16kreon
(Kreon28)
1 Kwiecień 2007 13:47
#1
Mam Xp sp2. W czasie rutynowego skanowania dysku programem adaware znalazlem mnostwo spyware’u. Wywalilem go. Po restarcie nie mialem netu (mam neostrade - co prawda laczylem sie ale net nie dzialal).
Ponownie uruchomilem adaware + Search & Destroy. Znowu znalazlem kilka syfow wiec usunalem.
Po ponownym restarcie windows juz sie nie uruchamil. Tzn. jest tylko tapeta, nie dziala menadzer systemu itd.
W trybie awaryjnym system dziala.
Probowalem usunac Klucz:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
W tym kluczu zostaje utworzony podklucz: explorer.exe w nim z kolei wartość Debugger
Należy usunąć cały podklucz explorer.exe"
Ale w rejestrze go nie mialem Inna porada:
2. Przemianowana ścieżka Shell w kluczu: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Wartość powinna przybierać za dane: Explorer.exe
tez nic nie dala bo nie ma takich wpisow.
Z laptopa na ktorym mam xp przerzucilem plik explorer.exe i wgralem go ale nic to nie pomoglo.
goomish
(goomish)
1 Kwiecień 2007 14:15
#2
Pewnie dlatego po uruchomieniu komputera nie masz dostępu do paska zadań, i ikon na pulpicie.
W podanym wyżej kluczu musi być wartość o nazwie Shell i zawartości Explorer.exe
Jeśli więc nie ma - utwórz ją.
Co do braku dostępu do Task Managera (Menadżera zadań) - odszukaj klucz HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System jeśli jest w nim wartość o nazwie “DisableTaskMgr” zmień ją na 0 (zero) albo całkiem usuń.
16kreon
(Kreon28)
1 Kwiecień 2007 14:36
#3
Sprawdzilem, taka wartosc istnieje. Najwidoczniej wczesniej ja przegapilem
Moze zle sie wyrazilem. Task manager nie ma w trybie normalnym, w trybie awaryjnym wszystko dziala.
Wyglada na to, ze jakis proces blokuje uruchomienie sie windowsa w zwyklym trybie i chyba to jest jakis proces zwiazany z netem. tryb awaryjny nie wczytuje ustawien potrzebnych np.do neostrady wiec dlatego ten tryb akurat sie uruchamia
rixx
(Edlib)
1 Kwiecień 2007 15:17
#4
sprawdż w tym kluczu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
wartość userinit - powinno być C:\WINDOWS\system32\userinit.exe,
(jeśli masz system na c!; musi być na końcu przecinek!)
http://support.microsoft.com/kb/892893
16kreon
(Kreon28)
1 Kwiecień 2007 17:08
#5
To tez nie to. Uruchomilem jeszcze raz windows i wyszedlem na 5 minut. Po tym czasie system sie uruchomil. Zrobilem wiec reset i jeszcze raz.
System jednak sie uruchamia ale…po jakichs 3 minutach zwiechy. Zwiecha trwa gdy widac pulpit, potem wszystko sie uruchamia.
Moj log z hijack:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:06:39, on 2007-04-01
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
c:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
c:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
D:\uzytki\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
D:\uzytki\Ashampoo FireWall\FireWall.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\uzytki\vidalia\Vidalia\vidalia.exe
D:\uzytki\vidalia\Privoxy\privoxy.exe
C:\WINDOWS\System32\svchost.exe
D:\uzytki\vidalia\Tor\tor.exe
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\Neostrada TP\NeostradaTP.exe
C:\Program Files\Neostrada TP\ComComp.exe
C:\Program Files\Neostrada TP\Watch.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\uzytki\MailWasher\MailWasher.exe
c:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
D:\uzytki\Tweak-XP Pro 4\transtask.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\totalcmd\TOTALCMD.EXE
D:\Downloads\HiJackThis_v2.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.dobreprogramy.com/index.php?dz=1&t=23
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=localhost:8118;http=localhost:8118;https=localhost:8118;socks=localhost:9050
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost;127.0.0.1;
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - D:\uzytki\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - D:\uzytki\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [Ashampoo FireWall] "D:\uzytki\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Vidalia] "D:\uzytki\vidalia\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [TransTask] "D:\uzytki\Tweak-XP Pro 4\transtask.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Privoxy.lnk = D:\uzytki\vidalia\Privoxy\privoxy.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\uzytki\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\uzytki\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - D:\uzytki\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - D:\uzytki\Norton SystemWorks\Norton Cleanup\WCQuick.lnk
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\uzytki\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\uzytki\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) -
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{32391D3A-5E32-4C94-83B8-C16613241A8A}: NameServer = 194.204.159.1 217.98.63.164
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B3E0883-CC94-40EC-ABA8-58FECDE39FA2}: NameServer = 194.204.152.34,194.204.159.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: IviRegMgr - InterVideo - c:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: Jetico Personal Firewall service - Unknown owner - d:\uzytki\Jetico Personal Firewall\jpfsrv.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\uzytki\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\Cyberlink\Shared files\RichVideo.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - D:\uzytki\Norton SystemWorks\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\uzytki\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
--
End of file - 8538 bytes
adam9870
(adam9870)
1 Kwiecień 2007 21:20
#6
Możesz kosmetycznie ciachnąć te dwa wpisy HJT.
Czy sam ustawiałeś te restrykcje? Jeśli nie to ten wpis również ciachnij.
Czy masz jeszcze .NET Framework? Jeśli nie to poczytaj o jego skutecznym usunięciu:
http://blogs.msdn.com/astebner/archive/ … 08856.aspx
Czy masz jeszcze zainstalowany Jetico Personal Firewall? Jeśli nie to wybierz start => uruchom => wpisz cmd i kliknij OK => w konsoli, która się otworzy wpisz:
boczi
(boczi)
1 Kwiecień 2007 21:41
#7
OT usera roobal -> KOSZ :?
16kreon
(Kreon28)
1 Kwiecień 2007 21:44
#8
Dzieki za podpowiedzi. Idzie ciezko ale do przodu.
Jedyny problem jaki pozostaje to te dziwne zatrzymanie komputera od momentu zaladowania ustawien osobistych, az do momentu odegrania dzwieku zalogowania sie do systemu.
Zatrzymanie te trwa ok. 1,5 minuty, w tym czasie dysk nie pracuje.
Calosc wyglada identycznie jak w poradzie ze strony:(u mnie jest tylko sam pulpit i kursor myszy-nie wiem czy tak samo wyglada blad ponizej bo mowa tam tylko o braku pasku zadan)
http://www.agavk.p9.pl/strony/xp_porady_01.php
Zawieszenie komputera w trakcie startu Jeżeli w czasie startu system się zawiesza i przez 2-3 minut cały pasek zadań włącznie z przyciskiem Start jest niedostępny przyczyną może być jedna z usług działających w tle, a mianowicie Background Intelligent Transfer Service (Usługa inteligentnego transferu w tle). Problem powinna rozwiązać poprawka Microsoftu Q314862_WXP_SP1_x86_PLK.exe Jeśli jej zainstalowanie nie przyniesie oczekiwanego skutku usługę należy wyłączyć. Z menu Start wybieramy Uruchom i wpisujemy services.msc. Teraz trzeba odszukać usługę na liście w prawej części okna, kliknąć na nią dwukrotnie i w oknie konfiguracyjnym wybrać tryb uruchamiania - Wyłączona. Po zatwierdzeniu należy jeszcze zrestartować komputer.
Poprawka nie moze byc zainstalowana bo jest pod sp1 a ja mam sp2 a wylaczenie uslugi tez nic nie daje bo po ponownym uruchomieniu automatycznie sie znow laduje.
Ale moze to wcale nie jest wina tego inteligentnego transferu w tle.
W koncu przed wywaleniem wszelkich syfow tego zawieszenia sie kompa nie bylo…
boczi
(boczi)
1 Kwiecień 2007 22:49
#9
16kreon proszę używać polskich znaków w pisowni