Podejrzany autostart


(Pawilojc) #1

uruchamiam komputer, i coś się dzieje

myszka na pasku zadań przybiera postać klepsydry, nie uruchamiają się aplikacje

podejrzewam o to jakiś program uruchamiający się przy starcie

oto zrzuty z programów:

-startup

-ccleaner

-msconfig

i log z hjt

coś zajmuje i stopuje inne aplikacje

dziwny problem, może rozwiązaniem byłoby dokupienie ram-u, jeśli tak, to proszę o stwierdzenie tego


(Taaz4) #2

W HijackThis usuń te wpisy:

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)

O23 - Service: G DATA Keyboard Protector Service (KbdLockService) - Unknown owner - C:\WINDOWS\system32\KbdLockService.exe (file missing)

O23 - Service: Usługa Messenger Sharing Folders USN Journal Reader (usnjsvc) - Unknown owner - C:\Program Files\Windows Live\Messenger\usnsvc.exe (file missing)

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe (file missing)

Daj loga z ComboFix (instrukcja: viewtopic.php?f=16&t=36654)

:slight_smile:


(Łukasz14) #3

qasx , programy z autostartu to Avast, Java i sterowniki...

Log wydaje się też czysty.


(Pawilojc) #4

czyli dokupić ram?

zaraz dam log z combofix

W dniu 14.06.2008 , o godzinie 12:15 został dopisany post przez qasx

log z ComboFix


(huber2t) #5

tAAz ak usuług się nie usuwa

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\lagarith.dll 

C:\WINDOWS\system32\huffyuv.dll 

C:\WINDOWS\huffyuv.ini

C:\WINDOWS\aopr.ini


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.


(Pawilojc) #6

log po usuwaniu z combofix

mam 4 pendrivy, wszystkie sformatować?


(huber2t) #7

Te które byli pod I i K ale wylecz je

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\m9j.com 

C:\gy.cmd 

C:\qwc.exe

C:\sccfg.sys

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.


(Pawilojc) #8

tu

zauważyłem, że podczas działania combofix usunął coś z folderu książki telefonicznej, ale mimo to dalej ona działa.?


(huber2t) #9

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

Włącz przywracanie systemu.


(Pawilojc) #10

raport kaspersky ( 2,21 MB )

a może podam "najciekawsze" elementy

tutaj

na drugiej liście są tylko te elementy raportu, przy których nie jest napisane Object is locked, bo tychże jest mnóstwo


(Spandau) #11

Usuć ręcznie te pliki:

Pobierz Combofix http://www.searchengines.pl/index.php?s ... ntry395642 ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym log na forum

Przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku


(Pawilojc) #12

oto log

skan znowu?

no dobra


(Spandau) #13

Wylecz swoje pendrive tym co zalecił huber2t lub je sformatuj

W raporcie Combofix jest

Przeskanuj ten plik C:\sccfg.sys tutaj http://www.kaspersky.pl/services.html?s=online_vir_chk i daj raport na forum


(Pawilojc) #14

z tym, że nie ma takiego pliku

dysk C

i dysk c z wiersza polecenia

poza tym on chyba został skasowany podczas

W dniu 16.06.2008 , o godzinie 14:50 został dopisany post przez qasx

a pendrivy muszę wyleczyć chyba wszystkie, bo klik naraz wszystkiich niepodepnę ( zrzut został posklejany ), bo nie mam tylu USB.

aha, i mp3 qasx, i dysk wymienny j, to jedno 1gigowe mp3, ale komp widzi to jako dwa różne, na tym drugim chyba siedzi oprogramowanie! tego odtwarzacza


(Spandau) #15

Rzecz w tym, że nie usunęło tego pliku. Zobacz tutaj jak go usunąć http://www.searchengines.pl/Problem-z-s ... 03044.html. Chyba że używasz aplikacji Folder Lock bo to jest plik tego programu.