Nie można uruchamiać plików .exe - "Otwórz za pomocą"


(Kpc21) #1

Mój problem polega na tym, że wczoraj złapałem jakiś syf i nie mogę teraz otwierać żadnych plików *.exe. Pojawia się wtedy okno "Otwieranie za pomocą". Aby uruchomić jakiś program, muszę w tym oknie po prostu wybrać uruchamiany program (ewentualnie skorzystać z opcji Przeglądaj) i wcisnąć OK. Ten problem pojawia się również w trybie awaryjnym. Nie działa też uruchamianie programów za pomocą Windows+R. Proszę o szybką pomoc w jego rozwiązaniu.

http://www.wklej.org/id/b87d6ffe9c - Log z Hijack This

Pozostałe logi (Silent i Combo) zamieszczę, gdy się wygenerują.


(huber2t) #2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\mrofinu1535.exe

c:\windows\system32\mssrv32.exe

C:\WINDOWS\system32\drivers\spools.exe

c:\flciijjq.exe

C:\Documents and Settings\Administrator\cftmon.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Kpc21) #3

Fix za pomocą HJT się udał (odpaliłem go sposobem podanym w 1 poście), lecz nie mogę fixnąć wpisów w Combo.

Wywala błąd "Nie można odnaleźć aplikacji".

i czy cftmon.exe to nie jest czasem aplikacja od aparatu cyfrowego ??


(huber2t) #4

nie to jest trojan ctfmon to jest plik systemowy a jeśli są poprzestawiane literki to jest trojan

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\mrofinu1535.exe

c:\windows\system32\mssrv32.exe

C:\WINDOWS\system32\drivers\spools.exe

c:\flciijjq.exe

C:\Documents and Settings\Administrator\cftmon.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Kpc21) #5

Log z Avengera:

http://www.wklej.org/id/e9aa5697a8

Plików EXE nie mogę uruchamiać nadal, zresztą jak widać w logu - Avenger nie wszystko usunął.


(huber2t) #6

Daj nowego loga z combofix

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(Kpc21) #7

Tego pliku, którego Avenger nie potrafił usunąć nie ma, bo usunąłem go wczoraj ręcznie (zobaczyłem w Menedżerze zadań dziwne procesy, poszperałem w Google co znaczą i usunąłem).

Niektóre jednak wróciły (te, które fixnął Avenger).

I w katalogu głównym C: znalazłem jeszcze plik d.exe. To nie jest czasem też syf ??


(huber2t) #8

Tak usuń ten plik to jest syf

przeskanuj kompa i daj logi


(Kpc21) #9

Przeskanuje ComboFixem i antywirem on-line (nie mam go na kompie ze względu na wydajność komputera - ma już swoje lata).

Nie znasz jakiegoś darmowego antywira, który nie muli kompa jak Avast ??

W dniu 25.04.2008 , o godzinie 16:16 został dopisany post przez HarryPotter

Ponieważ ComboFix nie mógł się uruchomić (nie potrafił odnaleźć pliku regedit.exe :o), zgodnie z sugestią w przyklejonym temacie, skorzystałem z programu Deckard's System Scanner.

Log z Deckarda:

http://www.wklej.org/id/0ac5a4c8c3

Deckard uruchomił się bez problemu (a był w pliku *.exe). Programy też uruchamiają się już OK.

Spróbuję wywalić tego d.exe i przeskanuję kompa Kasperskim on-line. Zobaczymy, co wykaże :wink: .

W dniu 25.04.2008 , o godzinie 16:25 został dopisany post przez HarryPotter

Gdy odpalałem Kasperskiego on-line na siłę chce się zainstalować jakiś OczyszczaczKomputera (nawet jeśli kliknę Anuluj - jedyne wyjście to zabicie procesu IE). Zdziwiło mnie to, że ten program próbuje się zainstalować na siłę i to, że chce się zainstalować tylko z IE - czy to nie syf ??

oczyszczaczdo9.gif

PS. Nie wiem dlaczego IMG nie działa - pewnie to coś nie tak z nowym łączeniem postów :wink: - skopiuj ten adres do paska przeglądarki:

http://img258.imageshack.us/img258/131/ ... aczdo9.gif


(huber2t) #10

fix w hijackthis

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\system32\yayxwTkL.dll

C:\Documents and Settings\Administrator\cftmon.exe

C:\WINDOWS\system32\ssqOHbAt.dll

C:\WINDOWS\system32\jkvfkxtl.dll

C:\WINDOWS\SYSTEM32\ssqOHbAt.dll

C:\WINDOWS\system32\bgelopkx.dll

C:\WINDOWS\system32\iifcYSME.dll

C:\WINDOWS\system32\LkTwxyay.ini2

C:\WINDOWS\system32\yayxwTkL.dll

C:\WINDOWS\system32\nnnljige.dll

C:\WINDOWS\ydhqzop.sys

C:\WINDOWS\system32\opnlJyvu.dll

C:\WINDOWS\system32\byXOhGYQ.dll

C:\d.exe

C:\mxuxc.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

usuń to ręcznie

W dniu 25.04.2008 , o godzinie 16:31 został dopisany post przez huber2t

Daj po tym nowy log z Dss


(Kpc21) #11

Tych pozycji:

sam Hijack mi nie wykrywa.


(huber2t) #12

Możliwe że już ich nie ma ale nie przejmuj się tym zrób wskazówke avengerem i daj log z dss


(Kpc21) #13

Nie wszystkie opcje były w Hijack Thisie (obie O2 oraz O20).

Pliku: C:\mxuxc.exe nie ma - nic dziwnego, bo usunął go Avenger

Log z Avengera:

http://www.wklej.org/id/d522a69af7

Właśnie odpalam Kacperckiego On-line

W dniu 25.04.2008 , o godzinie 18:35 został dopisany post przez HarryPotter

Log z DSS:

http://www.wklej.org/id/0089b46af8


(Leon$) #14

start >> uruchom >> cmd

sc stop msupdate >> Enter

sc delete msupdate >> Enter

sc stop Schedule >> Enter

sc delete Schedule >> Enter

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrobisz to po skanie Kasperskim

:slight_smile:


(Kpc21) #15

Kasperskim już przeskanowałem - oto raport:

http://www.wklej.org/id/660f384c22

Skanowanie przerwałem, bo przez pomyłkę zaznaczyłem dodatkowo napęd CD z Linuksem i partycje Linuksa, których skanowanie nie miałoby sensu. Zrobiłem to oczywiście gdy już dyski C: i D: były przeskanowane.

Teraz zrobię to co napisałeś :wink: .

W dniu 25.04.2008 , o godzinie 21:13 został dopisany post przez HarryPotter

Z tych poleceń do cmd które podałeś nie wszystkie się powiodły:

http://www.wklej.org/id/788f2136a7


(Leon$) #16

usuń

co do Mirca zadecyduj sam http://www.viruslist.pl/riskware.html?chapter=articles&id=41 http://www.viruslist.pl/riskware.html?riskname=Client-IRC

Wyłącz i włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP201\A0035713.exe/stream/data0001/stream/data0014 Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.631 pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP201\A0035713.exe/stream/data0001/stream Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.631 pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP201\A0035713.exe/stream/data0001 Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.631 pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP201\A0035713.exe/stream Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.631 pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP201\A0035713.exe NSIS: zainfekowany - 4 pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0038082.exe Zainfekowanych: Trojan.Win32.Pakes.cso pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0038083.exe Zainfekowanych: Backdoor.Win32.Small.dnw pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0038085.exe/data.rar/crack.exe Zainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.qon pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0038085.exe/data.rar/keygen.exe Zainfekowanych: Trojan-Downloader.Win32.Small.ury pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0038085.exe/data.rar/serial.exe Zainfekowanych: Trojan-Downloader.Win32.Small.usn pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0038085.exe/data.rar Zainfekowanych: Trojan-Downloader.Win32.Small.usn pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0038085.exe RarSFX: zainfekowany - 4 pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0038086.exe Zainfekowanych: Worm.Win32.Socks.fb pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0038087.exe Zainfekowanych: Worm.Win32.Socks.fb pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0038088.exe Zainfekowanych: Worm.Win32.Socks.fb pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0038111.exe Zainfekowanych: Trojan-Downloader.Win32.Small.ury pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0041070.exe Zainfekowanych: Worm.Win32.Socks.fb pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0041071.exe Zainfekowanych: Backdoor.Win32.Small.dnw pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0041072.exe Zainfekowanych: Trojan-Downloader.Win32.Homles.bj pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP207\A0041073.exe Zainfekowanych: Trojan.Win32.Buzus.fit pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP208\A0041135.exe Zainfekowanych: Worm.Win32.Socks.fb pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP208\A0041143.dll Zainfekowanych: Packed.Win32.Monder.gen pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP208\A0041144.dll Zainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.mcg pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP208\A0041145.dll Zainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.mcg pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP208\A0041146.dll Zainfekowanych: Packed.Win32.Monder.gen pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP208\A0041147.exe Zainfekowanych: Trojan.Win32.Pakes.cso pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP208\A0041148.dll Zainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.mcg pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP208\A0041149.dll Zainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.mcg pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP208\A0041150.dll Zainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.qpf pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP208\A0041151.dll Zainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.qni pominięty

#  

# C:\System Volume Information\_restore{41FE7449-2B46-40C1-9BA6-177FA80EAF54}\RP208\A0041152.sys Zainfekowanych: Rootkit.Win32.Agent.ajo pominięty

jeśli chodzi o komunikat to wszystko OK miało usunąć i tak się stało

:slight_smile:


(Kpc21) #17

Mam jednak problem - tamta poprzednia porada usunęła chyba za dużo :wink:

Gdy próbuję się zalogować na konto Administratora, wywala komunikat:

Na szczęście miałem aktywne konto Gościa, zalogowałem się na nie.

W koncie Gościa też nie wszystko jest OK - na pasku zadań nie ma zadań :wink: Mam tylko Start, Pasek języka i godzinę.

Jeśli chodzi o mIRC to podaj mi jakiś klient IRC, który będize bezpieczny :wink:

Pozatym właściwie go nie używam - do IRC służy mi klient wbudowany w Operę, jednak ma on dość ograniczoną funkcjonalność. Dlatego też trzymam mIRC-a.

mam usunąć wszystko, z obu ramek ??

_ W dniu _ 25.04.2008 , o godzinie 21:39 został dopisany post przez HarryPotter

PS. Jako Gość nie mogę usunąć tych plików, ponieważ nie mam dostępu do folderu domowego Administratora, a folderu System Volume Information w ogóle nie widzę nawet, gdy włączę pokazywanie plików ukrytych i systemowych.


(Leon$) #18

Nic nie usuwałem co by wiązało się z kontem

do tego służy wyłączenie przywracania o czym napisałem

:slight_smile:


(huber2t) #19

fix w hijackthis

To sa tylko pozostałości po usunietych plikach

edit:: niewiem jak to wyszło ale to jest do loga co jest pod moim postem


(Kpc21) #20

Jeśli nic nie usuwałeś, spróbuję to skasować spod Linucha :wink:

NIestety wyłączyć i wlączyć przywracania systemu za pomocą sposobu 2 z podanej strony nie da się, bo po prostu na koncie Gościa tej zakładki po prostu nie ma. Sposób 1 nie jest w ogóle podany :wink: .

W dniu 25.04.2008 , o godzinie 22:21 został dopisany post przez HarryPotter

Usunąłem spod linuksa całą zawartość Temporary Internet Files (w końcu to tylko tempy) oraz w całości foldery zainfekowanych punktów przywracania (nie musiałem wyłączać przywracania - i tak spod Linucha wszystko widać).

W dniu 26.04.2008 , o godzinie 17:21 został dopisany post przez HarryPotter

Dodam, że nadal nie mogę się zalogować.

Wykonałem log z konta Gościa - niestety Hijack podczas jego tworzenia wywalał błędy, że nie ma dostępu do niektórych plików.

http://www.wklej.org/id/67182cf8a2

Co mam zrobić, aby móc się zalogować normalnie na konto Administratora ??

W dniu 26.04.2008 , o godzinie 17:57 został dopisany post przez HarryPotter

Na administratora nie mogę się zalogować też z trybu awaryjnego, a panel kont użytkowników w panelu sterowania nie działa (widać tylko puste tło).

Gdy próbuję się dobrać do kont użytkowników z okna Zarządania komputerem, nie mogę otworzyć właściwości konta.

W dniu 26.04.2008 , o godzinie 18:23 został dopisany post przez HarryPotter

Zauważyłem coś - próbowałem zresetować hasło dla Administratora spod konsoli MMC, ale wywaliło komunikat, że usługa "Stacja Robocza" jest wyłączona. Niestety spod Gościa nie mam dostępu do konsoli usług (Błąd 5: Odmowa dostępu).

Tak samo jest, gdy chcę odpalić usługę spod wiersza poleceń (sc).

W dniu 26.04.2008 , o godzinie 19:24 został dopisany post przez HarryPotter

Może ktoś mi pomóc czy naprawdę pozostaje tylko format ??