Brak ikon, comboFix, Kaspersky, Avast... i historia trwa


(system) #1

Cześć, koledzy i koleżanki.

Na to forum przywiodło mnie poszukiwanie pomocy, albowiem sam nie jestem już w stanie nic wymyśleć.

Na początek: PRZESZŁOŚĆ:

Komputer - najpewniej na skutek niewystarczającej ochrony antyrwirusowej i antyszpiegowskiej, jaką mu zapewniłem - zawirusował się do tego stopnia, że musiał zajść format. Takoż zaszedł.

TERAŹNIEJSZOŚĆ:

Dwa dni po odebraniu komputera z formatu (nie robiłem tego samodzielnie) sytuacja wygląda tak:

  • po załączeniu Windows nie widzę żadnych ikon na pulpicie. Działa natomiast pasek zadań. Na obszarze pulpitu prawy przycisk myszy jest nieaktywny.

  • w trybie awaryjnym sprawa wygląda identycznie - z jedną różnicą: widać ikonę KOSZ.

  • na którymś forum wyczytałem, że należy zastosować ComboFix. Tak też uczyniłem. Efekt był taki, że jakkolwiek CF - jak sądzę - niczego nie wykrył (nie pochwalił się, że to i to 'deleted' - to po przeskanowaniu systemu ikony powróciły. Jednakowoż, sprawa wygląda tak, że po kolejnym uruchomieniu Win ikon nadal nie ma. Toczy się więc wielkie koło: po każdym uruchomieniu Win najpierw skanowanie CF w celu przywrócenia ikon, potem jakakolwiek praca. Zacząłem się nawet zastanawiać, czy to nie sam CF podkłada mi tu świnię...

  • co jeszcze... znajomy informatyk polecił mi firewall i wymianę antywira (Avast, nic naturalnie nie wykrywał) na Kasperskiego (nic nie wykrywa takoż).

  • skanowanie online ActiveScanem (http://www.pandasecurity.com/activescan), które przeprowadzam co jakiś czas, wykrywa jakieś malware, które niby natychmiast usuwa. Interesujące natomiast, że zarówno ActiveScan, jak i Kaspersky nazywają ComboFixa 'podejrzanym programem'.

  • i teraz najlepsze. W pokoju są dwa komputery, należące do osiedlowej sieci lokalnej. W mieszkaniu komputerów jest więcej. Tylko jednak te dwa (w naszym pokoju) mają DOKŁADNIE te same objawy (brak ikon itd). Pozostałe komputery - nie.

  • na koniec dane komputera: WinXP Pro, Sp3, aktualne oprogramowanie "anty": Kaspersky Internet Security, Ad-Aware, ZoneAlarm Firewall

Help!

q


(Chillout) #2

Po skanowaniu Combofixem tworzy się log, który wklejasz na http://www.wklej.org i dajesz do niego link.

Również daj log z HijackThis, którego znajdzie tutaj: viewtopic.php?f=16&t=36654 też również go wklejasz na http://www.wklej.org i dajesz link na forum.

Antywirusy wykrywają w Combofixie wirusa, ale to jest fałszywy alarm. On ma takie działanie. Na czas korzystania z tego programy wyłącz wszystkie programy zabezpieczające.


(Henio Mazurek) #3

Robisz co zalecił Chillout. Jeszcze wejdź do klucza

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

i sprawdź czy przy wartości Shell masz explorer.exe i podaj jaki wpis masz przy Userinit.


(system) #4

ComboFix

http://www.wklej.org/id/87666/

Rejestr

Shell > REG_SZ > Explorer.exe

Userinit > REG_SZ > C:\WINDOWS\system32\userinit.exe, [z przecinkiem]

Nie moge uruchomic HijackThis, dostaje informacje ze:

brak wymaganego pliku msvbvm60.dll

-- Dodane 07.05.2009 (Cz) 13:25 --

Już uzupełniłem tą bibliotekę.

Oto log z Hijack:

http://www.wklej.org/id/87680/

-- Dodane 07.05.2009 (Cz) 13:52 --

No i ciekawostka:

przy kolejnym skanie ComboFix usunął mi dokładnie ten plik, który wcześniej uzupełniłem (ten .dll, o którym pisałem wyżej).

Co jest grane?


(system) #5

To może być wynikiem konfliktu Kaspersky Internet Security i ZoneAlarm. Nie używa się dwóch ogniomurków. Odinstaluj ZoneAlarm.

Narzędzia ComboFix nie powinno się używać do ciągłego skanowania systemu.


(system) #6

OK, ale Zone Alarm w przypływie natchnienia zainstalowałem wczoraj, a problem pojawia się od ponad miesiąca.

PS Już odinstalowałem.


(96jasio96) #7

:arrow: Sfiksuj w HijackThis

:arrow: Wykonaj pełne skanowanie Dr.Web CureIt!


(system) #8

Przeskanuj ten plik:

na VirusTotal.


(system) #9

1) sfixowane w Hijack

2) explorer przeskanowany (nic nie wykryto)

3) uruchomienie Dr Web CureIt niemożliwe. ściągałem instalkę z trzech różnych źródeł, ale z jakichś przyczyn nie jest w stanie rozpocząć procesu

-

ciekawa obserwacja:

w momencie, gdy w katalogu SYSTEM znajduje się biblioteka msvbvm60.dll, system uruchamia się 'bez pulpitu'

jednak, kiedy zostanie usunięta i dokonam restartu, Win uruchamia się normalnie - czyli z ikonami.

Jaki to ma sens?


(system) #10

Biblioteka msvbvm60.dll powinna znajdować się w C:\Windows\system32


(96jasio96) #11

Jeżeli Dr. Web nie chce się uruchomić , pobierz i wykonaj pełne skanowanie Dr.Web LiveCD