Witam, ciezko mi opisac problem, bo w zasadzie nie wiem co sie stalo. W trakcie pracy laptop zawiesil sie, a po restarcie systemu zaczely sie problemy.
Po uruchomieniu systemu znikaja ikony z pulpitu, ponadto pojawia sie okno z komunikatem: “Właściwości: system32 pochodzenie:S-1-5-21-1482476501-1644491937-682003330-1013” nic ponadto poza komendami “przywróc, ok, anuluj” i w zasadzie kliknięcie którejkolwiek z nich niczego nie zmienia. Ponadto niepokoi mnie to, że laptop “trzeszczy” w trakcie uruchamiania (nie każdego, ale przynajmniej co drugi raz) bądź przy wyłączaniu. Dźwięk z głośników. Nie wiem co to może być, laptop jest nowy- nie ma nawet tygodnia. Czy to może być jakiś wirus? Były podłączane pen-y ale w drugim komputerze też były podłączane ale tam się nic nie dzieje. Skanowałam laptopa nodem-nic nie znalazł.
proszę o jakąś poradę
Edit:
Nie wiem, czy ma to znaczenie, ale znalazłam ukrytą partycję 10GB typu fat32, pozostałe widoczne są w NTFS
asterisk
(Asterisk)
11 Grudzień 2008 00:27
#2
Proszę podać, co to za laptop i system, pod jakim pracuje.
Na tej ukrytej partycji jest kopia zapasowa systemu.
Zapoznaj się proszę z tą stroną i zmień tytuł na
konkretny. Inaczej temat poleci do śmietnika.
zainstalowany system to vista a. A laptop: asus F5GLserier,Intel Pentium Dual CPU T3200 @ 2.00GHz, 3,0GB RAM, NVIDIA MCP79MVL.
Kiedy szukałam coś na temat tego S-1-5-21-148247650… to zawsze dotyczyło to wirusów, ale u mnie objawy są inne niż tam opisane. Zauważyłam jeszzcze jeden objaw- mianowicie nie zachowują się ustawienia autocada dotyczące układu pasków narzędzi i przy każdym kolejnym otwieraniu programu powracają pierwotne ustawienia programu.
Olcia
(Olixxx94)
11 Grudzień 2008 16:08
#4
olinek1983 , sprawdzałaś system pod kątem wirusów??
daj screena z tego okna.
już wiem na pewno, że to wirus, potraktowałam go combofix-em, ale log wskazuje, że nadal coś tam siedzi i nie bardzo wiem, jak to usunąć.
Link do loga:
http://www.wklej.org/id/27073/
podejrzany jest ten katalog system na partycji C, włączyłam pokazywanie ukrytych plików i folderów a mimo to katalogu “system” nie ma na żadnej partycji. Avira Antywir ani NOD nie wykrywa żadnych wirusów.
Olcia
(Olixxx94)
11 Grudzień 2008 20:17
#6
O4 - HKCU…\Run: [Tester] c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
Fix w HijackThis. Daj log z Combofix.
MichaelP
(MichaelP)
11 Grudzień 2008 20:18
#7
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Następnie daj raport na forum.
Lub użyj Dr.WEB CureIt!
Potem zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html Uruchom pełne skanowanie jeżeli coś znajdzie, to usuń Następnie daj loga na forum.
O4 - HKCU…\Run: [Tester] c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe
tego nie moglam znalezc, dla pozostalych dalam fix
http://www.wklej.org/id/27092/
to log z hijacka.
MichaelP
(MichaelP)
11 Grudzień 2008 20:54
#9
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O1 - Hosts: ::1 localhost O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM…\Run: [ATKOSD2] “C:\Program Files\ATKOSD2\ATKOSD2.exe” O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM…\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe O4 - HKLM…\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O13 - Gopher Prefix: O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
Fix w HijackThis. Instrukcja viewtopic.php?f=16&t=36654
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Następnie daj raport na forum.
Lub użyj Dr.WEB CureIt!
Potem zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html Uruchom pełne skanowanie jeżeli coś znajdzie, to usuń Następnie daj loga na forum.
Zauważyłem, że miałeś/aś 2 antywirusy. Noda i Avire. Jeżeli nadal masz dwa, radzę usunąć jeden z nich (Avire).
olinek1983
(Olinek1983)
11 Grudzień 2008 21:22
#10
log po fixie http://www.wklej.org/id/27109/
antywirusy są dwa, bo myślałam, że może któryś znajdzie wirusa, zaraz normalnie jest tylko nod i zaraz tego drugiego odinstaluje.
MichaelP
(MichaelP)
11 Grudzień 2008 21:29
#11
O1 - Hosts: ::1 localhost O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll 4 - HKLM…\Run: [ATKOSD2] “C:\Program Files\ATKOSD2\ATKOSD2.exe” O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM…\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe O4 - HKLM…\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [CLMLServer] “C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe” O4 - HKLM…\Run: [P2Go_Menu] “C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe” “C:\Program Files\CyberLink\Power2Go” UpdateWithCreateOnce “SOFTWARE\CyberLink\Power2Go\6.0” O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [sMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
Fix w HijackThis.
Zastosuj się do powyższych instrukcji.
olinek1983
(Olinek1983)
11 Grudzień 2008 22:03
#12
log po fixie http://www.wklej.org/id/27131/
w trakcie “fixowania” wyskakuje błąd: “Please help us improve HijackThis by reporting this error” dotyczy tego O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
Odinstalowalam nadprogramowe antywirusy, ale kasperskim online nie moge zeskanowac, bo windows go blokuje. Nod-em skanowalam- nic nie znalazl.
olinek1983
(Olinek1983)
12 Grudzień 2008 09:56
#14
to log z antywira http://www.wklej.org/id/27194/
usunelam plik recznie, ale chyba nie na wiele to sie zdalo, bo widze, ze to dalej tam jest. log po usunieciu recznym: http://www.wklej.org/id/27196/
huber2t
(huber2t)
12 Grudzień 2008 09:57
#15
Podaj log z Combofix
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
olinek1983
(Olinek1983)
12 Grudzień 2008 10:21
#16
huber2t
(huber2t)
12 Grudzień 2008 14:09
#17
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
g:\system\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f3ccc05-c5f9-11dd-abfb-0023543d3743}]
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
olinek1983
(Olinek1983)
12 Grudzień 2008 16:27
#18
huber2t
(huber2t)
12 Grudzień 2008 18:40
#19
Do wyleczenia pendrive z wirusów użyj
Perlovg Removal Tool
Flash Disinfector
lub format
usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
lub
Dr.WEB CureIt!