Secpol.exe, fsmgmt.dll może i coś jeszcze :(


(Madman10) #1

Zachowalem sie jak totalny begginer i pobierajac cracka do Diablo2 kliknąłem na ikone crack.exe Rozpakowalo mi miliony badziewia. Troche antywiry usunęły, ale "coś" pozostało. Co tylko usune te 2 pliki to wracają. Przywracanie systemu mam wyłączone.

Log z ComboFix'a:

http://wklej.org/id/1530b85067

Zaraz po nim (i restarcie oczywiście) log z HiJackThis'a:

http://wklej.org/id/ef79fe2cb5

Więcej grzechów nie pamiętam...... :frowning:


(Leon$) #2

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml lub format

wpisy

usuń HijackThisem >> Fix checked

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Madman10) #3

http://wklej.org/id/a7e815dc2b

Przywracanie systemu pisałem, że mam wyłączone :stuck_out_tongue:

A nie widzę, żebyś cokolwiek zrobił z plikiem secpol.exe ;/

Możesz podać maila. Coś się pieprzy z siecią akademicką i nie moge zamieścić nigdzie obrazka. Jest na nim okno msconfig > uruchamianie. Tam jest podejzany wg mnie proces ;/


(Leon$) #4

ja robię analizę logów więc pokaż gdzie go widzisz

Pobierz program SDFix

-


(Madman10) #5

http://wklej.org/id/6667c358d7

Narazie to, jak wroce o 16.30 to przeskanuje kasperskim.

Quoobox usuniety, a instalki nie posiadam :stuck_out_tongue: Po prostu jeden plik combofix.exe mam i go odpalam....


(Leon$) #6

o tym właśnie pisałem usuń

:slight_smile:


(Madman10) #7

OK już włączam skan Kasperskym. Dopiero wróciłem ;/

ComboFix usunięty.

Maila nie podałeś więc wpiszę po prostu co tam jest napisane w autostarcie z msconfig :wink:

Element startowy:

RunDLL32

Polecenie:

RunDLL32.exe NvMCTray.dll,NvTaskbarInit


(Leon$) #8

to jest od NVDii

możesz to wyłączyć z uruchamiania

usuwając wpis

HijackThisem >> Fix checked

:slight_smile:


(Madman10) #9

http://wklej.org/id/d1a72d5d2c

Po Kasperskym

mu.dll to jest plik z gry MMO"RPG" także z tym spoko.

A czy to od NVIDII nie jest do czegoś potrzebne? :>


(huber2t) #10

usuń te pliki:


(Madman10) #11

Czytasz w ogole reszte postow. Mowilem, ze mu.dll sa czyste.

DAEMONA pliki tez wydaja mi sie byc tylko tak rozpoznawane jako badziewia, a sa czyste. Czekam na odpowiedź tego kto rozpoczął pomaganie mi.

PS: Korzystajac z tematu i okazji. Zaraz po reinstalce xp, kiedys tam jak przynioslem pc do akademika dopiero przy wyłączaniu kompa zapisywanie ustawień w xp trwa dosłownie kilka minut. Komputer wyłącza się minimum 2 minuty. Czym to moze być spowodowane?


(Gutek) #12

Zbędniki w autostarcie zobacz - optymalizacja Autostartu


(Leon$) #13

podczas uruchamiania nie jest potrzebne

Daemon Tools Lite ma instalkę śmiecia Shopper Reports ja bym to usunął

co do tego pobierz plik mu.dll porównaj ze swoim http://www.sendspace.pl/file/aDbFFzw1/

:slight_smile:


(Madman10) #14

Heh, już wiem skąd miałem to wszystko.

Kupiłem uzywanego kompa do domu (tamten był w akademiku) i na mp3 przeniosłem. Nie pomyslałem, że moze byc tam jakieś badziewie :wink:

Tak więc proszę tutaj logi z CF i HJT na "nowym" kompie. :stuck_out_tongue_winking_eye:

ComboFix:

http://wklej.org/id/19b55ef928

HiJackThis:

http://wklej.org/id/85a2646f12

Prosze o ocene tego całego badziewia.


(huber2t) #15

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\fsmgmt.dll.tmp

C:\WINDOWS\system32\fsmgmt.dll


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Madman10) #16

http://wklej.org/id/2982531917

Jak mam nie uruchamiac wczesniej CF jak uruchomilem go zeby dac logi z poprzedniego posta? :stuck_out_tongue: Chyba, ze miedzy nimi a CFScriptem mialem nie uruchamiac. To tak zrobilem :wink:


(huber2t) #17

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\fsmgmt.dll.tmp

C:\WINDOWS\system32\fsmgmt.dll

C:\WINDOWS\COPYFSTQ.EXE


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Resume copy"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Leon$) #18

(Madman10) #19

Czy wpis do rejestru nie uaktywnia przypadkiem winampagenta? Czy go wlasnie wyłącza? :>

Log z antywirusa kasperskiego, bo robilem przy okazji.

http://wklej.org/id/eab44a025e

mu.dll identyczna sprawa jak na tamtym PC, wiec co do tego nic nie piszcie :wink:

Avenger

http://wklej.org/id/82f7c7d92f

secpol.exe usunalem recznie przed przeczytaniem twojego posta.

fsmgmt.dll zostal usuniety pewnie przez dzialalnosc combofixa pod instrukcją huberta.


(Leon$) #20

wpis wyłącza

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

do usunięcia

Avanger te pliki skasował

daj nowy log Combofiza

:slight_smile: