Wszystkie programy uruchamiane poprzez "Wybierz program, którego chcesz użyć..."

[snotf]

Witam,

Moim problemem od pewnego czasu (ok. 2 tyg) jest fakt, że wszystkie programy/pliki .exe otwierają się poprzez okno "Wybierz program, którego chcesz użyć do otwarcia tego pliku".

O dziwo, programy da się uruchomić gdy kliknie się prawym przyciskiem myszy i 'uruchomi jako Administrator'.

Załączam log OTL. Niestety nie jestem w stanie wykonać GMER. Kilkukrotnie próbowałem i po kilku minutach program przestawał działać, a ponowne jego uruchomienie kończyło się Blue Screenem.

Z góry dziękuję za każdą pomoc!

OTL.Txt

Extras.Txt

[picasso]

Niestety nie jestem w stanie wykonać GMER. Kilkukrotnie próbowałem i po kilku minutach program przestawał działać, a ponowne jego uruchomienie kończyło się Blue Screenem.

 

Nie spełniłeś wymogów dla uruchomienia programu: KLIK. Działa sterownik SPTD:

 

DRV - [2010-09-05 13:59:13 | 000,697,328 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

 

 

Moim problemem od pewnego czasu (ok. 2 tyg) jest fakt, że wszystkie programy/pliki .exe otwierają się poprzez okno "Wybierz program, którego chcesz użyć do otwarcia tego pliku".

O dziwo, programy da się uruchomić gdy kliknie się prawym przyciskiem myszy i 'uruchomi jako Administrator'.

 

Przyczyna = niedokładnie usunięta infekcja systemu:

 

O35 - HKU\S-1-5-21-1685381734-691514377-125973876-1000..exefile [open] -- "C:\Users\Marcin\AppData\Local\ghh.exe" -a "%1" %*
O37 - HKU\S-1-5-21-1685381734-691514377-125973876-1000\...exe [@ = exefile] -- "C:\Users\Marcin\AppData\Local\ghh.exe" -a "%1" %*
 
[2011-06-07 23:40:14 | 000,005,918 | -HS- | M] () -- C:\Users\Marcin\AppData\Local\300v0hrfj2i4
[2011-06-07 23:40:14 | 000,005,918 | -HS- | M] () -- C:\ProgramData\300v0hrfj2i4
[2011-05-18 16:21:08 | 000,006,024 | -HS- | M] () -- C:\Users\Marcin\AppData\Local\cs5b421r67o
[2011-05-18 16:21:08 | 000,006,024 | -HS- | M] () -- C:\ProgramData\cs5b421r67o

 

 

---

Będą tu usuwane pozostałości infekcji, komponenty adware i śmieci w przeglądarkach (support@predictad.com / ClickPotatoLite / vShare Toolbar), pliki-śmieci w szale nastukane przez mało rozumne Gadu (chodzi o oszałamiającą ilość plików modelu C:\Users\Marcin\AppData\Local\Temp*.html) i różne puste wpisy.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O35 - HKU\S-1-5-21-1685381734-691514377-125973876-1000..exefile [open] -- "C:\Users\Marcin\AppData\Local\ghh.exe" -a "%1" %*
O37 - HKU\S-1-5-21-1685381734-691514377-125973876-1000\...exe [@ = exefile] -- "C:\Users\Marcin\AppData\Local\ghh.exe" -a "%1" %*
FF - prefs.js..browser.search.defaultenginename: "Crawler Search"
FF - prefs.js..browser.search.order.1: "Crawler Search"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
FF - HKLM\software\mozilla\Firefox\Extensions\\support@predictad.com: C:\Program Files\AutocompletePro\support@predictad.com
FF - HKLM\software\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com: C:\Program Files\ClickPotatoLite\bin\10.0.666.0\firefox\extensions
O3 - HKU\S-1-5-21-1685381734-691514377-125973876-1000\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found.
O3 - HKU\S-1-5-21-1685381734-691514377-125973876-1000\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O4 - HKLM..\Run: [ClickPotatoLiteSA]  File not found
O4 - HKLM..\Run: [RtHDVCpl]  File not found
O4 - HKU\S-1-5-21-1685381734-691514377-125973876-1000..\Run: [bitComet]  File not found
O4 - HKU\S-1-5-21-1685381734-691514377-125973876-1000..\Run: [mydnswatch.exe]  File not found
O4 - HKU\S-1-5-21-1685381734-691514377-125973876-1000..\Run: [rundll32.exe]  File not found
O4 - HKU\S-1-5-21-1685381734-691514377-125973876-1000..\Run: [WAB]  File not found
O9 - Extra Button: ClickPotato - {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} -  File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
SRV - File not found [Auto | Stopped] --  -- (CLTNetCnService)
 
:Files
C:\Users\Marcin\AppData\Local\300v0hrfj2i4
C:\Users\Marcin\AppData\Local\cs5b421r67o
C:\ProgramData\300v0hrfj2i4
C:\ProgramData\cs5b421r67o
C:\Program Files\AutocompletePro
C:\Program Files\ClickPotatoLite
C:\Program Files\Mozilla Firefox\plugins\npclntax_ClickPotatoLiteSA.dll
C:\Program Files\Mozilla Firefox\searchplugins\crawlersrch.xml
C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\u4cyky9y.default\searchplugins\web-search.xml
C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\u4cyky9y.default\extensions\vshare@toolbar
C:\Users\Marcin\AppData\Local\Temp*.html
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{ABEC0563-8BE8-4373-BE2E-621F6127A002}"=-
"TCP Query User{05F3A4E6-F300-4DAE-94F3-AC058450F7AA}C:\program files\sopcast\adv\sopadver.exe"=-
"TCP Query User{18CD49E9-6F56-48EC-AAEC-70C111402399}C:\program files\sopcast\adv\sopadver.exe"=- 
"UDP Query User{69F30C41-B438-41D2-BB2A-75F71868A5A3}C:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{BABF9ED1-1A75-4056-B9F0-97A9B0D02466}C:\program files\sopcast\adv\sopadver.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Rozpocznij operację przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami.

 

2. Wyprodukuj nowe raporty do oceny: OTL z opcji Skanuj (konfigurowany wg wymogów tego forum) + wyniki skanu z AD-Remover. Dorzuć log z wynikami usuwania wygenerowany w punkcie 1.

 

 

 

.

[snotf]

Dziękuję bardzo!

System wygląda 'jak dawniej'

 

Wrzucam wymagane logi. Mam nadzieję, że dobrze to zrobiłem.

Dzięki raz jeszcze.

OTL.Txt

Ad-Report-SCAN1.txt

06172011_154747.txt

[picasso]

Zadanie wykonane pomyślnie, również wyczyszczona spora ilość plików tymczasowych (~4GB). Statystyki dysku przed i po czyszczeniu:

 

Drive C: | 108,06 Gb Total Space | 15,38 Gb Free Space | 14,23% Space Free | Partition Type: NTFS

 

Drive C: | 108,06 Gb Total Space | 19,22 Gb Free Space | 17,79% Space Free | Partition Type: NTFS

 

Ale śmieci GG10 niestety już na nowo się wyprodukowały, czyszczenie jest nietrwałe, uruchomienie Gadu równa się rozpoczęciu procesu od nowa. W raporcie AD-Remover, prócz sponsoringu, widać ostatni składnik infekcji, czyli przekierowanie otwierania Internet Explorer przez plik infekcji:

 

**** Internet Explorer Version [7.0.6000.17037] ****
 
IEXPLORE.EXE\Shell\Open\Command - C:\Users\Marcin\AppData\Local\ghh.exe -a C:\Program Files\Internet Explorer\iexplore.exe

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
""="C:\Program Files\Internet Explorer\iexplore.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{31CF9EBE-5755-4a1d-AC25-2834D952D9B4}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@radialpoint.com/SPA,version=1]
 
:Files
C:\Users\Marcin\AppData\Local\Temp*.html

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Uruchom AD-Remover w trybie usuwania, by dokończył sprawę adware.

 

3. Przeskanuj system za pomocą Malwarebytes' Anti-Malware.

 

4. Przedstaw raport z MBAM oraz nowy log z AD-Remover w trybie skanu.

 

 

 

.

[snotf]

Dzięki!

mbam-log-2011-06-17 (18-07-47).txt

Ad-Report-SCAN2.txt

[picasso]

AD-Remover wykonał robotę. Ale skrypt do OTL nie do końca, import pod kątem IE się jakimś cudem nie wykonał, zaś ja chyba poprzez nieumyślną kasację wyników we własnym Notatniku nie zauważyłam, że również skrót Firefox jest poszkodowany. MBAM to jednak wszystko, zgodnie z przypuszczeniem, widzi:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Marcin\AppData\Local\ghh.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") Good: (firefox.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Marcin\AppData\Local\ghh.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Marcin\AppData\Local\ghh.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> No action taken.

 

1. W MBAM kasowanie ominięte ("No action taken"), wszystko co znalezione usuń za pomocą tego programu.

 

2. Posprzątaj po używanych narzędziach: w OTL uruchom Sprzątanie + odinstaluj AD-Remover, upewniając się że zniknął folder programu C:\Program Files\Ad-Remover.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Do wykonania aktualizacje programów:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java™ 6 Update 21
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java™ 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java™ 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7
"{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish
"Gadu-Gadu" = Gadu-Gadu 7.7
"Gadu-Gadu 10" = Gadu-Gadu 10
"KLiteCodecPack_is1" = K-Lite Codec Pack 3.4.0 Full
"Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17)
"RealAlt_is1" = Real Alternative 1.60

- Zaktualizuj Firefox, Java i Adobe Reader: INSTRUKCJE.

- Duplikat GG7 (mało sprawne i bezpieczne) + GG10 (potwór konsumpcyjny) jest bez sensu. Proponuję odwiedziny tematu Darmowe komunikatory i poczytanie opisów alternatyw: AQQ, Kadu, WTW lub Miranda. Ja polecam WTW: bardzo dobra obsługa Gadu i import archiwów wersji Gadu od 6 do 10, lekki, portable i brak reklam.

- Opcjonalnie można uaktualić i kodeki.

 

5. Oczekuje główna aktualizacja systemu:

 

Windows Vista Home Basic Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.17037)

System w ogóle nieaktualizowany! Nie ma ani jednego Service Packa. Po kolei do instalacji SP1 i SP2: KB935791 (Metoda 3). Następnie odwiedzasz Windows Update i ładujesz wszystkie krytyczne poprawki. Nie zapomnij o Internet Explorer 9. Niezależnie od tego, że używasz Firefox, IE także musi być aktualizowany. To silnik wielu funkcji systemu.

 

 

 

.

[snotf]

Dzięki wielkie za czas i rady.

Wykonam wszystko krok po kroku i mam nadzieję będzie ok.

Jeszcze raz serdecznie dzięki!!!

[picasso]

Wykonam wszystko krok po kroku i mam nadzieję będzie ok.

 

Tematu nie zamknę, dopóki nie zawiadomisz, że wszystko wykonane. Prócz tego, że aktualizacje są istotne pod kątem bezpieczeństwa (luki!), niepokoi mnie, że nie ma tu ani jednego SP doinstalowanego do Vista, chcę uzyskać pewność że to nie wynika z przyczyn technicznych (jakieś uszkodzenie / błędy uniemożliwiające aktualizacje).

[snotf]

Zawiadamiam więc, że SP zostały zainstalowane, poprawki dla Win również. Reszta też, tak jak zaleciłaś (IE, Java, Adobe). Nawet GG wyrzuciłem (obie wersje) zastępując polecanym WTW -> rzeczywiście bardzo przyjemny i nienarzucający się.

Dziękuję bardzo za całą pomoc!