfile"=hex(0):

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system.

 

 

PS. Jest tu inna zastanawiająca rzecz. FRST pokazuje trzy usługi Microsoftu, których nie powinno być widać na ustawieniu Whitelist, a GMER wszystkie oznacza jako zablokowane:

 

========================== Services (Whitelisted) =================
 

R2 DcomLaunch; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)

R2 RpcSs; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)

R2 TrkWks; C:\Windows\System32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)

 

 

.

[GrzegorzB]

Witam,

 

cos się stało. Mam czarny ekran i kursor (strzałkę), którą mogę poruszać (w trybie zwykłym i awaryjnym):

 

Wykonałem:

pkt. 1

pkt. 2

NIe mogłem otworzyć Google Chrome (Google Chrome nie jest prawidłową....)

pkt. 3 - usunąłem ComboFix

pkt. 4 - pozbyłem się SpyBot, i kiedy był monit, żebym zrestartował Windows, zrobiłem tak.

Po uruchomieniu czarny ekran i kursor...

[picasso]

NIe mogłem otworzyć Google Chrome (Google Chrome nie jest prawidłową....)

Ale czy Ty otwierałeś Google Chrome przez skrót LNK? Program miał być otworzony wprost z EXE: C:\Users\acer\AppData\Local\Google\Chrome\Application\chrome.exe.

 

 

Mam czarny ekran i kursor (strzałkę), którą mogę poruszać (w trybie zwykłym i awaryjnym)

A Tryb awaryjny z Wierszem polecenia?

 

 

 

.

[GrzegorzB]

Uruchamialem Google przez lnk

Teraz, po włączeniu, jest możliwość wyboru trybu (niestety żaden nie ładuje sie do końca). Ladują sie jakies sterowniki, a po chwili ekran jest czarny i tylko mozna kursorem poruszać

[picasso]

Zrób log FRST z poziomu środowiska zewnętrznego: KLIK.

[GrzegorzB]

Witam,

 

oto log FRST

FRST.txt

[picasso]

Żadnych wybitnych zmian odpowiadających efektowi. Ja jednak sądzę, że te wpisy usług Microsoftu, które zakreślałam, mogą mieć jakieś znaczenie:

 

========================== Services (Whitelisted) =================
 

R2 DcomLaunch; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)

R2 RpcSs; C:\Windows\system32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)

R2 TrkWks; C:\Windows\System32\svchost.exe [21504 2008-01-19] (Microsoft Corporation)

 

One widnieją w GMER jako zablokowane, tak jakby nie było doń uprawnień. Kiedyś rozwiązywałam sprawę czarnego ekranu przy starcie systemu z powodu rozwalenia uprawnień usługi RpcSs. Być może zmiana wystąpiła między restartami systemu, co spowodowało, że dopiero przy kolejnym restarcie ujrzałeś czarny ekran.

 

Poproszę o pełną kopię rejestru SYSTEM do wglądu. Zakładam, że nadal jest dostępny pendrive pod literą F, gdyż nań będę kopiować plik. Otwórz Notatnik i wklej w nim:

 

CMD: copy /y C:\Windows\system32\config\SYSTEM F:\

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Na F powstanie plik fixlog.txt oraz plik SYSTEM. Spakuj wszystko do ZIP, na hosting i podaj link do paczki.

 

 

.

[GrzegorzB]

Zrobiłem według instrukcji. Po wsztstkim, na pendrive mam tylko dwa pliki FRST.exe i fixlog.txt. Nie mam SYSTEM, nie wiem dlaczego.

Załączam fixlog.txt

Fixlog.txt

[picasso]

Powód braku pliku: "The process cannot access the file because it is being used by another process." Może to z powodu podmontowania tego pliku przez FRST. W takim razie ręcznie go skopiuj.

 

Zresetuj system, zbootuj do WinRE, uruchom "Wiersz polecenia", nie uruchamiaj FRST (montuje rejestr). W linii komend wpisz polecenie notepad i ENTER, co otworzy Notatnik. W Notatniku za pomocą menu Plik > Otwórz > z boku klik w Komputer > sprawdź pod jaką literą widać dysk z Windows (to niekoniecznie będzie C). Po upewnieniu się jaka jest litera, w linii komend wklepujesz i ENTER:

 

copy /y X:\Windows\system32\config\SYSTEM F:\

 

Gdzie X = ta wytypowana litera.

 

 

 

.

[GrzegorzB]

Oto link do pliku SYSTEM: http://www.sendspace.pl/file/90d8fabf605533a5908d285

 

Potrzeba jakieś dodatkowe logi?

 

Bardzo proszę o pomoc.

Co mogę jeszcze zrobić?

[picasso]

Posty przypominające usuwam. Grzegorz, jeśli nie pytam o dodatkowe logi, to znaczy, że zbędne. I taka analiza to nie jest 5 minut roboty, nie jestem w stanie bardziej finezyjnych (zaawansowanych) tematów robić szybciej. Czego taki temat ode mnie wymaga: podmontowania Twojego rejestru, precyzyjnej edycji. Nie mogę robić tego byle jak i byle kiedy.

 

Problem jest już oczywisty. Dokładnie to o czym mówiłam: utrata uprawnień kluczy istotnych usług DcomLaunch, RpcSs, TrkWks (kompletnie czyste uprawnienia, żadne konto nie ma dostępu). To produkuje czarny ekran. Te uprawnienia na pewno już były ruszone w momencie zakładania tematu (log z GMER to wykazał), tylko nie zrobiłeś jeszcze wtedy resetu, który ujawniłby usterkę. Tylko jedno jest zastanawiające: co do tego doprowadziło, że uprawnienia zostały zniszczone.

 

Zrekonstruowałam wszystkie uprawnienia. Przesłałam na PW zmodyfikowany plik zapakowany do ZIP. Należy nim podmienić aktualny zdefektowany:

 

1. Z pendrive F:\ usuń obecny plik SYSTEM i umieść tam w zamian ten przesłany plik SYSTEM (w stanie rozpakowanym). Plik musi leżeć luzem, w żadnym podfolderze.

 

2. Zbootuj do WinRE. Uruchom "Wiersz polecenia". Ponownie upewnij się pod jaką literą jest dysk z Windows za pomocą triku z komendą notepad. W linii komend wklepujesz i ENTER:

 

copy /y F:\SYSTEM X:\Windows\system32\config\SYSTEM

 

Gdzie X = ta wytypowana litera.

 

3. Restartujesz do Windows. Jeśli wszystko pójdzie dobrze, wdróż podany wcześniej FIX.REG, zresetuj system i przedstaw czy są gdzieś jakieś problemy.

 

 

 

.

[GrzegorzB]

Wygląda na to, że wszystko w porządku

Dziękuję!

 

Czy mam na coś uważać?

 

 

[picasso]

Jeszcze usuń sobie szczątki, głównie po deinstalacji Spybota. Otwórz Notatnik i wklej w nim:

 

BootExecute: autocheck autochk * sdnclean.exe
C:\Program Files\Spybot - Search & Destroy 2
C:\Windows\System32\Drivers\etc\hosts.20140102-170438.backup
CMD: rd /s /q C:\32788R22FWJFW
CMD: rd /s /q "C:\Users\acer\Desktop\Stare dane programu Firefox"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Dla pewności zrób mi nowy skan FRST spod Windows.

 

 

 

.

[GrzegorzB]

Załączam logi

Fixlog.txt

FRST.txt

[picasso]

OK. Zakończ sprawy:

 

1. Przez SHIFT+DEL skasuj logi, używane narzędzia i te foldery:

 

C:\FRST

C:\Users\acer\Desktop\FRST-OlderVersion

C:\Windows\ERDNT

C:\ProgramData\Spybot - Search & Destroy

 

2. Odinstaluj stare wersje Adobe i Java. I do czytania o Java: KLIK.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

Temat rozwiązany. Zamykam.

 

 

 

.