Problem z plikami .exe


(Suhy17) #1

Witam. Mam problem z otwieraniem plikow exe jedynie jak je moge otworzyc to poprzez menadzer zadan i pozniej otworz za pomoca i ten sam progam.... ponizej jest link z hijackthis

http://wklejto.pl/46474


(deFco247) #2

Niestety masz Viruta.

Wyłącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP.

Zastosuj szczepionkę FixVirut.com.

Pobierz DR WEB CureIt, kliknij na link do pobrania PPM -> Zapisz element docelowy jako -> zapisz jako typ wszystkie pliki pod nazwą 123.com.

Wykonaj pełny skan, lecz co się da, reszta do usunięcia.

Następnie pobierz Kaspersky Virus Removal Tool, również pełny skan, usuwa co znajdzie.

Po usuwaniu system się może nie uruchomić, w takim przypadku wykonaj instalację nakładkową Windows bez utraty danych.

Po ewentualnej instalacji wyłącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP.

Potem pokaż log z Combofix.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Po skanie Combofix ponownie wyłącz przywracanie systemu włączone przez Combofixa.


(Suhy17) #3

Niestety juz tu mam problem gdyz nie moge sie dostac do tych własciwosci, jest brak reakcji


(deFco247) #4

Zastosuj ExeHelper.

Pokaż log.


(Suhy17) #5

http://wklejto.pl/46480

Zapomnialem jeszcze dodac ze na koncie siostry wszystko smiga normalnie


(deFco247) #6

Na razie...

Złapałeś infekcję, która niszczy pliki .exe i rozprzestrzenia się na cały disk infekując je.

Wykonaj czynności, które podałem w pierwszym poście.


(Suhy17) #7

no wlasnie bardzo chcialbym ale nie moge wgle wylaczyc tego przywracania bo daje moj komputer >> wlasciwosci >> i brak reakcji


(deFco247) #8

Start -> Uruchom... -> cmd

Wpisujesz w oknie:


(Dziadek43) #9
  1. Można ściągnąć plik : UnHookExec, kliknąć na niego prawym i wybrac opcję Instaluj.

W notatnik wkleic to i zapisać jako exefix.reg

Windows Registry Editor Version 5.00


[HKEY_CLASSES_ROOT\.exe]

@="exefile"

"Content Type"="application/x-msdownload"


[HKEY_CLASSES_ROOT\.exe\PersistentHandler]

@="{098f2470-bae0-11cd-b579-08002b30bfeb}"


[HKEY_CLASSES_ROOT\exefile]

@="Application"

"EditFlags"=hex:38,07,00,00

"TileInfo"="prop:FileDescription;Company;FileVersion"

"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"


[HKEY_CLASSES_ROOT\exefile\DefaultIcon]

@="%1"


[HKEY_CLASSES_ROOT\exefile\shell]


[HKEY_CLASSES_ROOT\exefile\shell\open]

"EditFlags"=hex:00,00,00,00


[HKEY_CLASSES_ROOT\exefile\shell\open\command]

@="\"%1\" %*"


[HKEY_CLASSES_ROOT\exefile\shell\runas]


[HKEY_CLASSES_ROOT\exefile\shell\runas\command]

@="\"%1\" %*"


[HKEY_CLASSES_ROOT\exefile\shellex]


[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]

@="{86C86720-42A0-1069-A2E8-08002B30309D}"


[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]


[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PEAnalyser]

@="{09A63660-16F9-11d0-B1DF-004F56001CA7}"


[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]

@="{86F19A00-42A0-1069-A2E9-08002B30309D}"


[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]

@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"


[HKEY_CLASSES_ROOT\regfile]

@="Registration Entries"

"EditFlags"=dword:00100000

"BrowserFlags"=dword:00000008


[HKEY_CLASSES_ROOT\regfile\DefaultIcon]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,72,00,65,00,67,00,65,00,64,00,69,00,74,00,2e,00,65,00,78,00,65,00,\

  2c,00,31,00,00,00


[HKEY_CLASSES_ROOT\regfile\shell]

@="open"


[HKEY_CLASSES_ROOT\regfile\shell\edit]


[HKEY_CLASSES_ROOT\regfile\shell\edit\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\

  54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,25,00,31,00,00,\

  00


[HKEY_CLASSES_ROOT\regfile\shell\open]

@="Mer≥"


[HKEY_CLASSES_ROOT\regfile\shell\open\command]

@="regedit.exe \"%1\""


[HKEY_CLASSES_ROOT\regfile\shell\print]


[HKEY_CLASSES_ROOT\regfile\shell\print\command]

@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\

  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,4e,00,4f,00,\

  54,00,45,00,50,00,41,00,44,00,2e,00,45,00,58,00,45,00,20,00,2f,00,70,00,20,\

  00,25,00,31,00,00,00


[HKEY_CLASSES_ROOT\.lnk]

@="lnkfile"


[HKEY_CLASSES_ROOT\.lnk\ShellEx]


[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214EE-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"


[HKEY_CLASSES_ROOT\.lnk\ShellEx\{000214F9-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"


[HKEY_CLASSES_ROOT\.lnk\ShellEx\{00021500-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"


[HKEY_CLASSES_ROOT\.lnk\ShellEx\{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]

@="{00021401-0000-0000-C000-000000000046}"


[HKEY_CLASSES_ROOT\.lnk\ShellNew]

"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"


[HKEY_CLASSES_ROOT\lnkfile]

@="Shortcut"

"EditFlags"=dword:00000001

"IsShortcut"=""

"NeverShowExt"=""


[HKEY_CLASSES_ROOT\lnkfile\CLSID]

@="{00021401-0000-0000-C000-000000000046}"


[HKEY_CLASSES_ROOT\lnkfile\shellex]


[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers]


[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\Offline Files]

@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"


[HKEY_CLASSES_ROOT\lnkfile\shellex\ContextMenuHandlers\{00021401-0000-0000-C000-000000000046}]


[HKEY_CLASSES_ROOT\lnkfile\shellex\DropHandler]

@="{00021401-0000-0000-C000-000000000046}"


[HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler]

@="{00021401-0000-0000-C000-000000000046}"


[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers]


[HKEY_CLASSES_ROOT\lnkfile\shellex\PropertySheetHandlers\ShimLayer Property Page]

@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"


[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}]

@="Shortcut"


[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\InProcServer32]

@="shell32.dll"

"ThreadingModel"="Apartment"


[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered]


[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}]

@="{00021401-0000-0000-C000-000000000046}"


[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\PersistentHandler]

@="{00021401-0000-0000-C000-000000000046}"


[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\ProgID]

@="lnkfile"


[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex]


[HKEY_CLASSES_ROOT\CLSID\{00021401-0000-0000-C000-000000000046}\shellex\MayChangeDefaultMenu]
  1. exefix, kliknąć na link i Zapisz element docelowy jako... W notatnik wkleic to i zapisać jako uhoexefix.reg

    [Version]

    Signature="$Chicago$"

    Provider=Symantec

    [DefaultInstall]

    AddReg=UnhookRegKey

    [UnhookRegKey]

    HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

    HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

    HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

    HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

    HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

    HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0

  2. uhoexefix kliknąć na link i Zapisz element docelowy jako... J też tak miałem i podaje te witamiknki. A ta witaminka do odblokowania właściwości komutera.

    Zassać plik SDFix.exe

    * Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)
    
    * Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
    
    * Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
    
    * Wciśnij Y nastąpi proces usuwania.
    
    * Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
    
    * Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.

(Henio Mazurek) #10

UnHook i exeHelper tylko resetują rozszerzenia do domyślnych. Co ma się nijak do Viruta bo on nie modyfikuje rozszerzeń tylko funkcje systemowe a dzięki temu niszczy pliki. Zobaczmy w jakim stadium ten Virut, wklej logi z GMER, zakładka Rootkit/Malware , klikasz Szukaj , po skanie Kopiuj lub Zapisz.

System Repair Engineer, instrukcja w linku.