Brak możliwości uruchomienie plików *.exe i centrum zabezpieczeń

[mast1000]

Witam ,

 

 

Jak w temacie brak możliwości uruchomienia Centrum zabezpieczeń i plików wykonywalnych *.exe

Antyvirus Ariva -odinstalowałem -założyłem nowo konto użytkownika z uprawnieniami admina - pliki wykonywalne mogę uruchamiać ale Centrum nadal nie dział

(jak włącze po chwili się wyłącza ) +

OTL.Txt

Extras.Txt

[picasso]

Zabrakło GMER.

 

 

Antyvirus Ariva -odinstalowałem -założyłem nowo konto użytkownika z uprawnieniami admina - pliki wykonywalne mogę uruchamiać ale Centrum nadal nie dział

(jak włącze po chwili się wyłącza ) +

 

Jeśli logi pochodzą z nowego konta, nie pokażą wpisów tamtego konta w obszarze potencjalnego przejęcia EXE. Raporty muszą być tworzone z poziomu konta, które ma defekt (w przyklejonym jest alternatywna wersja OTL = COM). Zaś Centrum nie działa, bo jest tu infekcja odpowiadająca za to. Infekcja ta także wyłączyła MSSE oraz Windows Defender:

 

SRV - [2011-04-27 15:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)
SRV - [2009-07-14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\tasks\xopfwp.job
C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
C:\Windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job
C:\Windows\opfptmp
C:\Windows\Znafia.exe
C:\Windows\System32\cryptsvcb.dll
sc config MsMpSvc start= auto /C
sc config wscsvc start= delayed-auto /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]
 
:Commands
[emptyflash]
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z wynikami.

 

2. Generujesz nowy log z OTL opcją Skanuj. Dołączasz log z wynikami usuwania otrzymany w punkcie 1.

 

 

EDIT: Pisałam nie widząc Twojej odpowiedzi Landuss. EDIT2: Aaa, widzę że post usunąłeś, to ja wymazuję swoją edycję.

 

 

.

[mast1000]

Na nowym koncie jest już chyba ok

Jak odczytać logi z konta gdzie nie mogę uruchomić *.exe

Bardzo zależy mi na tym koncie

OTL.Txt

07012011_152728.txt

[picasso]

Na nowym koncie jest już chyba ok

 

Na każdym koncie powinno być OK pod kątem infekcji związanej z Centrum. Infekcja ta działa globalnie, konta nie poróżniają sprawy, oba widzą to samo.

 

 

Jak odczytać logi z konta gdzie nie mogę uruchomić *.exe

Bardzo zależy mi na tym koncie

 

Przecież mówiłam: "w przyklejonym jest alternatywna wersja OTL = COM". Wchodzisz w temat i pobierasz wersję COM a nie EXE: KLIK. Ta wersja się uruchomi na koncie z niedziałającym EXE.

 

 

 

.

[mast1000]

Ok udało mi się zrobić log z drugiego konta --duże ukłony za szybką pomoc

OTL.Txt

[picasso]

Nie ma tu żadnych wpisów infekcji przejmującej EXE, wszystko jest w porządku (domyślnie ustawione klucze globalne HKLM, brak definicji w HKCU):

 

O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

Czyli nie tu pies pogrzebany. Nie opisałeś szczegółowo problemu na czym w zasadzie polega brak możliwości uruchomienia EXE (co się pokazuje / jaki błąd). Mając już odczyty, że to nie jest związane z modną ostatnio infekcją przechwytującą EXE, nasuwa się problem tego rodzaju: KLIK. Spróbuj wykonać to samo co tam zadałam:

 

 

To w takim razie musi być w innym kluczu zdefiniowane, przypuszczalnie:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe\UserChoice

 

Pobierz Unassoc, zmień nazwę pliku z EXE na COM i uruchom. Na liście wyszukaj EXE i jeśli dlań będzie czynna opcja "Remove file association (User)", skorzystaj z niej. Restart systemu.

 

 

 

.

[mast1000]

niestety ostatnia porada nie dała sutku a pojawia mi się komunikat "stawienie zabezpieczeń internetowych uniemożliwiły otwarcie jednego lub kilku plików"

reset ustawień internetowych nic nie pomaga -

[picasso]

niestety ostatnia porada nie dała sutku a pojawia mi się komunikat "stawienie zabezpieczeń internetowych uniemożliwiły otwarcie jednego lub kilku plików"

reset ustawień internetowych nic nie pomaga -

 

Ale gdzie ten błąd widzisz, na którym etapie? Skąd Ty chcesz plik uruchamiać? Z tego co tu widzę nawet programu nie uruchomiłeś,, bo te błędy sugerują nie ten etap zadania co trzeba.

[mast1000]

Ale gdzie ten błąd widzisz, na którym etapie? Skąd Ty chcesz plik uruchamiać? Z tego co tu widzę nawet programu nie uruchomiłeś,, bo te błędy sugerują nie ten etap zadania co trzeba.

 

programy próbuje odpalić po Total comanderem ,Unassoc odpaliłem z pod konsoli -widzę że problem dotyczy Ultima TC po eksplorerem wszystko ok

[picasso]

A dlaczego spod TC to uruchamiasz?

 

Na temat tego błędu "stref zabezpieczeń", to sprawdzę klucz Zones raz jeszcze pod kątem ofensywnego klucza "L" infekcji. No oczywiście, poprzednio próbowałam to usuwać na nowym koncie, a pierwotnie inne konto było na chodzie (zaćmienie miałam). Poza tym, rozszerzenie EXE na wszelki wypadek sama sprawdzę, bo z tym Unassoc to się nie dogadamy.

 

1. Uruchom OTL, wszystkie opcje skanu ustaw na Brak + żadne, za to w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.exe /S

Klik w Skanuj (a nie Wykonaj skrypt!).

 

2. Przedstaw uzyskany log.

 

 

 

.

[mast1000]

Oto log

OTL.Txt

[picasso]

Kluczyk w Zones jest na tym koncie. To on generuje komunikat stref zabezpieczeń.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\]

Klik w Wykonaj skrypt.

 

2. Dla pewności ręcznie zresetuj system. Wszystko powinno działać.

 

 

 

.

[mast1000]

Teraz jest wszytko w najlepszym porządku --serdeczne dziękuję

 

Czy wpadłoby by jakoś przeczyścić system ?

[picasso]

Czy wpadłoby by jakoś przeczyścić system ?

 

To nie koniec instrukcji.

 

1. W OTL uruchom Sprzątanie, co zlikwiduje kwarantannę OTL z trojanami oraz OTL z dysku. Funkcja wymaga restartu.

 

2. Przeskanuj system przez Malwarebytes' Anti-Malware i zaprezentuj wyniki.

 

 

 

.

[mast1000]

Wynik skanu

 

Malwarebytes' Anti-Malware 1.51.0.1200

www.malwarebytes.org

 

Wersja bazy: 6995

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

2011-07-01 19:48:43

mbam-log-2011-07-01 (19-48-09).txt

 

Typ skanowania: Szybkie skanowanie

Przeskanowano obiektów: 173653

Upłynęło: 2 minut(y), 53 sekund(y)

 

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 2

Zainfekowanych wartości rejestru: 0

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 0

 

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych kluczy rejestru:

HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\R4B1ZAOPF5 (Trojan.FakeAlert.SA) -> No action taken.

 

Zainfekowanych wartości rejestru:

(Nie znaleziono zagrożeń)

 

Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)

 

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

 

Zainfekowanych plików:

(Nie znaleziono zagrożeń)

[picasso]

1. Wyniki MBAM z Trojan.FakeAlert to pozostalości infekcji i usuń.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

Jeśli nie ma już żadnych problemów w systemie, to wszystko z mojej strony.

Edytowane 14 Października 2011 przez picasso
2.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso