NSIS Error


(Duch) #1

spróbuj na początek :arrow: TYM... 8)


(123448) #2

przeskanuj Adaware , Pest Patrolem, ETD Security Scanner , Spybot S&D , Scan SPyware , Spyware Doctor lub jakimś on-line skanerem a potem pokaż swój log z Hijacka , może coś da się ustalić :wink:


(Musg) #3

moze pomoc tryb awaryjny f8


(fiesta) #4

Trzy posty jeden pod drugim :roll: :roll: :roll:

Od czego masz icon_edit.gif


(Musg) #5

http://nsis.sourceforge.net/ a moze to jest problem tego typu.Sprawdz dokladnie :slight_smile:


(Marsmo) #6

Dokładnie tak kanio0 - są to foldery tworzone przez wirus Redlof.

Ale nawet jak je usuniesz, to podejrzewam - że to sprawy nie załatwi, bo ikonki Ci powrócą przy starcie... bo ich źródłem jest inny, właściwy plik Redlofa, który u Ciebie nie jest rozpoznany przez Hijack'a! :frowning: Ale oczywiście do wywalenia są na bank!

Strasznie mi Ciebie żal, bo szamoczesz się biedaku już z tym w trzecim topicu! :frowning:

http://forum.dobreprogramy.pl/viewtopic ... sc&start=0

http://forum.dobreprogramy.pl/viewtopic ... ht=#126906

Na przyszłość postaraj się trzymać jednego tematu! Jak się nawet topic kończy Twoim postem, to jak napiszesz na drugi dzień kolejny post pod spodem od siebie z dalszą prośbą o pomoc - to nikt Ci za to głowy nie urwie, a przynajmniej będzie porządek! :slight_smile:

W tamtych topicach zawiodły niestety wszystkie rady łącznie z gotową szczepionką na Redlofa.

Za wszystko jest odpowiedzialny plik Kernell32 i powinien się on pojawić w logu w takiej postaci:

O4 - HKLM\..\Run: [Kernel32] C:\WINDOWS\SYSTEM\Kernel.dll

Niestety się nie pojawia - a to ten plik jest głównym źródłem Redlofa, a te dwa foldery: folder.htt i desktop.ini - to tylko tzw. dzieciaki Redlofa (oczywiście też wiry).

Masz dokładnie taki sam problem jak syfiosz - tylko u niego będzie sprawa prostsza, bo ten Kernell jest widoczny w Hijacku.

Jedyna rada - to przeszukać kompa i rejestr, pod kątem znalezienia kernell32 i kernel32.dll - tego może być wiele, bo Redlof należy do wirusów rozmnażających się.

W kompie - zaznacz opcję w folderach (pokaż wszystkie pliki) i ręcznie wyszukaj wszystkie nawet najmniejsze pliki z tą nazwą. Pospisuj sobie na kartce ścieżki do każdego z tych plików, ale jeszcze nie kasuj!

Lepiej nie korzystaj z gotowego wyszukiwania plików...

Następnie wejdź w rejestr (obowiązkowo kopia rejestru wcześniej) i ręcznie rozwiń wszystkie, poniższe klucze - również pod kątem przeszukania obu nazw.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Znalezione w rejestrze kasuj bez wahania. Następnie zrestartuj komputer i wróć do listy, gdzie zapisałeś znalezione uprzednio pliki z ręcznego szukania - sprawdź wg zapisanych ścieżek.

Nie powinno nic zostać!

Gdyby jednak coś zostało - spisz dokładnie ścieżki do tych plików i zamieść je tu dla sprawdzenia.

Te ikonki folder.htt i desktop.ini powinny Ci już wtedy same zniknąć z autostartu - jezeli nie, to usuwasz je ręcznie!

Nie zapomnij wyłączyć przywracanie systemu.

Jak Ci się cała operacja powiedzie, wklej log do sprawdzenia!


(Marsmo) #7

Coś mi tu nie pasuje... :?

Wejdź we właściwości tego systemowego kernela, który znalazłeś i zobacz na datę jego powstania!

Na pewno dokładnie pamiętasz też datę, kiedy instalowałeś cały system... więc porównaj, czy jest to ta sama data!

Ulubioną zabawką Redlofa jest tworzenie kopii o nazwie jw. w systemie...

A i jeszcze jedno - czy ten odnaleziony przez Ciebie kernel32.dll - jest w Rejestrze, czy też jako wynik ręcznych poszukiwań? Czy też - jedno i drugie...


(Marsmo) #8

Ale porównałeś sobie te daty?

Bo żebyś przypadkiem nie pojechał po systemowym... :twisted:

No i coś mi tu nie pasuje, że tylko jest jeden taki plik... :?

No i jeszcze raz pytam - gdzie go znalazłeś: w rejestrze, czy na kompie?


(Marsmo) #9

Myślę, że mówisz o tym niby systemowym Kernelu..., którego znalazłeś na kompie - ale jak on został utworzony 10 dni temu, to systemowy na pewno nie jest... ;]

Dlatego też wyjeżdżaj z nim... :slight_smile:

W Download Program Files - każdy user ma inne pliki; jest to domyślny katalog, do którego się ściągają się wszystkie pliki i aplikacje - o ile oczywiście nie zaproponujemy innej ścieżki!

Wywal: kernel.vdk i te "z 10 innych" utworzone 10 dni temu.

Wejdź w "Znajdź pliki" i ustaw wyszukiwanie dokładnie na tę datę (czyli te 10 dni wstecz, o których mówisz); bez namysłu wszystkie znalezione po kolei usuń!

Gdybyś miał problem z usunięciem jakiegokolwiek pliku we wszystkich powyższych manewrach, polecam program CopyLock

http://noeld.com/programs.asp?cat=misc

Po usunięciu restart kompa i obowiązkowe czyszczenie rejestru Jv16.

A czy we wszystkich kluczach z rodziny Run w rejestrze, które Ci podałam - nie znalazłeś jakiegokolwiek wpisu kernell32 i kernel32.dll?


(Dragonlnx) #10

Trochę dużo masz kontrolek ActiveX usuń (ale nie koniecznie):

O16 - DPF: {AFD8ED36-EA54-11D6-AC3F-00105ADCF632} (Ntw4 Control) - https://www.brebrokers.pl/res/ntw4.cab

O16 - DPF: {43A848AB-928D-43A0-8B8A-81D953E9F3EE} (XMLFileSaver Class) - https://www.brebrokers.pl/res/EPMXMLFILESAVERCOM.cab

O16 - DPF: komentator - http://sport.onet.pl/komentator.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean\_micro.exe

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab