Właściwości: system32- "trzeszczenie" laptopa

olinek1983 · 10 Grudzień 2008 23:08

Witam, ciezko mi opisac problem, bo w zasadzie nie wiem co sie stalo. W trakcie pracy laptop zawiesil sie, a po restarcie systemu zaczely sie problemy.

Po uruchomieniu systemu znikaja ikony z pulpitu, ponadto pojawia sie okno z komunikatem: “Właściwości: system32 pochodzenie:S-1-5-21-1482476501-1644491937-682003330-1013” nic ponadto poza komendami “przywróc, ok, anuluj” i w zasadzie kliknięcie którejkolwiek z nich niczego nie zmienia. Ponadto niepokoi mnie to, że laptop “trzeszczy” w trakcie uruchamiania (nie każdego, ale przynajmniej co drugi raz) bądź przy wyłączaniu. Dźwięk z głośników. Nie wiem co to może być, laptop jest nowy- nie ma nawet tygodnia. Czy to może być jakiś wirus? Były podłączane pen-y ale w drugim komputerze też były podłączane ale tam się nic nie dzieje. Skanowałam laptopa nodem-nic nie znalazł.

proszę o jakąś poradę

Edit:

Nie wiem, czy ma to znaczenie, ale znalazłam ukrytą partycję 10GB typu fat32, pozostałe widoczne są w NTFS

asterisk · 11 Grudzień 2008 00:27

Proszę podać, co to za laptop i system, pod jakim pracuje.

Na tej ukrytej partycji jest kopia zapasowa systemu.

Zapoznaj się proszę z tą stroną i zmień tytuł na

konkretny. Inaczej temat poleci do śmietnika.

olinek1983 · 11 Grudzień 2008 07:08

zainstalowany system to vista a. A laptop: asus F5GLserier,Intel Pentium Dual CPU T3200 @ 2.00GHz, 3,0GB RAM, NVIDIA MCP79MVL.

Kiedy szukałam coś na temat tego S-1-5-21-148247650… to zawsze dotyczyło to wirusów, ale u mnie objawy są inne niż tam opisane. Zauważyłam jeszzcze jeden objaw- mianowicie nie zachowują się ustawienia autocada dotyczące układu pasków narzędzi i przy każdym kolejnym otwieraniu programu powracają pierwotne ustawienia programu.

Olcia · 11 Grudzień 2008 16:08

olinek1983 , sprawdzałaś system pod kątem wirusów??

daj screena z tego okna.

olinek1983 · 11 Grudzień 2008 20:12

już wiem na pewno, że to wirus, potraktowałam go combofix-em, ale log wskazuje, że nadal coś tam siedzi i nie bardzo wiem, jak to usunąć.

Link do loga:

http://www.wklej.org/id/27073/

podejrzany jest ten katalog system na partycji C, włączyłam pokazywanie ukrytych plików i folderów a mimo to katalogu “system” nie ma na żadnej partycji. Avira Antywir ani NOD nie wykrywa żadnych wirusów.

Olcia · 11 Grudzień 2008 20:17

Fix w HijackThis. Daj log z Combofix.

MichaelP · 11 Grudzień 2008 20:18

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Następnie daj raport na forum.

Lub użyj Dr.WEB CureIt!

Potem zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html Uruchom pełne skanowanie jeżeli coś znajdzie, to usuń Następnie daj loga na forum.

olinek1983 · 11 Grudzień 2008 20:47

O4 - HKCU…\Run: [Tester] c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe

tego nie moglam znalezc, dla pozostalych dalam fix

http://www.wklej.org/id/27092/

to log z hijacka.

MichaelP · 11 Grudzień 2008 20:54

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O1 - Hosts: ::1 localhost O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM…\Run: [ATKOSD2] “C:\Program Files\ATKOSD2\ATKOSD2.exe” O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM…\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe O4 - HKLM…\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O13 - Gopher Prefix: O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

Fix w HijackThis. Instrukcja viewtopic.php?f=16&t=36654

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Następnie daj raport na forum.

Lub użyj Dr.WEB CureIt!

Potem zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html Uruchom pełne skanowanie jeżeli coś znajdzie, to usuń Następnie daj loga na forum.

Zauważyłem, że miałeś/aś 2 antywirusy. Noda i Avire. Jeżeli nadal masz dwa, radzę usunąć jeden z nich (Avire).

olinek1983 · 11 Grudzień 2008 21:22

log po fixie http://www.wklej.org/id/27109/

antywirusy są dwa, bo myślałam, że może któryś znajdzie wirusa, zaraz normalnie jest tylko nod i zaraz tego drugiego odinstaluje.

MichaelP · 11 Grudzień 2008 21:29

O1 - Hosts: ::1 localhost O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll 4 - HKLM…\Run: [ATKOSD2] “C:\Program Files\ATKOSD2\ATKOSD2.exe” O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM…\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe O4 - HKLM…\Run: [ASUS Camera ScreenSaver] C:\Windows\AsScrProlog.exe O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [CLMLServer] “C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe” O4 - HKLM…\Run: [P2Go_Menu] “C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe” “C:\Program Files\CyberLink\Power2Go” UpdateWithCreateOnce “SOFTWARE\CyberLink\Power2Go\6.0” O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [sMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

Fix w HijackThis.

Zastosuj się do powyższych instrukcji.

olinek1983 · 11 Grudzień 2008 22:03

log po fixie http://www.wklej.org/id/27131/

w trakcie “fixowania” wyskakuje błąd: “Please help us improve HijackThis by reporting this error” dotyczy tego O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

Odinstalowalam nadprogramowe antywirusy, ale kasperskim online nie moge zeskanowac, bo windows go blokuje. Nod-em skanowalam- nic nie znalazl.

MichaelP · 11 Grudzień 2008 22:28

Usuń ten plik ręcznie.

olinek1983 · 12 Grudzień 2008 09:56

to log z antywira http://www.wklej.org/id/27194/

usunelam plik recznie, ale chyba nie na wiele to sie zdalo, bo widze, ze to dalej tam jest. log po usunieciu recznym: http://www.wklej.org/id/27196/

huber2t · 12 Grudzień 2008 09:57

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

olinek1983 · 12 Grudzień 2008 10:21

http://www.wklej.org/id/27203/ log z combofix

huber2t · 12 Grudzień 2008 14:09

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

g:\system\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f3ccc05-c5f9-11dd-abfb-0023543d3743}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

olinek1983 · 12 Grudzień 2008 16:27

log z combofix

http://www.wklej.org/id/27309/

huber2t · 12 Grudzień 2008 18:40

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!