rasaka Opublikowano 25 Czerwca 2012 Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Witam, Od dłuższego czasu nie działają niektóre programy np mozilla, chrome, adobe. Pojawia się komunikat typu "Program przestał działać". Daemona usunać nie moge z polecenia uninst ani z dodaj/usun, mimo to sptd usunelam, podczas pracy z gmerem program sie zamknął, za drugim podejściem przeskanował. Załączam logi. edit: zauważyłam, ze nie tylko przy daemonie - każdorazowa proba usunięcia czegokolwiek wywyołuje komunikat: http://www11.speedyshare.com/xNVRF/download/blad.jpg Extras.Txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2012 Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Od dłuższego czasu nie działają niektóre programy np mozilla, chrome, adobe. Pojawia się komunikat typu "Program przestał działać". Twoje przeglądarki są archaiczne (wymagana poważna aktualizacja): Mozilla Firefox (3.6.25) + Google Chrome wygląda gdzieś na wersję przed dziesiątką. Wszystkie produkty Adobe także nie zaktualizowane. Dla porównania ile do przodu są już linie: KLIK. Poza tym, są śmieci adware i coś co nie jest wcale pewne czy to prawdziwy wxDownload. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "ClickPotatoLite@ClickPotatoLite.com"=- "4f8753693f936@4f8753693f937.info"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{4B8C28A7-A9BC-45F8-990D-21499EED643C}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"=- :Files C:\Program Files\mozilla firefox\searchplugins\crawlersrch.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Program Files\Mozilla Firefox\extensions\{F0E1168A-B4B5-484C-B77E-0D28E6B64096} C:\Users\TME\AppData\Roaming\mozilla\Firefox\Profiles\y1zdpmqv.default\extensions\4f8753693f936@4f8753693f937.info C:\Users\Public\Documents\MCE Logs C:\Program Files\ClickPotatoLite C:\ProgramData\8c5688d29fc6b3b0a34aee54990bdc16_c C:\Windows\System32\custmon32i.dll :OTL FF - prefs.js..extensions.enabledItems: {F0E1168A-B4B5-484C-B77E-0D28E6B64096}:1.0 DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\lgsnd_filter.sys -- (lgsnd_filter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\lgodd_filter.sys -- (lgodd_filter) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\TME\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otyrzymasz log z wynikami. 2. Przejdź do Dodaj / Usuń Programy i odinstaluj Babylon toolbar on IE, wxDfast i wxDownload Fast 0.6.0 3. Zastosuj AdwCleaner z opcji Delete. Z tego działania powstanie log. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras, zaznacz też opcję Pomiń pliki Microsoftu). Dołącz log z usuwania OTL z punktu 1 oraz log z AdwCleaner. . Odnośnik do komentarza
rasaka Opublikowano 25 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Wykonane. Podczas usuwania w OTL program przestał działać i został zamknięty, za drugim razem się udało, stąd dwa logi. Programy niestety dalej nie działają. 06252012_185630.txt 06252012_191535.txt AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2012 Zgłoś Udostępnij Opublikowano 25 Czerwca 2012 Hmmm... W pierwszym logu pracował w tle taki oto podejrzany moduł z Temp: ========== Modules (No Company Name) ========== MOD - [2012-01-08 19:36:39 | 000,176,128 | ---- | M] () -- C:\Users\TME\AppData\Local\Temp\fmd8037.tmp Podałam komendę czyszczenia Temp w skrypcie. Aktualny log z OTL pokazuje regenerację i przeskok na nowy moduł z Temp: ========== Modules (No Company Name) ========== MOD - [2012-06-25 19:21:06 | 000,176,128 | ---- | M] () -- C:\Windows\Temp\qsaBBA0.tmp Sprawdź czy tu nie ma jakiegoś wirusa w plikach wykonywalnych ... Ta koncepcja wyjaśniałaby błędy programów oraz błędy integralności NSIS. Pobierz Kaspersky Virus Removal Tool. Przejdź w Tryb awaryjny Windows, uruchom skaner i w konfiguracji zaznacz wszystkie obszary. To znacznie wydłuży skan, ale jest pewniejsze. Podaj mi końcowy raport z wynikami typu "Detected..", o ile coś takiego wystąpi. Inne typy wyników mnie nie interesują. . Odnośnik do komentarza
rasaka Opublikowano 26 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Poszło w 3 h Żadnych kroków nie podejmowałam, skaner z podsumowaniem zostawiam otwarty. Raport ze skanera: log2.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2012 Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Niestety rasaka, moje podejrzenie się sprawdziło. Jest tu wirus Parite, który niszczy pliki wykonywalne. Programy nie działają poprawnie, bo są zmodyfikowane przez wirusa. W aktualnej sytuacji skanuj Kasperskym do skutku, zainfekowane pliki mają być leczone, a jeśli się nie da to wyrzucane (i wtedy należy przeinstalować programy, których to dotyczy). Powtarzaj skan tyle razy, aż Kaspersky przestanie widzieć Parite w plikach. Jeśli leczenie się nie uda zostają już tylko dwie metody: skany z poziomu boot płyty oraz format dysku (i nie wolno z niego skopiować żadnych plików wykonywalnych, bo po formacie zaszczepią wirusa ponownie). . Odnośnik do komentarza
rasaka Opublikowano 26 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Ok, pobawię się kasperskym. Skąd takie coś się wzieło i na przyszłość jak temu zapobiec? Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2012 Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Trudno powiedzieć, może jakiś plik ściągnięty z sieci był zainfekowany i jego uruchomienie rozpoczęło cykl, a może dyski przenośne były źródłem. Dodatkowo: najpierw zacznij od mini usuwacza od AVG specjalizowanego w Parite, bo przeleci szybciej. Dopiero po tym ponów skanowanie Kasperskym. . Odnośnik do komentarza
rasaka Opublikowano 26 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Log z AVG VirusRemover.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2012 Zgłoś Udostępnij Opublikowano 26 Czerwca 2012 Szczepionka jakoby leczyła niektóre pliki. Ponów pełne skanowanie w Kaspersky Removal Tool i zobaczymy jaką diagnozę wystawi. Odnośnik do komentarza
rasaka Opublikowano 27 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2012 Log z Kaspersky'ego log.txt Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Sytuacja zdaje się opanowana. Wykonaj kolejne czynności, w skład których wejdzie i odświeżanie aplikacji, które były zainfekowane a i tak wymagają mocnej aktualizacji. Tu dla porównania wersje wymagające interwencji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 16"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AB67580-257C-45FF-B8F4-C8C30682091A}_is1" = SIW version 2009.10.22"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1"{D1696920-9794-4BBC-8A30-7A88763DE5A2}" = ABBYY FineReader 5.0 Sprint"Adobe Acrobat 4.0" = Adobe Acrobat 4.0"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin"Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25)"Gadu-Gadu" = Gadu-Gadu 7.0 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-758684602-2866623562-3506166022-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"Google Chrome" = Google Chrome Zaznaczę jednak, że wirus Parite zainfekował wszystkie Twoje programy widzialne na liście deinstalacyjnej w rejestrze. Wyniki wirusowe pochodziły zresztą z dysków C i D. 1. W związku z naturą wirusa wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Przedstaw wynikowy log, o ile zostanie wykryte "naruszenie integralności". 2. Porządki po narzędziach: Pobierz nową czystą kopię OTL (poprzednia zainfekowana) i uruchom Sprzątanie, co usunie też szczątki nieprawidłowo usuniętego ComboFix oraz KillBox. Ponadto, przez SHIFT+DEL skasuj z Pulpitu GMER / AdwCleaner oraz wszystkie narzędzia z folderów: C:\Users\TME\Documents\Downloads C:\Users\TME\Desktop\Nowy folder (2) D:\Nowy folder (2) 3. Kopie zapasowe danych przeglądarek: Dla Firefox za pomocą aplikacji MozBackup wykonaj kopię zapasową zakładek i haseł (tylko!). W Google Chrome wyeksportuj zakładki. 4. Deinstalacja obowiązkowa: Firefox, Google Chrome, wszystkie pozycje Adobe Flash, Adobe Reader, Java, HijackThis. Po tym popraw specjalizowanymi usuwaczami: KLIK / KLIK. 5. Plik BAT kasujący z rejestru i dysku pozostałości po części wymienionych aplikacji. Otwórz Notatnik i wklej w nim: reg delete HKLM\SOFTWARE\Google /f reg delete HKLM\SOFTWARE\Mozilla /f reg delete HKLM\SOFTWARE\mozilla.org /f reg delete HKLM\SOFTWARE\MozillaPlugins /f reg delete HKCU\Software\Google /f reg delete HKCU\Software\Mozilla /f reg delete HKCU\Software\MozillaPlugins /f rd /s /q C:\Windows\SoftwareDistribution\Download rd /s /q C:\Windows\ERDNT rd /s /q C:\Windows\System32\Macromed rd /s /q "C:\Program Files\Mozilla Firefox" rd /s /q "C:\Program Files\Google" rd /s /q "C:\Program Files\Java" rd /s /q "C:\Program Files\Adobe\Reader 9.0" rd /s /q "C:\Users\TME\AppData\Local\Adobe\Reader 9.1" rd /s /q C:\Users\TME\AppData\Local\Google rd /s /q C:\Users\TME\AppData\Roaming\mozilla Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > z prawokliku na ten plik wybierz "Uruchom jako Administrator" 6. Zainstaluj najnowsze wersje wyżej wymienionych, zaimportuj kopie zapasowe danych do przeglądarek. Jak mówię: zainfekowanych programów była tu cała chmara i jeśli coś nie działa / zwraca błędy = pełna reinstalacja. 7. Na koniec wyczyść lokalizacje tymczasowe (TFC - Temp Cleaner) oraz foldery Przywracania systemu (KLIK). Wszystkie operacje są istotne, nie idź tu na skróty omijając coś lub odkładając na potem. . Odnośnik do komentarza
rasaka Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Ok jestem przy kroku 4 - mozilli nie moge odinstalowac oraz wxdowloadera, który wczesniej tez nie dało rady, http://www11.speedyshare.com/GXMEU/download/blad.jpg jechać z tym dalej i przejsc do kroku 5 ? Już teraz podaje logi z kroku 1, mam jeszcze logi z opcji verifyonly i scannow, są dosc duże jeśli trzeba dołącze sfc.txt Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Ok jestem przy kroku 4 - mozilli nie moge odinstalowac oraz wxdowloadera, który wczesniej tez nie dało rady, jechać z tym dalej i przejsc do kroku 5 ? To pewnie skutki po Parite i naruszenie struktur plików. W związku z tym w punkcie 4 odinstaluj ile dasz radę, a w punkcie 5 zastosuj BAT o nieco rozszerzonej zawartości adresującej też owe felerne wejścia na liście zainstalowanych i dodatkowy katalog: reg delete HKLM\SOFTWARE\Google /f reg delete HKLM\SOFTWARE\Mozilla /f reg delete HKLM\SOFTWARE\mozilla.org /f reg delete HKLM\SOFTWARE\MozillaPlugins /f reg delete HKCU\Software\Google /f reg delete HKCU\Software\Mozilla /f reg delete HKCU\Software\MozillaPlugins /f reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mozilla Firefox (3.6.25)" /f reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wxDownload Fast_is1" /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{45A66726-69BC-466B-A7A4-12FCBA4883D7} /f rd /s /q C:\Windows\SoftwareDistribution\Download rd /s /q C:\Windows\ERDNT rd /s /q C:\Windows\System32\Macromed rd /s /q "C:\Program Files\Mozilla Firefox" rd /s /q "C:\Program Files\Google" rd /s /q "C:\Program Files\Java" rd /s /q "C:\Program Files\Adobe\Reader 9.0" rd /s /q "C:\Program Files\wxDownload Fast" rd /s /q "C:\Users\TME\AppData\Local\Adobe\Reader 9.1" rd /s /q C:\Users\TME\AppData\Local\Google rd /s /q C:\Users\TME\AppData\Roaming\mozilla mam jeszcze logi z opcji verifyonly i scannow, są dosc duże jeśli trzeba dołącze Mnie interesuje tylko log z filtrowanego sfc /scannow. Są pliki wykryte jako naruszone i narzędzie tego nie naprawiło. Konkretnie komponenty: regedit.exe oraz Microsoft Games. Obawiam się też, że tu uszkodzeń jest więcej niż widać. SFC ma określony smak i sprawdza tylko składniki systemowe, a wirus grasował po wszystkich wykonywalnych. Mogą się stopniowo ujawniać kolejne ciekawostki / uszkodzenia ... Jak mówiłam: wszystko co się dziwne zachowuje po leczeniu = deinstalacja / reinstalacja nakładkowa. Podaj mi poglądowy skan na wystąpienia plików notowanych przez SFC. Pobierz OTL, uruchom i wszystkie opcje ustaw na Brak + Żadne, natomiast w polu Własne opcje skanowania / skrypt wklej: /md5start Chess.exe Hearts.exe FreeCell.exe inkball.exe Mahjong.exe MineSweeper.exe PurblePlace.exe SpiderSolitaire.exe regedit.exe /md5stop Klik w Skanuj i przedstaw log wynikowy. . Odnośnik do komentarza
rasaka Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Punkt 5, po probie odpalenia fix.reg i kliknieciu tak, pokazuje sie komunikat : Log z OTL: OTL.Txt Mogą się stopniowo ujawniać kolejne ciekawostki / uszkodzenia ... Jak mówiłam: wszystko co się dziwne zachowuje po leczeniu = deinstalacja / reinstalacja nakładkowa. Chyba muszę tutaj zadać pytanie, Pani zdaniem co powinnam zrobić działać dalej czy po prostu format, wychodzi, ze tak czy siak trzeba bedzie instalować programy od nowa, a ja nie sądziłam ze sprawa jest tak powazna Odnośnik do komentarza
picasso Opublikowano 28 Czerwca 2012 Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Log z OTL muszę odłożyć w analizie, bo zaraz wychodzę i nie zdążę. Punkt 5, po probie odpalenia fix.reg i kliknieciu tak, pokazuje sie komunikat Przepraszam, z przemęczenia błąd. Nazwa pliku to oczywiście ma być FIX.BAT. Poprawione. Chyba muszę tutaj zadać pytanie, Pani zdaniem co powinnam zrobić działać dalej czy po prostu format, wychodzi, ze tak czy siak trzeba bedzie instalować programy od nowa Na razie spróbujmy jeszcze to podręczyć. Wyniki ze skanerów pokazywały, że więcej uszkodzeń w programach wtórnych niż w komponentach Windows. Te szkody odnotowane przez SFC to łatwo naprawię. . Odnośnik do komentarza
rasaka Opublikowano 28 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 28 Czerwca 2012 Ok, poszło w dodaj/usun juz nie ma mozilli ani wxdownloadera W porządku, w takim razie w tym czasie zabieram sie za instalowanie programow i aktualizacji i baaardzo dziękuje za dotychczasową Pani pomoc, jestem pod ogromnym wrażeniem Pani wiedzy Odnośnik do komentarza
picasso Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 (edytowane) 1. Przesyłam na PW cały fabryczny katalog Games oraz plik regedit.exe w wersjach zgodnych z Vista SP2. Przestaw uprawnienia folderu C:\Program Files\Microsoft Games oraz pliku C:\Windows\regedit.exe stosując się do wytycznych: KLIK. Następnie usuń folder i plik, w te miejsca wstaw moje wersje, przywróć oryginalne uprawnienia. 2. Skasuj log C:\Windows\Logs\CBS\CBS.LOG i ponów komendę sfc /scannow. Zrób log filtrowany do znaczników [sR] i dostarcz tu do oceny. . Edytowane 27 Sierpnia 2012 przez picasso 27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi