Ostatnimi czasy zaczeły dziać się dziwne rzeczy z windowsem. Czasem nie można uruchomić programu (ze skrótu klawiszowego) a czasem uruchamiał sie dwa razy. Niektóre narzedzia do zarządzania autostartem (autoruns.exe) nie działają z niektórych kont (odmowa dostępu) podaczas gdy z innego działają. Oczywiście wszystkie konta mają uprawnienia amninistratora. Przeskanowałem MKS on-line i znalazł: Psw.Sboy.a , Psw.Win32.LMir.yff , Trojan.Agent.bck , Trojan.KillProc.AAA jak również Spyware.VBStat.h . Usunąłem wszystko, część ręcznie, bo nie wszystko mks był w stanie - przydał się tu Unlocker.
Jednak to nie pomogło - nadal podwójne uruchamia programy, jeśli tego nie uniemożliwiają same uruchamiane programy np. Opera.
Tym razem przeskanowałem Panda on-line znalazł jeszcze dodatkowo Spyware:Virtumonde. Ten okazał się odporny na program antywirusowy i niektóre pliki dał się usunąć dopiero po użyciu Gmera w trybie awaryjnym.
W tej chwili ani MKS, ani Panda nic nie znajdują (Kaspersky też nie) ale nadal zaraz po zalogowaniu otwiera się folder Moje Dokumenty i to 2x na kontach gdzie shellem jest explorer a jednokrotnie na moim koncie gdzie shellem jest Aston. Na moim koncie prawidłowo działają też skróty klawiaturowe a na innych w dalszym ciągu uruchamiają programy dwukrotnie. Od skrótów klawiaturowych jest ten sam program więc to nie wina programu.
Zasadnicze pytanie - jak pozbyc się tego że po zalogowaniu otwiera mi automatycznie folder Moje Dokumenty - myślę, że jak to naprawię to i reszta bedzie OK.
dodam jeszcze, że podejrzewam uszkodzenie pliku explorer.exe (lub raczej jakichś jego wpisów) bo na tym kompie ma niecały 1 MB podczas gdy na drugim (też z Windows XP SP2) ma 2,5 MB. Po podmianie plików sytuacja bez zmian.
zmieniłem te dwa wpisy w regedit. Na moim koncie (tym z astonem) już wszystko OK. Na pozostałych (z explorerem) odpalały się Moje dokumenty ale już tylko raz. Musiałem na każdym z kont uruchomić HiJacka i skasować explorer.exe z klucza RUN. I już na pozostałych kontach też jest OK.
Pozostał tylko problem z podwójnym uruchomieniem ze skrótu klawiszowego wspomnianym programem Hotkeyb - na moim koncie jest OK a na drugim nadal odpala 2x wywołaną aplikację.
Podejrzewam, że po prostu skrót załapuje 2x. Czy jest możliwość ustawienia gdzieś (w Windowsie) opóźnień klawiatury. Są opcje w BIOSie płyty głównej i je włączyłem ale to nie pomogło. Po uruchomieniu notepada i przytrzymaniu klawisza literki nie pokazują się jakoś super szybko i w tym przypadku jakby to działało.
Złączono Posta: 14.10.2007 (Nie) 1:06
A wracając do explorer.exe to jaką wielkość powinien mieć? Mając jako shell astona nie jest dla mnie problemem podmiana pliku w katalogu windowsa i dllcache (pod warunkiem, że inni nie są zalogowani). Póki co mam wersję 2,5 MB którą zgrałem z laptopa, ale prawde powiedziawszy na nim tez może coś siedzieć. Nie sprawdzałem, bo i tak zamierzam robić na nim reinstall windowsów.
Złączono Posta: 14.10.2007 (Nie) 1:36
Oto rapotr z SDFix:
Według mnie wszystko OK. Plik explorer.exe pozostał 2,5 MB więc chyba dobry, za to plik explorer.scf zmniejszył się z 88 kB do 80 B
Co do podwójnego uruchamiania ze skrótu ustawiłem, żeby mógł uruchomić tylko jedną kopie programu i już jest OK. Później sprawdziłem ustawwienia na swoim koncie i okazało się że tak było ustawione - stąd najprawdopodobniej prawidłowe działanie skrótu na moim koncie.
Bardzo dziękuję za pomoc. Teraz system śmiga jak świeżo po instalce.
A wg mnie jeszcze nie wszystko jest OK, bo w raporcie SDFixa widzę pliki infekcji " VUNDO" i to całkiem świeże, bo ze środy i piątku.
Ściągnij -->ComboFix (na dole tej strony z linku). Uwaga - niektóre Antivirusy podnoszą fałszywy alarm na ComboFixa, więc trzeba Antivirusa chwilowo wyłączyć.
>>Plik>>Zapisz jako… >>>CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: ** Qoobox**.
Daj ten log z ComboFixa.
Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .
A czy konieczne jest instalowanie ComboFixa? Nie wystarczy w Total Commanderze usunść te pliki bak (pozostałych nie mam na dysku - widocznie programy usunęły je wcześniej). Co do vundo to rzeczywiście w piątek mógł coś jeszcze działać - z tego co pamiętam w piątek wieczorem go usunąłem. Najciężej było usunąć iifefge.dll - tylko on wymagał uruchomienia gmera w trybie awaryjnym, reszta została skasowana przu użyciu unlockera.
