Fraunos Opublikowano 12 Lipca 2011 Zgłoś Udostępnij Opublikowano 12 Lipca 2011 Tak jak w temacie - nie działa mi aplikacja. Nie tylko takie błędy wyskakują przy uruchamianiu innych programów (np. "Aplikacja lub biblioteka DLL ...\OpenAL64.dll nie jest poprawnym obrazem systemu Windows NT"), ale ten najbardziej mi przeszkadza. Podejmowałem próby naprawiania tego - odinstalowałem wszystkie .Net Frameworki przy pomocy "cleanup_tool.exe", kiedyś to pomogło, ale wtedy tylko jeden program nie działał, teraz parę ma problemy przy uruchamianiu. Checkup: Results of screen317's Security Check version 0.99.17 Windows XP Service Pack 3 (UAC is disabled!) Internet Explorer 8 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: xp-AntiSpy 3.97-11 CCleaner Java 6 Update 26 Adobe Flash Player 10.3.181.22 Adobe Reader X (10.1.0) ```````````````````````````````` Process Check: objlist.exe by Laurent ``````````End of Log```````````` Reszte logów zamieszcze niedługo. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2011 Zgłoś Udostępnij Opublikowano 13 Lipca 2011 Niestety ..... Kiepsko. Jest tu wirus Sality (infekuje wszystkie wykonywalne na wszystkich dyskach). Jego obecność wykazana tym sterownikiem: DRV - [2011-07-12 23:57:18 | 000,005,077 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\nrhlnk.sys -- (MCIDRV_2600_6_0) Plus całą masą sparowanych plików wg schematu plik.dll + archiwum tego pliku plik.dl_. Jeden z nich aktualnie jako załadowany moduł: MOD - [2011-07-12 23:54:54 | 000,081,920 | ---- | M] () -- C:\WINDOWS\system32\nt558631.dll [2011-07-12 23:55:01 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\xm558631.dll[2011-07-12 23:55:01 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\xm558631.dl_[2011-07-12 15:47:03 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\pm558631.dll[2011-07-12 15:47:03 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\pm558631.dl_[2011-07-11 10:14:55 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\al558631.dll[2011-07-11 10:14:55 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\al558631.dl_[2011-07-04 15:20:34 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\xd558631.dll[2011-07-04 15:20:34 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\xd558631.dl_[2011-07-04 13:50:57 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ce558631.dll[2011-07-04 13:50:57 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\ce558631.dl_[2011-07-04 13:15:50 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\n558631.dll[2011-07-04 13:15:50 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\n558631.dl_[2011-07-03 16:41:48 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\qd558631.dll[2011-07-03 16:41:48 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\qd558631.dl_[2011-06-28 03:24:44 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\q{558631.dll[2011-06-28 03:24:44 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\q{558631.dl_[2011-06-21 17:26:56 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ov558631.dll[2011-06-21 17:26:56 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\ov558631.dl_[2011-06-21 17:26:52 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\lv558631.dll[2011-06-21 17:26:52 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\lv558631.dl_[2011-06-21 11:47:52 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ev558631.dll[2011-06-21 11:47:52 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\ev558631.dl_[2011-06-21 04:29:04 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\nu558631.dll[2011-06-21 04:29:04 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\nu558631.dl_[2011-06-21 04:23:30 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ou558631.dll[2011-06-21 04:23:30 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\ou558631.dl_[2011-06-20 20:54:26 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\uu558631.dll[2011-06-20 20:54:26 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\uu558631.dl_[2011-06-20 03:28:26 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\du558631.dll[2011-06-20 03:28:26 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\du558631.dl_[2011-06-20 01:25:13 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\xt558631.dll[2011-06-20 01:25:13 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\au558631.dll[2011-06-20 01:25:13 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\xt558631.dl_[2011-06-20 01:25:13 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\au558631.dl_[2011-06-19 23:29:35 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\nt558631.dll[2011-06-19 23:29:35 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\nt558631.dl_[2011-06-19 22:36:14 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\qt558631.dll[2011-06-19 22:36:14 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\qt558631.dl_[2011-06-19 20:47:49 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\st558631.dll[2011-06-19 20:47:49 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\st558631.dl_[2011-06-19 16:36:29 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\pt558631.dll[2011-06-19 16:36:29 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\pt558631.dl_[2011-06-19 16:06:29 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ot558631.dll[2011-06-19 16:06:29 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\ot558631.dl_[2011-06-19 13:47:35 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\tz113881.dll[2011-06-19 13:47:35 | 000,044,748 | -H-- | C] () -- C:\WINDOWS\System32\tz113881.dl_[2011-06-07 13:40:02 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\mh558631.dll[2011-06-07 13:39:42 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\nh558631.dll Infekcję tę bardzo ciężko wyleczyć i może nie obyć się bez kompleksowego formatu całego dysku (i nie wolno z niego zbackupować żadnych wykonywalnych, w przeciwnym wypadku infekcja po formacie się odtworzy) ... Są tu dwie partycje, wirus działa "po całości" i obie mogą mieć zainfekowany content: Drive C: | 29,29 Gb Total Space | 7,70 Gb Free Space | 26,27% Space Free | Partition Type: NTFSDrive D: | 119,75 Gb Total Space | 11,09 Gb Free Space | 9,26% Space Free | Partition Type: NTFS 1. Wstępny skrypt do OTL (nie zatrzyma procesu infekowania). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2011-07-12 23:57:18 | 000,005,077 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\nrhlnk.sys -- (MCIDRV_2600_6_0) :Files C:\WINDOWS\System32\xm558631.dll C:\WINDOWS\System32\xm558631.dl_ C:\WINDOWS\System32\pm558631.dll C:\WINDOWS\System32\pm558631.dl_ C:\WINDOWS\System32\al558631.dll C:\WINDOWS\System32\al558631.dl_ C:\WINDOWS\System32\xd558631.dll C:\WINDOWS\System32\xd558631.dl_ C:\WINDOWS\System32\ce558631.dll C:\WINDOWS\System32\ce558631.dl_ C:\WINDOWS\System32\n558631.dll C:\WINDOWS\System32\n558631.dl_ C:\WINDOWS\System32\qd558631.dll C:\WINDOWS\System32\qd558631.dl_ C:\WINDOWS\System32\q{558631.dll C:\WINDOWS\System32\q{558631.dl_ C:\WINDOWS\System32\ov558631.dll C:\WINDOWS\System32\ov558631.dl_ C:\WINDOWS\System32\lv558631.dll C:\WINDOWS\System32\lv558631.dl_ C:\WINDOWS\System32\ev558631.dll C:\WINDOWS\System32\ev558631.dl_ C:\WINDOWS\System32\nu558631.dll C:\WINDOWS\System32\nu558631.dl_ C:\WINDOWS\System32\ou558631.dll C:\WINDOWS\System32\ou558631.dl_ C:\WINDOWS\System32\uu558631.dll C:\WINDOWS\System32\uu558631.dl_ C:\WINDOWS\System32\du558631.dll C:\WINDOWS\System32\du558631.dl_ C:\WINDOWS\System32\xt558631.dll C:\WINDOWS\System32\au558631.dll C:\WINDOWS\System32\xt558631.dl_ C:\WINDOWS\System32\au558631.dl_ C:\WINDOWS\System32\nt558631.dll C:\WINDOWS\System32\nt558631.dl_ C:\WINDOWS\System32\qt558631.dll C:\WINDOWS\System32\qt558631.dl_ C:\WINDOWS\System32\st558631.dll C:\WINDOWS\System32\st558631.dl_ C:\WINDOWS\System32\pt558631.dll C:\WINDOWS\System32\pt558631.dl_ C:\WINDOWS\System32\ot558631.dll C:\WINDOWS\System32\ot558631.dl_ C:\WINDOWS\System32\tz113881.dll C:\WINDOWS\System32\tz113881.dl_ C:\WINDOWS\System32\mh558631.dll C:\WINDOWS\System32\nh558631.dll C:\WINDOWS\System\hwlootlk.qyy C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml %Appdata%\PriceGong %Appdata%\Toolbar4 %Appdata%\wyUpdate AU :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptyflash] [emptytemp] [Ze względu na wulgaryzmy w Twojej nazwie profilu, niektóre ścieżki musiałam robić przez zmienną %Appdata%, bo filtr forum nie puszcza i skrypt się robi nieprawidłowy.] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System będzie restartował. Po restarcie powinien się otworzyć raport z wynikami usuwania. Zachowaj go. 2. Przeskanuj system przez SalityKiller. Skan do skutku, dopóki nie zostanie uzyskany czysty wynik (zero wykrytych). 3. Napraw skasowany Tryb awaryjny. Pobierz paczkę Sality_RegKeys, z niej uruchom plik pasujący do XP. 4. Wygeneruj nowe logi z OTL i GMER, dołącz i log z wynikami usuwania z punktu 1. Także podsumowanie co robił SalityKiller. Aplikacja nie została właściwie zainicjowana (0xc000007b) (...) Podejmowałem próby naprawiania tego - odinstalowałem wszystkie .Net Frameworki przy pomocy "cleanup_tool.exe" Sality niszczy wykonywalne, tak więc to wygląda na konsekwencje obecności wirusa a nie defekt .NET Framework per se. (np. "Aplikacja lub biblioteka DLL ...\OpenAL64.dll nie jest poprawnym obrazem systemu Windows NT") Ten błąd zwykle oznacza, że wzmiankowany na komunikacie plik jest uszkodzony i należy go odnowić. Plik tu podany pochodzi z OpenAL (widzę tę pozycję na Twojej liście zainstalowanych). Sality można też tu by było podpiąć, gdyby nie ciekawostka, figuruje tu OpenAL64.dll, czyli wersja 64-bit a Ty masz 32-bitowy Windows. To samo w sobie może wyjaśniać błąd z komunikatu, bo wersja 64-bit nie będzie oczywiście chodzić na systemie 32-bit.... Trochę poszukałam i ten szczególny błąd to raczej wina patcha, kolekcja użytkowników z tym samym: KLIK. Są tipy ze zmianą nazwy tego pliku: KLIK (podane ścieżki "vistowate", do XP trzeba dopasować). Zostaw to na razie. W ogóle nieistotne przy wirusie Sality, gdy tu format dysku na widoku. . Odnośnik do komentarza
Fraunos Opublikowano 13 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2011 Dziękuję za na prawdę szybką odpowiedź, jestem pod wrażeniem. Jestem już w trakcie skanu SalityKiller, tylko potwornie długo to trwa. Niedługo zamieszczę te logi. Podczas pierwszego skanu wyskoczył mi bluescreen, zdjęcie zamieszczone niżej. To chyba nic związanego z tym wirusem? Chociaż pierwszy raz widzę coś takiego na bluescreenie - żeby znaki były "zepsute". Ponowiłem działanie SalityKiller po restarcie. Odnośnik do komentarza
Fraunos Opublikowano 14 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2011 Od pierwszego uzycia SalityKiller na komputerze czesto wywalaja bluescreeny z kodami (min. 0x0000008E, 0x0000007F) podobnymi do tych przy uruchamianiu zaibfekowanych aplikacji. Nie pozwolilo mi to na razie na ukonczenie nawet 1 pelnego skanu SalityKiller'em. Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2011 Zgłoś Udostępnij Opublikowano 14 Lipca 2011 Obawiam się, że BSODy to jest wynik działania wirusa i postępujących w systemie szkód. Skanowanie w takich warunkach, gdy działa Windows (czyli i wirus aktywnie się roznoszący), jest niestety także mniej skuteczne. Pobierz i wypal na cudzym komputerze płytkę Kaspersky Rescue Disk i z niej przeskanuj zainfekowany przez Sality komputer. Dodatkowa uwaga: leczenie plików z Sality może być niewystarczające i jednak może się okazać konieczne nadpisanie Windows / aplikacji na nowo.... Odnośnik do komentarza
Fraunos Opublikowano 15 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2011 (edytowane) Ok, jestem w trakcie skanu z Rescue Disk. Znalazło sporo wykonalnych z tym Sality, usunąłem je. Dam znać jak skanowanie się zakończy. Mam wysłać jakieś logi odrazu jak się skończy? OTL i tamtą resztę obowiązkowych? ~~~posty połączone~~~ Większość plików wyleczyłem, ale BSODy nie ustąpiły. Na komputerze był jeszcze Trojan, ale wszystkie z nim związane pliki zostały usunięte, nie dało się wyleczyć. ~~~posty połączone~~~ Chyba wszystko już działa Jeśli będzie jakiś problem to się zgłoszę ponownie. Dziękuję! Edytowane 17 Lipca 2011 przez picasso Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2011 Zgłoś Udostępnij Opublikowano 15 Lipca 2011 Fraunos nie tak szybko. Potrzebne są materiały do oceny (raport co robił Kaspersky - jest gdzieś zapisany? oraz logi o których mówiłam) i to nie jest bynajmniej koniec. Odnośnik do komentarza
Fraunos Opublikowano 16 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 16 Lipca 2011 Ok, mam skany. BSODy są nadal, ale rzadziej. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 17 Lipca 2011 Zgłoś Udostępnij Opublikowano 17 Lipca 2011 Raporty nie przedstawiają problemu (co nie znaczy, że go nie ma, gdyż logi są zbyt wąskie). Czy na pewno skan antywirusem nic nie wykrywa? Czy na pewno zostały przeskanowane wszystkie partycje a nie tylko partycja z Windows? W ramach dokończenia procesów czyszczenia należy jeszcze: 1. Pozbyć się kwarantanny OTL. W OTL uruchom Sprzątanie. 2. Pozbyć się kopii plików w folderach Przywracania systemu: INSTRUKCJE. 3. Uwaga dodatkowa: każdy program, który po leczeniu wykazuje dewiacje (nie chce się uruchomić bądź też zwraca błędy), należy przeinstalować z nowego instalatora. BSODy są nadal, ale rzadziej. BSODy się zaczęły przy próbie leczenia SalityKiller. To może oznaczać, że jakieś pliki są uszkodzone i należy je nadpisać nowymi kopiami. Leczenie z Sality nie jest takie proste jakby się to mogło wydawać (skan i już zrobione) i może się okazać wymagane podstawienie określonych plików nowymi kopiami. Nie dostałam tu szczegółowych raportów co w zasadzie było "leczone" narzędziami Kasperskiego. Czy w poniższym folderze nie ma aby raportu (?): [2011-07-15 17:44:28 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0 Diagnostyka BSOD opisana w punkcie nr 5 ogłoszenia: KLIK. Czyli poproszę o debugi zrzutów pamięci. PS. Fraunos proszę stosuj funkcję "Edytuj", jeśli nikt jeszcze nie odpowiedział pod Twoim postem, by uniknąć tworzenia serii postów tego samego autorstwa. Wszystkie posty w ciągu skleiłam. . Odnośnik do komentarza
Fraunos Opublikowano 17 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2011 To ten raport? Z folderu Kaspersky Rescue Disk? Folder report? Nie mam uprawnien do zalaczania takich plikow, zuploadowalem na innej stronie. Prosze. http://www.speedyshare.com/files/29467794/report.7z Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2011 Zgłoś Udostępnij Opublikowano 18 Lipca 2011 (edytowane) To nie jest raport z przeprowadzonych czynności, brak loga tekstowego i nie mam możliwości oceny co zostało zrobione. Co z debugowaniem zrzutów pamięci? I nie odpowiedziałeś na te pytania: Czy na pewno skan antywirusem nic nie wykrywa? Czy na pewno zostały przeskanowane wszystkie partycje a nie tylko partycja z Windows? Edytowane 20 Sierpnia 2011 przez picasso 20.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi