Uruchamiając system, loguję się i pulpit czysty. Muszę zainicjować coś w menadżerze zadań i pojawiają się ikony. Avast podaje potrzebę ponownego uruchamiania systemu, dodatkowo to:Vin32:Tiny-GZ[Trj]
log
Ściągasz narzędzie KillBox, zaznaczasz Delete on Reboot, potem klikasz All Files i wklejasz do pola Full Path of File to Delete ścieżkę:
C:\WINDOWS\system32\rpcc.dll
Klikasz X i reset sysa.
usun wpisy w hijacku i skasuj podany folder, mowe logi hijack + SilentRunners
Nie pomogło. Pulpit po uruchomieniu dalej czysty. Trojany cisną się jak szalone:Win32:Tiny-II[Trj] Win32:Tiny-GZ[Trj] Win32:Tiny-HZ[Trj]
Nowy log
podmień plik z płyty XP.
Odpalasz Konsolę odzyskiwania i wpisujesz komende:
expand X:\i386\explorer.ex_ C:\WINDOWS\explorer.exe
(zamiast X podstaw literę CD-ROMu)
prosiłam chyba o loga z SilentRunners
co to znaczy “cisną się”? mozna precyzyjniej bo ja tu nic nie widzę?
Użyj narzędzia WWDC (pozwoli Ci to zamknąć robaczywe porty), zmień znaczki z Disable na Enable (wszystkie mają być zielone lub żółte) i zresetuj sysa.
Skan AVG AntiSpyware 7.5 po update, wklej raport.
Podpowiedz jak odpalić konsolę. SilentRunners nie potrafię ściągnąć, a WWDC druą jest na czerwono a trzecia na żółto. Jak klikam na batony restaruje mi się komp i to samo. Wyczyściłem rejestr i niepotrzebne pliki EasyCleanerem.Podczas uruchamiania sytemu mam komunikat CLI.EXE Błąd aplikacji.
Złączono Posta : 16.07.2007 (Pon) 7:45
Przepraszam że nie edytowałem, może tak ktoś pomoże bo sam nie daję rady.
CLI.EXE jest od ati, przeinstaluj sterowniki od grafiki
konsola > bootujesz kompa z płytki xp, wybierasz opcję R naprawy systemu
konsola > bootujesz kompa z płytki xp, wybierasz opcję R naprawy systemu
Nic mi to nie mówi, jak wkładam plytkę windowsa nie ma opcji R. Naprawdę jestem zielony w tych określeniach, mam prośbę o cierpliwość i wyrozymiałość, bo widzę że Jesteś fachowcem dużego formatu.
Mam podobny problem temat:"Okna gdzieś znikają z pulpitu “proszę o pomoc” "
Proszę mi pomóc 
Poczytaj o konsoli odzyskiwania systemu
https://www.microsoft.com/technet/prodt … x?mfr=true
i jak instalować i korzystać
http://support.microsoft.com/kb/307654/PL/
wykonuje się to z poziomu administratora przy ustawionym BIOS-ie na pierwsze bootowanie z CD
dalej w.g. wskazówek Joan
Weszłem przez F11 i po wybraniu R była możliwość
1:C:\WINDOWS
wybrałem 1 i polecenie
C:\WINDOWS - i tu napisałem to- expand X:\i386\explorer.ex_ C:\WINDOWS\explorer.exe
jednak WINDOWS nie mógł znaleść określonego pliku.
Poza tym logując się do systemu Avast bez przerwy wykrywa atak trojanów. Co do WWDC jest tak jak pisałem poprzednio.
Prawie się udało ale zamiast X dajesz literę , która występuje w
przy napędzie optycznym w którym jest płyta CD WindowsXP
SilentRunners pobierz stąd
http://www.silentrunners.org/Silent%20Runners.vbs
Odłącz fizycznie sieć (kabelek) uruchom WWDC i zamknij 2 (RPC) następnie zresetuj komputer.
Daj logi o które prosiła Joan
Z tym “X” to tylko przekopiowałem pisząc post, a tak naprawdę pisałem “F”. Chodzi mi o spacje i duże małe litery czy mają znaczenie.
W tym linku jest tylko tekst, jak ściągnąć?
Ten tekst to skrypt VB (klikasz podwójnie) - patrz
http://forum.dobreprogramy.pl/viewtopic … 3d9c25b464
Spacja ma znaczenie w poleceniach
…
Ja nic w biosie nie ustawiałem bo nie potrafię. Podczas uruchamiania systemu klikałem F11 i uruchomiło mi się boot, wybrałem opcje z cd/dvd, i zaczęło coś kopiować, potem polecenie R. pokomendzie-C:\WINDOWS - i tu napisałem to- expand f:\i386\explorer.ex_ C:\WINDOWS\explorer.exe
jednak WINDOWS nie mógł znaleść określonego pliku.
Co nie tak 
Możesz zostawić temat BIOS-u
Jak będziesz ponownie w linii poleceń konsoli odzyskiwania
Ścieżka C:\WINDOWS wpisz
w miejscu spacja naciskasz spację
WWDC ma wszystko enable jednak trojany dalej atakują.
Po bootowaniu pierwszej komendy:
copyspacjaf:\i386\expand.exespacjac:\WINDOWS\system32\ - potwierdzasz ENTER
odpowiedź:skopiowano 1 pliów
po wpisani drugiej:
expandspacjaf:\i386\explorer.ex_spacjac:\WINDOWS\explorer.exespacja/y - potwierdzasz ENTER
nie można utworzyć pliku explorer.exe
zdekompresowano 0 plików
oto log przed bootowaniem
“Silent Runners.vbs”, revision R50, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by “{++}”
Startup items buried in registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
“CTFMON.EXE” = “C:\WINDOWS\system32\ctfmon.exe” [MS]
“Skype” = ““C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized” [“Skype Technologies S.A.”]
“NBJ” = ““C:\Program Files\Ahead\Nero BackItUp\NBJ.exe”” [“Ahead Software AG”]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
“avast!” = “C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [“ALWIL Software”]
“NeroFilterCheck” = “C:\WINDOWS\system32\NeroCheck.exe” [“Ahead Software Gmbh”]
“SunJavaUpdateSched” = ““C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe”” [“Sun Microsystems, Inc.”]
“BigDog303” = “C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)” [“Vimicro”]
“ATICCC” = ““C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime -Delay” [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided)
-> {HKLM…CLSID} = “AcroIEHlprObj Class”
\InProcServer32(Default) = “C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx” [empty string]
{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}(Default) = (no title provided)
-> {HKLM…CLSID} = “Megaupload Toolbar”
\InProcServer32(Default) = “C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL” [“MEGAUPLOAD”]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = (no title provided)
-> {HKLM…CLSID} = “SSVHelper Class”
\InProcServer32(Default) = “C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll” [“Sun Microsystems, Inc.”]
{8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489}(Default) = (no title provided)
-> {HKLM…CLSID} = “Alcohol Toolbar Helper”
\InProcServer32(Default) = “C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll” [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
“{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania”
-> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania”
\InProcServer32(Default) = “deskpan.dll” [file not found]
“{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu”
-> {HKLM…CLSID} = “HyperTerminal Icon Ext”
\InProcServer32(Default) = “C:\WINDOWS\system32\hticons.dll” [“Hilgraeve, Inc.”]
“{EFA24E62-B078-11d0-89E4-00C04FC9E26E}” = “History Band”
-> {HKLM…CLSID} = “History Band”
\InProcServer32(Default) = “C:\WINDOWS\system32\shdocvw.dll” [MS]
“{472083B0-C522-11CF-8763-00608CC02F24}” = “avast”
-> {HKLM…CLSID} = “avast”
\InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”]
“{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}” = “OpenOffice.org Column Handler”
-> {HKLM…CLSID} = (no title provided)
\InProcServer32(Default) = ““C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll”” [“Sun Microsystems, Inc.”]
“{087B3AE3-E237-4467-B8DB-5A38AB959AC9}” = “OpenOffice.org Infotip Handler”
-> {HKLM…CLSID} = (no title provided)
\InProcServer32(Default) = ““C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll”” [“Sun Microsystems, Inc.”]
“{63542C48-9552-494A-84F7-73AA6A7C99C1}” = “OpenOffice.org Property Sheet Handler”
-> {HKLM…CLSID} = (no title provided)
\InProcServer32(Default) = ““C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll”” [“Sun Microsystems, Inc.”]
“{3B092F0C-7696-40E3-A80F-68D74DA84210}” = “OpenOffice.org Thumbnail Viewer”
-> {HKLM…CLSID} = (no title provided)
\InProcServer32(Default) = ““C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll”” [“Sun Microsystems, Inc.”]
“{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension”
-> {HKLM…CLSID} = “WinRAR”
\InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data]
“{5E2121EE-0300-11D4-8D3B-444553540000}” = “Catalyst Context Menu extension”
-> {HKLM…CLSID} = “SimpleShlExt Class”
\InProcServer32(Default) = “C:\Program Files\ATI Technologies\ATI.ACE\atiacmxx.dll” [empty string]
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
“WPDShServiceObj” = “{AAA288BA-9A4C-45B0-95D7-94D524869DB5}”
-> {HKLM…CLSID} = “WPDShServiceObj Class”
\InProcServer32(Default) = “C:\WINDOWS\system32\WPDShServiceObj.dll” [MS]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<> AtiExtEvent\DLLName = “Ati2evxx.dll” [“ATI Technologies Inc.”]
<> crvsrv\DLLName = “crvdll.dll” [null data]
HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}(Default) = “OpenOffice.org Column Handler”
-> {HKLM…CLSID} = (no title provided)
\InProcServer32(Default) = ““C:\Program Files\OpenOffice.org 2.2\program\shlxthdl.dll”” [“Sun Microsystems, Inc.”]
HKLM\Software\Classes*\shellex\ContextMenuHandlers\
avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}”
-> {HKLM…CLSID} = “avast”
\InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”]
WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”
-> {HKLM…CLSID} = “WinRAR”
\InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”
-> {HKLM…CLSID} = “WinRAR”
\InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}”
-> {HKLM…CLSID} = “avast”
\InProcServer32(Default) = “C:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”]
WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”
-> {HKLM…CLSID} = “WinRAR”
\InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data]
Group Policies {policy setting}:
Note: detected settings may not have any effect.
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\
“shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}
“undockwithoutlogon” = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}
Active Desktop and Wallpaper:
Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
“Wallpaper” = “C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp”
Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
“Wallpaper” = “C:\Documents and Settings\bujalski\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp”
Startup items in “bujalski” & “All Users” startup folders:
C:\Documents and Settings\bujalski\Menu Start\Programy\Autostart
“OpenOffice.org 2.2” -> shortcut to: “C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe” [null data]
Winsock2 Service Provider DLLs:
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]
000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS]
000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]
000000000004\LibraryPath = “%SystemRoot%\system32\wshbth.dll” [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 28
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
“{ED4BD629-C1B6-4399-8A34-02CCAA921DC9}”
-> {HKLM…CLSID} = “Alcohol Toolbar”
\InProcServer32(Default) = “C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll” [null data]
“{F2CF5485-4E02-4F68-819C-B92DE9277049}”
-> {HKLM…CLSID} = “&Links”
\InProcServer32(Default) = “C:\WINDOWS\system32\ieframe.dll” [MS]
“{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}”
-> {HKLM…CLSID} = “Megaupload Toolbar”
\InProcServer32(Default) = “C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL” [“MEGAUPLOAD”]
“{07B18EA9-A523-4961-B6BB-170DE4475CCA}”
-> {HKLM…CLSID} = “My Web Search”
\InProcServer32(Default) = “C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL” [file not found]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
“{ED4BD629-C1B6-4399-8A34-02CCAA921DC9}” = “Alcohol Toolbar”
-> {HKLM…CLSID} = “Alcohol Toolbar”
\InProcServer32(Default) = “C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll” [null data]
“{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}” = (no title provided)
-> {HKLM…CLSID} = “Megaupload Toolbar”
\InProcServer32(Default) = “C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL” [“MEGAUPLOAD”]
Explorer Bars
HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
HKLM\Software\Classes\CLSID{1E0DE227-5CE4-4EA3-AB0C-8B03E1AA76BC}(Default) = “My Web Search Quick View”
Implemented Categories{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32(Default) = “C:\WINDOWS\system32\shdocvw.dll” [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
“MenuText” = “Sun Java Console”
“CLSIDExtension” = “{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}”
-> {HKCU…CLSID} = “Java Plug-in 1.6.0_01”
\InProcServer32(Default) = “C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll” [“Sun Microsystems, Inc.”]
-> {HKLM…CLSID} = “Java Plug-in 1.6.0_01”
\InProcServer32(Default) = “C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll” [“Sun Microsystems, Inc.”]
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
“ButtonText” = “Messenger”
“MenuText” = “Windows Messenger”
“Exec” = “C:\Program Files\Messenger\msmsgs.exe” [MS]
Miscellaneous IE Hijack Points
HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<> “Tabs” = “C:\Documents and Settings\bujalski\Dane aplikacji\MegauploadToolbar\tabwelcome.html” [null data]
Running Services (Display Name, Service Name, Path {Service DLL}):
avast! Antivirus, avast! Antivirus, ““C:\Program Files\Alwil Software\Avast4\ashServ.exe”” [“ALWIL Software”]
avast! iAVS4 Control Service, aswUpdSv, ““C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe”” [“ALWIL Software”]
avast! Mail Scanner, avast! Mail Scanner, ““C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe” /service” [“ALWIL Software”]
avast! Web Scanner, avast! Web Scanner, ““C:\Program Files\Alwil Software\Avast4\ashWebSv.exe” /service” [“ALWIL Software”]
Bluetooth Support Service, BthServ, “C:\WINDOWS\system32\svchost.exe -k bthsvcs” {“C:\WINDOWS\System32\bthserv.dll” [MS]}
StarWind iSCSI Service, StarWindService, “d:\Programy\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe” [“Rocket Division Software”]
<>: Suspicious data at a malware launch point.
<>: Suspicious data at a browser hijack point.
-
This report excludes default entries except where indicated.
-
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
- To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer “No” at the
first message box and “Yes” at the second message box.
---------- (total run time: 120 seconds, including 64 seconds for message boxes)
Log z Silent Runners zostawimy dla doświadczonych
Na razie zajmiemy się plikami WINDOWSA
Po powrocie do normalnej pracy
Wszystki czynności wykonuj przy odłączonej fizycznie sieci.
Przeskanuj online
Otwórz Notatnik i wklej w nim to:
Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG >>> kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru >>> restart.
Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE
Daj log z Combofix
Sory ale wolę zapytać, mam to wkleić do notatnika z logiem czy nowego i dokonać zmian. Robię to pierwszy raz więc nie chciałbym coś popierniczyć. Bo logiczne wydaje mi się wkleić do notatnika z logiem.
Polecenie Gutek2222
to co Masz wkleić
Będąc w oknie Notatnika wykonaj
To jest informacją jak wklejać loga
czyli przed wklejeniem klikasz Quote lub Code i po wklejeniu klikasz ponownie to czym zaczynałeś Quote lub Code
Ten log ma być z Combofixa.Pobierasz go klikając na niebieski Combofix w postcie od Gutek2222
O Combofix-ie poczytaj