Cześć, koledzy i koleżanki.

Na to forum przywiodło mnie poszukiwanie pomocy, albowiem sam nie jestem już w stanie nic wymyśleć.

Na początek: PRZESZŁOŚĆ:

Komputer - najpewniej na skutek niewystarczającej ochrony antyrwirusowej i antyszpiegowskiej, jaką mu zapewniłem - zawirusował się do tego stopnia, że musiał zajść format. Takoż zaszedł.

TERAŹNIEJSZOŚĆ:

Dwa dni po odebraniu komputera z formatu (nie robiłem tego samodzielnie) sytuacja wygląda tak:

• po załączeniu Windows nie widzę żadnych ikon na pulpicie. Działa natomiast pasek zadań. Na obszarze pulpitu prawy przycisk myszy jest nieaktywny.

• w trybie awaryjnym sprawa wygląda identycznie - z jedną różnicą: widać ikonę KOSZ.

• na którymś forum wyczytałem, że należy zastosować ComboFix. Tak też uczyniłem. Efekt był taki, że jakkolwiek CF - jak sądzę - niczego nie wykrył (nie pochwalił się, że to i to ‘deleted’ - to po przeskanowaniu systemu ikony powróciły. Jednakowoż, sprawa wygląda tak, że po kolejnym uruchomieniu Win ikon nadal nie ma. Toczy się więc wielkie koło: po każdym uruchomieniu Win najpierw skanowanie CF w celu przywrócenia ikon, potem jakakolwiek praca. Zacząłem się nawet zastanawiać, czy to nie sam CF podkłada mi tu świnię…

• co jeszcze… znajomy informatyk polecił mi firewall i wymianę antywira (Avast, nic naturalnie nie wykrywał) na Kasperskiego (nic nie wykrywa takoż).

• skanowanie online ActiveScanem (http://www.pandasecurity.com/activescan), które przeprowadzam co jakiś czas, wykrywa jakieś malware, które niby natychmiast usuwa. Interesujące natomiast, że zarówno ActiveScan, jak i Kaspersky nazywają ComboFixa ‘podejrzanym programem’.

• i teraz najlepsze. W pokoju są dwa komputery, należące do osiedlowej sieci lokalnej. W mieszkaniu komputerów jest więcej. Tylko jednak te dwa (w naszym pokoju) mają DOKŁADNIE te same objawy (brak ikon itd). Pozostałe komputery - nie.

• na koniec dane komputera: WinXP Pro, Sp3, aktualne oprogramowanie “anty”: Kaspersky Internet Security, Ad-Aware, ZoneAlarm Firewall

Help!

q

Po skanowaniu Combofixem tworzy się log, który wklejasz na http://www.wklej.org i dajesz do niego link.

Również daj log z HijackThis, którego znajdzie tutaj: viewtopic.php?f=16&t=36654 też również go wklejasz na http://www.wklej.org i dajesz link na forum.

Antywirusy wykrywają w Combofixie wirusa, ale to jest fałszywy alarm. On ma takie działanie. Na czas korzystania z tego programy wyłącz wszystkie programy zabezpieczające.

Robisz co zalecił Chillout. Jeszcze wejdź do klucza

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

i sprawdź czy przy wartości Shell masz explorer.exe i podaj jaki wpis masz przy Userinit.

ComboFix

http://www.wklej.org/id/87666/

Rejestr

Shell > REG_SZ > Explorer.exe

Userinit > REG_SZ > C:\WINDOWS\system32\userinit.exe, [z przecinkiem]

Nie moge uruchomic HijackThis, dostaje informacje ze:

brak wymaganego pliku msvbvm60.dll

– Dodane 07.05.2009 (Cz) 13:25 –

Już uzupełniłem tą bibliotekę.

Oto log z Hijack:

http://www.wklej.org/id/87680/

– Dodane 07.05.2009 (Cz) 13:52 –

No i ciekawostka:

przy kolejnym skanie ComboFix usunął mi dokładnie ten plik, który wcześniej uzupełniłem (ten .dll, o którym pisałem wyżej).

Co jest grane?

To może być wynikiem konfliktu Kaspersky Internet Security i ZoneAlarm. Nie używa się dwóch ogniomurków. Odinstaluj ZoneAlarm.

Narzędzia ComboFix nie powinno się używać do ciągłego skanowania systemu.

OK, ale Zone Alarm w przypływie natchnienia zainstalowałem wczoraj, a problem pojawia się od ponad miesiąca.

PS Już odinstalowałem.

Sfiksuj w HijackThis

Wykonaj pełne skanowanie Dr.Web CureIt!

Przeskanuj ten plik:

na VirusTotal.

1. sfixowane w Hijack

2. explorer przeskanowany (nic nie wykryto)

3. uruchomienie Dr Web CureIt niemożliwe. ściągałem instalkę z trzech różnych źródeł, ale z jakichś przyczyn nie jest w stanie rozpocząć procesu

ciekawa obserwacja:

w momencie, gdy w katalogu SYSTEM znajduje się biblioteka msvbvm60.dll, system uruchamia się ‘bez pulpitu’

jednak, kiedy zostanie usunięta i dokonam restartu, Win uruchamia się normalnie - czyli z ikonami.

Jaki to ma sens?

Biblioteka msvbvm60.dll powinna znajdować się w C:\Windows\system32

Jeżeli Dr. Web nie chce się uruchomić , pobierz i wykonaj pełne skanowanie Dr.Web LiveCD