Laptop - dwuklik powoduje wycięcie skrótu.

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
eragras

Użytkownik
Posty: 3
Rejestracja: 20 mar 2013, 09:07

Laptop - dwuklik powoduje wycięcie skrótu.

Post20 mar 2013, 09:17

Witam.

Dostałem w rączki laptopa siostry, w celu naprawy systemu.

Objawy poczatkowe to, tak jak w temacie, dwuklik powodujący wycinanie skrótów, zamiast otwieranie aplikacji do których skróty prowadzą. Brak możliwości usunięcia jakiegokolwiek programu. Brak możliwości włączenia IE8( pod downgradzie do IE6 nie działa Wupdate). Brak mozliwości odinstalowania servicepacka 3, jak również jego zainstalowania.

Format jest niestety wykluczony, ale zapewne na tym forum format nie istnieje ;)

Kombinuje nad tym lapkiem jakieś 1,5tyg. Różne manewry ze strony MS. typu Dostępne tylko dla zarejestrowanych użytkowników

Ręcznie usunąłem aplikacje typu adobe reader wszelkie toolbary. itp. Programem unlocker usunąłem wiele śmieci po aktualizacjach z folderów na dysku C:

Skanowałem parę razy programem Tdsskiller, znalazł usunął ale nadal jest to samo.
Wedle podpowiedzi, uruchomiłem CureIt, coś znalazł(niestety nie zapisałem nazwy) wyleczył/usunął ale to i tak nic nie dało.

Nie działa dużo opcji typu, otwórz folder docelowy z okienka pobierania FF. Z autouruchamiania USB nie działa żadna opcja. Trzeba wchodzić ręcznie przez moj komp.

Starałem się uruchomić różne "FixIt" ze strony M$, ale za każdym razem mam info że skrypt nie został wykonany.

Aktualne LOGI:

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników


Dodam, że za którymś razem Avast znalazł rootkita podczas skanowania startowego.
Lok. C:\Windows\assembly\GAC_MSIL\Desktop(2)(2)(2).ini win32:Sirefef -PL [Rtk]

Z góry dziękuję za jakąkolwiek pomoc.
Będę bardzo wdzięczny.

Pozdro.
Na górę
Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:
Skontaktuj się z kominekl

Laptop - dwuklik powoduje wycięcie skrótu.

Post20 mar 2013, 21:07

Lok. C:\Windows\assembly\GAC_MSIL\Desktop(2)(2)(2).ini win32:Sirefef -PL [Rtk]


Ciężki rootkit Zero Acces. Ale damy radę ;) .

"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"InstallShield_{2C38F661-26B7-445D-B87D-B53FE2D3BD42}" = TOSHIBA PC Diagnostic Tool
"InstallShield_{C0FC3B56-E345-40CD-A5CB-7EB791CE3E74}" = TOSHIBA Password Utility


Odinstaluj. Następnie użyj Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników i Dostępne tylko dla zarejestrowanych użytkowników.

File not found -- C:\Documents and Settings\owner\Desktop\PIT-O ZA 2011R.
File not found -- C:\Documents and Settings\owner\Desktop\NUMER REFERENCYJNY PIT-O ZA 2011R.


Użyj Dostępne tylko dla zarejestrowanych użytkowników do usunięcia tych plików ;) .

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\qagentrt.dll -- (napagent)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\kmsvc.dll -- (hkmsvc)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\eapsvc.dll -- (EapHost)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\dot3svc.dll -- (Dot3svc)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\SAVRKBootTasks.sys -- (SAVRKBootTasks)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\owner\LOCALS~1\Temp\pwldyfog.sys -- (pwldyfog)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\378.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\fcdabus.sys -- (fcdabus)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avgidsdriverx.sys -- (AVGIDSDriver)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (acyy02fm)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\.DEFAULT\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-18\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\CNNSI, = search.sportsillustrated.cnn.com/pages/search.jsp?query=%s
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\Dictionary, = dictionary.reference.com/search?q=%s
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\Google, = google.com/search?q=%s
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\GoogleGroups, = groups-beta.google.com/groups?q=%s
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\GoogleImages, = images.google.com/images?hl=en&lr=&q=%s
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\GoogleNews, = news.google.com/news?tab=gn&hl=en&ie=UTF-8&q=%s&btnG=Search+News
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\KB, = support.microsoft.com/search/default.aspx?query=%s
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\KBDLL, = support.microsoft.com/dllhelp/default.aspx?dlltype=file&l=55&alpha=%s&S=1
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\Movies, = fandango.com/my_box_office.asp?searchby=2&txtCityZip=%s
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\MSN, = search.msn.com/results.asp?q=%s
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\Thesaurus, = thesaurus.reference.com/search?q=%s
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\Weather, = weather.com/weather/local/%s
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\Software\Microsoft\Internet Explorer\SearchURL\Yahoo, = search.yahoo.com/search?p=%s
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes,DefaultScope =
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{018B8E20-B65E-42E8-B5C9-5C227C02DF35}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&rlz=1I7PRFA_en
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{24735BE4-9E1F-4FFD-B8F4-BBD05126FD2B}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&sa=Search+Here&client=pub-4642981363251965&forid=1&ie=ISO-8859-1&oe=ISO-8859-1&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A11
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{2A7553C1-C0F4-426A-81EA-EEB7BED73382}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{2A7956C7-5C19-495E-BBEA-685D3A26E918}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&lng={language}&iy=&ychte=us
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{9709F1F7-26EA-4E47-A8FC-BE17774DA05A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll File not found
FF - HKLM\Software\MozillaPlugins\yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1: C:\Program Files\Yahoo!\Common\npyaxmpb.dll File not found
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found.
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\ShellBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\.DEFAULT..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
O4 - HKU\S-1-5-18..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
O15 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..Trusted Domains: aol.com ([objects] * is out of zone range - 5)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} Dostępne tylko dla zarejestrowanych użytkowników (Windows Genuine Advantage Validation Tool)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Program Files\Yahoo!\Common\yinsthelper.dll (Reg Error: Key error.)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} Dostępne tylko dla zarejestrowanych użytkowników (MUWebControl Class)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {958FCAB0-616B-11D3-A63F-00001B322780} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} Dostępne tylko dla zarejestrowanych użytkowników (Shockwave Flash Object)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL) - File not found
O20 - Winlogon\Notify\dimsntfy: DllName - (%SystemRoot%\System32\dimsntfy.dll) - File not found
[2013-03-15 19:25:22 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013-03-14 14:31:09 | 000,000,000 | ---D | C] -- C:\Documents and Settings\owner\Doctor Web
[2013-03-14 13:00:10 | 001,872,048 | ---- | C] (Crystal Dew World ) -- C:\Documents and Settings\owner\Desktop\CrystalDiskInfo5_4_2-en.exe
[2013-03-12 14:00:31 | 331,805,736 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\owner\Desktop\WindowsXP-KB936929-SP3-x86-ENU.exe
[2013-03-14 13:19:29 | 000,430,184 | ---- | M] () -- C:\Documents and Settings\owner\Desktop\Dr.WEB-CureIt(12976).exe
[2013-03-14 00:19:43 | 002,237,968 | ---- | M] (Kaspersky Lab ZAO) -- C:\Documents and Settings\owner\Desktop\tdsskiller.exe
[2011-09-03 15:18:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\avg9
[2006-08-19 03:16:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Application Data\Protector Suite
[2011-09-03 15:19:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\G DATA
[2009-09-26 18:21:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\PC Optimizer Pro
[2012-08-13 23:49:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\n4wdEJ
[2011-01-25 10:57:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP
[2012-01-05 15:27:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TuneUp Software
[2013-01-20 16:15:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\SpeedMaxPc
[2011-08-30 21:54:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\WinMaximizer
[2007-03-17 11:12:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\YAHOO
[2013-02-12 10:36:00 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Application Data\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2011-08-30 19:37:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}
[2011-09-30 15:07:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2013-01-08 20:47:30 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Application Data\{D1D4879F-2279-49C9-AEBF-3B95C84EAA8F}
[2011-03-13 18:14:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}
[2006-08-19 03:16:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Default User\Application Data\Protector Suite
[2013-01-11 10:58:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Default User\Application Data\TuneUp Software
[2011-09-03 15:18:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\owner\Application Data\AVG
[2011-09-03 15:18:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\owner\Application Data\AVG9
[2013-01-20 15:20:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\owner\Application Data\DriverCure
[2011-06-08 02:26:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\owner\Application Data\Mp3Tube Toolbar(2)
[2006-08-19 03:16:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\owner\Application Data\Protector Suite
[2012-01-05 15:26:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\owner\Application Data\TuneUp Software
[2013-01-20 15:20:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\owner\Application Data\SpeedMaxPc
@Alternate Data Stream - 124 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:0B4227B4
@Alternate Data Stream - 114 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (Z opcji Delete) + log z TDSSKiller + log z Combofix + nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.
Na górę

  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości