Problem z opcjami "otwórz", "zapisz" itp.

[soob]

Witam.

 

Pytałem już się na innym forum i zostałem odesłany tutaj więc liczę na pomoc!

 

Otóż, mam taki głupi problem ponieważ, od wczoraj kiedy chcę wejść np w opcje "Otwórz plik" (np w Winampie, wordzie itp) to otwiera mi się okienko i kiedy klikam na "Komputer" to zawiesza się program i nie da się nic zrobić jak tylko go zrestartować (program nie PC). To samo jest z opcjami "zapisz" itp.

 

Mam Win7, 64-bit

 

Obrazek z moim problemem

 

Log.txt

[Landuss]

Log z OTL robiony na nie takich ustawieniach jak sobie życzymy na tym forum, w dodatku zabrakło loga dodatkowego. Wszystkie opcje mają być ustawione na "Użyj filtrowania" i tego dopilnuj kolejnym razem.

 

W tym logu wygląda, że tu jest rootkit:

 

DRV - [2010-12-02 21:54:23 | 000,061,440 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\ilvqun.sys -- (cohdyqvh)

 

Przechodzimy do usuwania tego i innych odpadków. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Windows\SysWow64\drivers\ilvqun.sys
 
:Services
cohdyqvh
 
:OTL
IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.skip-search.com/?cfg=2-82-0-2C8NV"
IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://search.babylon.com/home?AF=14676"
IE - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://utils.babylon.com/abt/index.php?url="
O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-268685592-1164845389-3330084532-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware (reboot)] File not found
O4 - HKU\S-1-5-21-268685592-1164845389-3330084532-1000..\Run: [iSUSPM Startup] File not found
 
:Commands
[resethosts]
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[soob]

Ok

Zrobiłem tak jak trzeba

 

Załączam log

 

OTL.Txt

 

Extras.Txt

[Landuss]

Pytanie do ciebie. Czy problem nadal występuje? Bo jeśli tak to będzie trzeba podjąć inne kroki a jeśli nie to przejdziemy do czynności końcowych.

[soob]

Tak problem nadal występuje. Najdziwniejsze jest to, że wszystko chodzi normalnie tylko te okienka dialogowe (zapisz, otwórz itp) się przycinają

 

Btw, Dzisiaj dopiero przeczytałem, że nie można używać ComboFix'a, a ja niestety użyłem, a poza tym nie mam loga do niego

[picasso]

kiedy chcę wejść np w opcje "Otwórz plik" (np w Winampie, wordzie itp) to otwiera mi się okienko i kiedy klikam na "Komputer" to zawiesza się program i nie da się nic zrobić jak tylko go zrestartować (program nie PC). To samo jest z opcjami "zapisz" itp.

 

Sprawdź czy problemu nie generują dodatkowe rozszerzenia powłoki. Pobierz ShellExView w wersji x64. Po uruchomieniu programu kliknij w kolumnę "Company", by ułożyć razem wszystkie niedomyślne rozszerzenia (oznaczone na różowo). Wszystkie różowe zbiorowo zaznacz, z poziomu menu kontekstowego wyłącz i zresetuj komputer. Podaj wyniki.

[soob]

Problem rozwiązany! Ciężko uwierzyć ale przyczyna była drukarka, bo kiedy ją odinstalowałem (miałem problemy z nią) i zainstalowałem od nowa to problem minął.

 

Dziękuję serdecznie za pomoc. Dla pewności dodaje nowe logi z OTL'a.

 

OTL.Txt

Extras.Txt

[picasso]

Przeprowadź końcowe kroki:

 

1. W OTL wywołaj opcję Sprzątanie.

 

2. W programie Autoruns usuń odpadki po ArcaVir (karty Drivers + Internet Explorer):

 

DRV:64bit: - [2009-12-01 19:14:40 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndisMP)
DRV:64bit: - [2009-12-01 19:14:40 | 000,040,528 | ---- | M] (ArcaBit) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\abndis.sys -- (ABndis)
 
O9:64bit: - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found
O9:64bit: - Extra 'Tools' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - Reg Error: Key error. File not found

3. Jest tu uszczerbek w dostawcach Winsock:

 

O10:64bit: - NameSpace_Catalog5\Catalog_Entries\000000000009 [] -  File not found

W pierwszej kolejności w ogóle pokaż do jakiego dostawcy się to odwołuje. Start > w polu szukania wklep regedit > wyeksportuj do wglądu klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5

 

Jeśli ocenię, że 000000000009 to jeden z wpisów natywnych, podam instrukcje jak to naprawić. Jeśli wpis pochodzi od dostawcy niedomyślnego i już usuniętego, do wykonania będą instrukcje przedstawione w spoilerze tego tematu: KLIK. Sugerując się obecnością pozycji "Bonjour" w spisie zainstalowanych programów jest możliwe, że to właśnie szczątki po jakiś nieprawidłowych operacjach usuwania tego.

 

4. Na samym końcu, gdy już powyższe kroki zostaną wykonane, wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

Tak nawiasem mówiąc, to malware w logu raczej nie miało charakterystyki "rootkit", nie na systemie 64-bitowym. Na x64 sterownik poziomu kernel pozbawiony certyfikatu nie może się uruchomić. Tu był status "Stopped".

 

 

Problem rozwiązany! Ciężko uwierzyć ale przyczyna była drukarka, bo kiedy ją odinstalowałem (miałem problemy z nią) i zainstalowałem od nowa to problem minął.

 

Z tego wynika, że potencjalne przyczyny to jedno z tych:

- Wyszukiwanie urządzeń w oknie Mój komputer.

- Drukarka dodała własne rozszerzenie do obszaru NameSpace. Coś na podobieństwo tego: KLIK.

 

 

 

.

[soob]

Zrobiłem Nie bardzo wiem jak użyć tego Autorunsa ale więc nie bd się w to bawił

 

i 3 pkt tez nie bardzo rozumiem wiec daje screena z rejestru

 

Dzieki za pomoc jeszcze raz!

[picasso]

Nie bardzo wiem jak użyć tego Autorunsa ale więc nie bd się w to bawił

 

To jest bardzo proste.

 

• Wchodzisz do karty Drivers i kasujesz usługi o nazwach ABndisMP + ABndis
  
• Wchodzisz do karty Internet Explorer i tam szukasz wszystkich wpisów ArcaVir (z numerkiem {40525A66-DB98-480D-BCF9-7AF88C1AF438}) i kasujesz.
  

i 3 pkt tez nie bardzo rozumiem wiec daje screena z rejestru

 

Ten obrazek jest do kitu, nie pokazuje informacji o którą mi chodzi. Kliknij prawym na klucz NameSpace_Catalog5, z menu kontekstowego wybierz opcję Eksportu i zapisz to do pliku REG. Plik REG otwórz w Notatniku i przeklej z niego wszystko do posta.

 

 

 

.

[soob]

To z tymi Drivers zrobiłem ale w IE nie ma tych wpisów

 

Nowy dokument tekstowy.txt

[picasso]

Podejrzenia się sprawdziły, ten numer 9 to poszkodowany dostawca Bonjour:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000009]
"LibraryPath"="C:\\Program Files (x86)\\Bonjour\\mdnsNSP.dll"
"DisplayString"="mdnsNSP"
"ProviderId"=hex:e9,e6,00,b6,3b,55,19,4a,86,96,33,5e,5c,89,61,53
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000001
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000009]
"LibraryPath"="C:\\Program Files\\Bonjour\\mdnsNSP.dll"
"DisplayString"="mdnsNSP"
"ProviderId"=hex:e9,e6,00,b6,3b,55,19,4a,86,96,33,5e,5c,89,61,53
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000001
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

 

To z tymi Drivers zrobiłem ale w IE nie ma tych wpisów

 

Hmm, powinno być w Autoruns, uwzględnia to miejsce (klucz Extensions) ....

 

---

Obie akcje złączę w jednym imporcie rejestru.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000008
"Num_Catalog_Entries64"=dword:00000008
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000009]
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000009]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{40525A66-DB98-480D-BCF9-7AF88C1AF438}]
 

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik wybierz opcję Importu i wskaż plik FIX.REG.

 

2. Zresetuj komputer.

 

 

 

.

[soob]

Gotowe

 

Mam jeszcze jedno ostatnie pytanie niezwiązane z wirusami ale z PC

 

Wczoraj ok godziny 19 wyłączyłem PC i włączyłem go dopiero ok 22 i nie miałem internetu i w ogóle jakieś głupie rzeczy były

 

wszedłem żeby sprawdzić stan połączenia kliknąłem właściwości i w składnikach miałem włączone jakieś ABdnis Drive (patrz obrazek). Kiedy to wyłączyłem internet wrócił. Moje pytanie: Kto to mógł włączyć i co to jest? Ja na 100% tego nie włączałem bo i po co

 

[picasso]

Wczoraj ok godziny 19 wyłączyłem PC i włączyłem go dopiero ok 22 i nie miałem internetu i w ogóle jakieś głupie rzeczy były

 

wszedłem żeby sprawdzić stan połączenia kliknąłem właściwości i w składnikach miałem włączone jakieś ABdnis Drive (patrz obrazek).

 

"ABdnis Drive" = spójrz co usuwałeś w Autoruns: ABndisMP + ABndis. To filtr ArcaVir nałożony na urządzenie sieciowe.

 

Kiedy to wyłączyłem internet wrócił.

 

Podświetl tę pozycję i odinstaluj.

 

 

 

 

.

[soob]

ok. zrobione

Zastanawia mnie tylko kto to włączył

[picasso]

Zastanawia mnie tylko kto to włączył

 

Nie rozumiem pytania, bo to oczywistość. Ten filtr na urządzeniu pojawia jako skutek instalacji antywirusa ArcaVir. Filtr cały czas działał, pomimo że rzekomo antywirus się odinstalował w całości, bo został czynny sterownik ArcaVir w systemie. Nie notowałeś żadnych problemów z tym fantomem, dopóki nie ruszyłam sterownika ArcaVir. Jego usunięcie w Autoruns spowodowało naruszenie filtra, a w konsekwencji brak sieci urządzenia filtrowanego przez ten sterownik.

[soob]

Nie rozumiem pytania, bo to oczywistość. Ten filtr na urządzeniu pojawia jako skutek instalacji antywirusa ArcaVir. Filtr cały czas działał, pomimo że rzekomo antywirus się odinstalował w całości, bo został czynny sterownik ArcaVir w systemie. Nie notowałeś żadnych problemów z tym fantomem, dopóki nie ruszyłam sterownika ArcaVir. Jego usunięcie w Autoruns spowodowało naruszenie filtra, a w konsekwencji brak sieci urządzenia filtrowanego przez ten sterownik.

A teraz rozumiem

 

Dziękuje jeszcze raz za wszystko!!

Temat chyba do zamkniecia

Edytowane 1 Lutego 2011 przez picasso
Temat rozwiązany, zamykamy. //picasso