Windows XP - tylko tapeta , brak ikon i paska zadań.

[warrior]

Więc po odpaleniu kompa nie pokazuje mi się żadna ikona na pulpicie, nie ma też paska zadań - praktycznie nic nie ma , oprócz tapety.
Macie jakieś podejrzenia, jak by co pytajcie o więcej szczegółów.
Mam system Windows XP wraz z SP.

Otto co się pokazuje jedynie :



---
Co najciekawsze, odpaliłem drugi raz włączyłem menedżera zadań i wpisałem "Uruchom..." i wpisałem C: , od razu wszystko się pokazało, pulpit,pasek zadań , czyli tak jak powinno być, w czym jest błąd ?

[lee99]

Na początek odpal trzech króli włącz ręcznie exprorer.exe i daj znać czy się powłoka odpala

Można by spróbować podmienić na nowy userinit.exe z konsoli odzyskiwania

del C:\windows\system32\userinit.exe
del C:\windows\system32\dllcache\userinit.exe
expand X:\i386\userinit.ex_ C:\Windows\system32\

Po trzecie primo: może to jakiś przyjaciel wirus trojan lub cokolwiek więc dla przykładu może wrzuć log z hijacka (gmera też może warto byłoby sprawdzić)



Pasek i reszta to powłoka systemowa czyli exprorer.exe i żeby ją odpalić trzeba wciskamy Ctrl+Shift+Esc i dalej już będziesz wiedział co robić plik znajduje się w folderze głównym c:\WINDOWS\exprorer.exe

Niektóre posty na google wskazują lub mogą wskazywać na robactwo z tego co czytam lub inną infekcję

Można by też spróbować użyć start-?uruchom->cmd i z konsolki sfc /scannow

PS-jeszcze poszukam jak chwilę znajdę co to może być i jak temu zaradzić a tymczasem działaj jak opisałem powyżej

PS2-dodatkowo polecam googlowanie i jedno forum z którego można się wiele dowiedzieć jak również uzykać pomoc: http://www.searchengines.pl/ i żeby niebyło że to reklama hehe

W googlu też dużo na ten temat http://www.google.com/search?client=...utf-8&oe=utf-8 ale trzeba "własny filtr www" tworzyć

[Filon by A-men]

Poczytaj jeszcze tutaj.

[warrior]

Wkleję najpierw LOG :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:36:52, on 2009-09-13
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\sofatnet.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\DOCUME~1\BASIA&~1\USTAWI~1\Temp\dfhaegeh.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [dfhaegeh] C:\DOCUME~1\BASIA&~1\USTAWI~1\Temp\dfhaegeh.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FBCF8F7-25F2-4100-BA56-865F24515536}: NameServer = 194.204.159.1,194.204.152.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{1FBCF8F7-25F2-4100-BA56-865F24515536}: NameServer = 194.204.159.1,194.204.152.34
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\WINDOWS\system32\sofatnet.exe

--
End of file - 4403 bytes

Nic nie wskazuje żeby był to jakiś trojan czy inny syf

[lee99]

Nic nie wskazuje żeby był to jakiś trojan czy inny syf

jesteś tego pewny

bo ja tu widzę trojana Trojan.Agent/Gen-SigmaF[SO]: SOFATNET.EXE

C:\WINDOWS\system32\sofatnet.exe
C:\DOCUME~1\BASIA&~1\USTAWI~1\Temp\dfhaegeh.exe - jaki normalny program ładuje się przy starcie z folderu TEMP

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local to mnie się nie podoba - do sprawdzenia

O4 - HKLM\..\Run: [dfhaegeh] C:\DOCUME~1\BASIA&~1\USTAWI~1\Temp\dfhaegeh.exe

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing - hmmm....
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FBCF8F7-25F2-4100-BA56-865F24515536}: NameServer = 194.204.159.1,194.204.152.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{1FBCF8F7-25F2-4100-BA56-865F24515536}: NameServer = 194.204.159.1,194.204.152.34

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)

O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\WINDOWS\system32\sofatnet.exe

ale niewiem czy nie ma przypadkiem jeszcze czegoś

Czy zmieniłeś w połączeniu sieciowym adresy DNSów Bo w TCPIP jest zmiania O17 również niektóre wpisy które zapisałem w poście sugerują że coś mi tu zalatuje

EDIT:

dość świeża sprawa http://www.superantispyware.com/malw...ATNET.EXE.html

nie dziw się że łapiesz badziew jak używasz awasta ech...

[darolo1]

No właśnie Program Anty-spyware'owy obowiązkowy!

[lee99]

No właśnie Program Anty-spyware'owy obowiązkowy!

niewiem po co

daj log z gmera

ten sofatnet.exe jak nie masz firewall'a to może ściąga kolejne badziewie albo wysyła poufne dane co prawda to tylko moje przypuszczenie ale czytam na jednej stronie że u jednego kolesia pojawią się żadania dostępu do sieci...

[BOOTanick]

ja pogonił bym jeszcze:

O4 - HKLM\..\Run: [dfhaegeh] C:\DOCUME~1\BASIA&~1\USTAWI~1\Temp\dfhaegeh.exe

i zastanowił się nad tym :]

O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing

[lee99]

ano o4 tyż zaznaczyłem bo to może cuś innego ale niewiem czy przypadkiem dnsy nie są przekierowane cy cuś...

bo właściwie to ja się na tym nieznam haha

ALE... Bonjour to chyba pozostałość po Sarafi o ile była instalowana jeżeli była to usługa Bonjour nieodinstalowała się prawidłowo

[Filon by A-men]

Bonjour instaluje również Photoshop.

Załącznik załatwia sprawę.

[lee99]

ale zdaje się można udhaczyć żeby się to cudo nie instalowało

[BOOTanick]

niekiedy wyżur może sprawiać kłopoty...dlatego zaznaczyłem opcjonalnie :]

[warrior]

Bonjour instaluje również Photoshop.

Załącznik załatwia sprawę.

Właśnie Photoshop :D


HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:23:21, on 2009-09-13
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Onet.pl - Polski Portal Internetowy
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: Flashget Catch Url Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{1FBCF8F7-25F2-4100-BA56-865F24515536}: NameServer = 194.204.159.1,194.204.152.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{1FBCF8F7-25F2-4100-BA56-865F24515536}: NameServer = 194.204.159.1,194.204.152.34
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: sofatnet Service (sofatnet) - Unknown owner - C:\WINDOWS\system32\sofatnet.exe (file missing)

--
End of file - 4214 bytes

GMER

GMER 1.0.15.15077 [gmer.exe] - GMER - Rootkit Detector and Remover
Rootkit quick scan 2009-09-13 22:30:47
Windows 5.1.2600 Dodatek Service Pack 2


---- Disk sectors - GMER 1.0.15 ----

Disk \Device\Harddisk0\DR0 sector 01: copy of MBR
Disk \Device\Harddisk0\DR0 sector 02: copy of MBR
Disk \Device\Harddisk0\DR0 sector 03: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 04: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 05: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 06: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 07: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 08: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 09: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 10: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 11: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 12: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 13: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 14: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 15: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 16: copy of MBR
Disk \Device\Harddisk0\DR0 sector 17: copy of MBR
Disk \Device\Harddisk0\DR0 sector 18: copy of MBR
Disk \Device\Harddisk0\DR0 sector 19: copy of MBR
Disk \Device\Harddisk0\DR0 sector 20: copy of MBR
Disk \Device\Harddisk0\DR0 sector 21: copy of MBR
Disk \Device\Harddisk0\DR0 sector 22: copy of MBR
Disk \Device\Harddisk0\DR0 sector 23: copy of MBR
Disk \Device\Harddisk0\DR0 sector 24: copy of MBR
Disk \Device\Harddisk0\DR0 sector 25: copy of MBR
Disk \Device\Harddisk0\DR0 sector 26: copy of MBR
Disk \Device\Harddisk0\DR0 sector 27: copy of MBR
Disk \Device\Harddisk0\DR0 sector 28: copy of MBR
Disk \Device\Harddisk0\DR0 sector 29: copy of MBR
Disk \Device\Harddisk0\DR0 sector 30: copy of MBR
Disk \Device\Harddisk0\DR0 sector 31: copy of MBR
Disk \Device\Harddisk0\DR0 sector 32: rootkit-like behavior; copy of MBR
Disk \Device\Harddisk0\DR0 sector 33: copy of MBR
Disk \Device\Harddisk0\DR0 sector 34: copy of MBR
Disk \Device\Harddisk0\DR0 sector 35: copy of MBR
Disk \Device\Harddisk0\DR0 sector 36: copy of MBR
Disk \Device\Harddisk0\DR0 sector 37: copy of MBR
Disk \Device\Harddisk0\DR0 sector 38: copy of MBR
Disk \Device\Harddisk0\DR0 sector 39: copy of MBR
Disk \Device\Harddisk0\DR0 sector 40: copy of MBR
Disk \Device\Harddisk0\DR0 sector 41: copy of MBR
Disk \Device\Harddisk0\DR0 sector 42: copy of MBR
Disk \Device\Harddisk0\DR0 sector 43: copy of MBR
Disk \Device\Harddisk0\DR0 sector 44: copy of MBR
Disk \Device\Harddisk0\DR0 sector 45: copy of MBR
Disk \Device\Harddisk0\DR0 sector 46: copy of MBR
Disk \Device\Harddisk0\DR0 sector 47: copy of MBR
Disk \Device\Harddisk0\DR0 sector 48: copy of MBR
Disk \Device\Harddisk0\DR0 sector 49: copy of MBR
Disk \Device\Harddisk0\DR0 sector 50: copy of MBR
Disk \Device\Harddisk0\DR0 sector 51: copy of MBR
Disk \Device\Harddisk0\DR0 sector 52: copy of MBR
Disk \Device\Harddisk0\DR0 sector 53: copy of MBR
Disk \Device\Harddisk0\DR0 sector 54: copy of MBR
Disk \Device\Harddisk0\DR0 sector 55: copy of MBR
Disk \Device\Harddisk0\DR0 sector 56: copy of MBR
Disk \Device\Harddisk0\DR0 sector 57: copy of MBR
Disk \Device\Harddisk0\DR0 sector 58: copy of MBR
Disk \Device\Harddisk0\DR0 sector 59: copy of MBR
Disk \Device\Harddisk0\DR0 sector 60: copy of MBR
Disk \Device\Harddisk0\DR0 sector 61: copy of MBR
Disk \Device\Harddisk0\DR0 sector 62: copy of MBR
Disk \Device\Harddisk0\DR0 sector 63: rootkit-like behavior; copy of MBR

---- System - GMER 1.0.15 ----

SSDT spuz.sys ZwEnumerateKey [0xF772BCA4]
SSDT spuz.sys ZwEnumerateValueKey [0xF772C032]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0xB6E17678]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0xB6E177AC]

---- EOF - GMER 1.0.15 ----

RootkitRevealer

HKU\S-1-5-21-1202660629-1645522239-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Onfvn & Xb Description: Hidden from Windows API.
Date: 2009-09-13 22:54
Size: 16 bytes
HKU\S-1-5-21-1202660629-1645522239-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Qbphzragf naq Frggvatf\Onfvn & Xb Description: Hidden from Windows API.
Date: 2009-09-13 22:54
Size: 16 bytes
HKU\S-1-5-21-1202660629-1645522239-682003330-1003\Software\SecuROM\License information*:
Description: Key name contains embedded nulls (*)
Date: 2009-09-13 00:26
Size: 0 bytes
HKLM\SECURITY\Policy\Secrets\SAC*:
Description: Key name contains embedded nulls (*)
Date: 2009-09-02 04:04
Size: 0 bytes
HKLM\SECURITY\Policy\Secrets\SAI*:
Description: Key name contains embedded nulls (*)
Date: 2009-09-02 04:04
Size: 0 bytes
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg:
Description: Access is denied.
Date: 2009-09-11 21:18
Size: 0 bytes
G:\System Volume Information\_restore{36A887B5-A860-4ECC-9D96-6CB05BFE80FA}\RP24\A0018086.exe:
Description: Hidden from Windows API.
Date: 2003-08-18 23:08
Size: 10.00 KB
G:\System Volume Information\_restore{36A887B5-A860-4ECC-9D96-6CB05BFE80FA}\RP24\A0018087.EXE:
Description: Hidden from Windows API.
Date: 2003-07-18 01:23
Size: 1.17 MB
G:\System Volume Information\_restore{36A887B5-A860-4ECC-9D96-6CB05BFE80FA}\RP24\A0018088.exe:
Description: Hidden from Windows API.
Date: 2003-08-18 23:08
Size: 10.00 KB
G:\System Volume Information\_restore{36A887B5-A860-4ECC-9D96-6CB05BFE80FA}\RP24\A0018089.exe:
Description: Hidden from Windows API.
Date: 2007-09-14 14:30
Size: 715.50 KB
G:\System Volume Information\_restore{36A887B5-A860-4ECC-9D96-6CB05BFE80FA}\RP24\A0018090.exe:
Description: Hidden from Windows API.
Date: 2005-10-28 00:53
Size: 449.00 KB
G:\System Volume Information\_restore{36A887B5-A860-4ECC-9D96-6CB05BFE80FA}\RP24\A0018091.exe:
Description: Hidden from Windows API.
Date: 2003-09-18 18:43
Size: 36.00 KB
G:\System Volume Information\_restore{36A887B5-A860-4ECC-9D96-6CB05BFE80FA}\RP24\A0018092.exe:
Description: Hidden from Windows API.
Date: 2003-09-18 21:16
Size: 64.00 KB
G:\System Volume Information\_restore{36A887B5-A860-4ECC-9D96-6CB05BFE80FA}\RP24\A0018093.exe:
Description: Hidden from Windows API.
Date: 2002-05-01 22:19
Size: 98.50 KB

=====

Piszcie co dalej robić, bo ja to czasowo kiepsko stoję, ale bez obaw - moja żona będzie kontynuować dzieło , więc jakby co to napisze tutaj jak jej to przebiega i myślę, że pomożecie :) .

W końcu to moja żonka namieszała, więc wie co instalowała etc. Także trzeba zadziałać.

[Filon by A-men]

Ściągnij wtyczkę do TC o nazwie NTFS Filestreams i z jej poziomu skasuj wszystkie foldery kosza i System Volume Information.
Następnie restart i jeszcze raz GMER.

[warrior]

Ściągnij wtyczkę do TC o nazwie NTFS Filestreams i z jej poziomu skasuj wszystkie foldery kosza i System Volume Information.
Następnie restart i jeszcze raz GMER.

No i już coś jest nie halo ponieważ w System Volume Information na każdym dysku folder [RP24] - nie można skasować.

[Filon by A-men]

Wyłącz wcześniej przywracanie systemu - RP = Recovery Point.

[warrior]

A tutaj log z GMER'a :

GMER 1.0.15.15077 [gmer.exe] - GMER - Rootkit Detector and Remover
Rootkit quick scan 2009-09-14 00:35:27
Windows 5.1.2600 Dodatek Service Pack 2


---- System - GMER 1.0.15 ----

SSDT splq.sys ZwEnumerateKey [0xF772BCA4]
SSDT splq.sys ZwEnumerateValueKey [0xF772C032]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 8676D1F8

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

( Tak na uboczu to dwa tysiaki Ci stuknęły w postach )

[Filon by A-men]

Czyli czysto
Faktycznie 2k

[darolo1]

niewiem po co

żeby nie było syfu szpiegowskiego

Najpierw się śmieje, że używa Avasta, a teraz się dziwi po co program anty-spyware'owy. Przecież programy typu Avast, Avira itp. to zwykłe antywiry, nie chronią przed spywarem ;D

kto się śmieje Po co program antyspyware'owy Niewystarczy użyć głowy jak się ją ma na odpowiednim miejscu

awast jest do nawet jakby miał moduł i bazę danych riskware...

[lee99]

Czyli czysto
Faktycznie 2k

czyli teraz tylko zamień program do ochrony kompa na KISa i będzie git

PS-jak nie chcesz kupować licencji to no problem trial na 30dni a potem... po raz kolejny trial na 30dni...

[Filon by A-men]

Ewentualnie ESS - jeśli masz "słabe: łącze internetowe.
Z moich obserwacji wynika, że KIS mimo bardzo szczelnego parasola trochę jednak łącze ogranicza, nawet jeśli jest prawidłowo skonfigurowany.

[lee99]

Jak nie będzie mu się wywalać usługa eset to jak najbardziej u mnie w ESS4 usługa eseta padała więc zmieniłem na KISa (wcześniejsza wersja ESS3 działała bez zarzutu)

Druga sprawa bardzo dużo żre danych przy przesyłaniu pobieraniu bazy więc jak coś to na manual i raz na 5/6 dni pobieranie nowych danych

[warrior]

Pozostaje jeszcze tylko ten nieszczęsny pusty pulpit, ale to już kwestia czysto kosmetyczna

p.s. no i wywalenie w końcu tego - za przeproszeniem - cholernego Achwasta!

Jak by co to możecie wrzucać porady co do kofiguracji KIS'a , by to miało ręce i nogi - nie pogardzę.

Tymczasem dzięki za pomoc i oczywiście piweczko ( odliczę od podatku jakby co )

[warrior]

Przeoczyłem małą, malusienką drobnostkę :

WSZYŚCIUTEŃKIE PROGRAMY MI SIĘ POSYPAŁY

Zrobię jednak jeszcze raz system , który i tak niedawno postawiłem bo dwa tygodnie temu - a co najlepsze poprzedni miałem z dobre dwa lata .

[asterix]

od jakiegoś czasu , dzięki Filonowi nie przeraża mnie format i stawianie systemu , odpowiednio "przygotowany" backup i po kłopocie