Zmiana praw konta w XP + samoczynnie wyskakujące okienko


(Chen1) #1

Witam,

surfowałem po necie, nagle komputer się na chwilę powiesił, jak próbowałem wejść do Menadżera Zadań wyskoczyło, że opcja ta została zablokowana przez administratora (którym byłem jeszcze chwilę temu). Na dodatek jak wyskakuje mi jakieś głupie okienko, o treści "Windows Security Alert - Your computer is making unauthorized copies of your system and Internet files. Run full scan now to prevent any unathorised access to your files! Click YES to download spyware remover ..." namawiające mnie do ściągnięcia softu antywirusowego, cyniczne. Przetrząsnąłem dysk skanerem online, nic nie wykrył, Spybot wykrył i usunął coś takiego Mircrosoft.expolrer.xxx (3 takie różne wpisy), ale nadal dzieje się to samo. Ponadto co chwilę coś chce mi się dobrać do rejestr, reydent Spybota to blokuje, ale jest to nieco wkurzające.

Poniżej zamieszczam logi, ale z SR jest nie pełny ze względu na jakiś błąd przepełnienia, bardzo proszę o pomoc:

HijackThis:

SilentRunners:

Combofix:

i drugi z ComboFix:

2007-08-01 20:02 5 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\eeeeedfdfa3_g.dll.vir



Zmienna PATH folderu

Numer seryjny woluminu: 71F5E346 B0CF:6C37

C:\QOOBOX

\---Quarantine

    +---C

    | \---WINDOWS

    | \---system32

    | eeeeedfdfa3_g.dll.vir

    |               

    \---Registry_backups

z góry bardzo dziękuję za pomoc,

pozdrawiam


(jessica) #2

Jeśli nie masz jakiegoś narzędzia usuwającego, to ściągnij OTMoveIt

Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:

Następnie wciśnij przycisk MoveIt!

Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes.

Po restarcie usuń ręcznie folder C:**** _OTMoveIt (Prawoklik >>> Usuń >>> Opróżnij Kosz).

Potem te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Następnie:

Wklej do Notatnika:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] 

"DisableTaskMgr"=dword:00000000 


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System] 

"DisableTaskMgr"=dword:00000000 

"**del.DisableTaskMgr"=" " 


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] 

"DisableTaskMgr"=dword:00000000

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

Potem nowe logi (dłuższe: wklej na http://wklej.org/, a w poście daj tylko link.)

jessi


(Chen1) #3

Zrobiłem jak kazałaś, z pewnymi wyjątkami:

  • po uzyciu OTMoveIt, tego:

już nie było w HijackThis, a tego:

HijackThis nie chce usunąć, wyrzuca jakiś błąd:

http://wklej.org/id/b1fa49fa87

Komp zaczął chyba działać normalnie, mogę dostać się do rejestru i menadżera zadań, poniżej przedstawiam logi.

HijackThis:

http://www.wklej.org/id/8fdd5b1738

SilentRunners:

http://www.wklej.org/id/88a4ec1ded

ComboFix:

http://wklej.org/id/c440f8da80

Coś jeszcze mi siedzi w systemie ??


(Gutek) #4

Użyj SmitFraudFix wybierz opcji nr 2 oraz:

Pobierz program SDFix

-


(Chen1) #5

Log z SDFixa:

Umieścić coś jeszcze ??


(jessica) #6

Jeśli użyłeś, zgodnie z zaleceniem @Gutka2222 , także SmitfraudFix, to pokaż z niego raport z C:\SmitfraudFix.txt.

Sprawdź, czy ten pogrubiony plik jest jeszcze na dysku, a jeśli jest, to spróbuj usunąć ręcznie.

Potem (dopiero po usunięciu pliku!) sfiksuj ten wpis w Hijacku.

jessi


(Chen1) #7

wcześniej zapomniałem o SmitFraudFix, oto log z niego:

http://www.wklej.org/id/fe9f9d02b2

a tutaj jest log z SDFixa:

http://www.wklej.org/id/2b9f35d136

Plik usunąłem ręcznie, zaraz spróbuję sfiksować wpis w Hijacku

Plik da się usunąć ręcznie, ale wpisu się sfiksować nie da, co więcej, po restarcie plik znowu się pojawia.


(Gutek) #8

Daj jeszcze nowy log z Combo


(Chen1) #9

log z ComboFixa:

http://www.wklej.org/id/5feb959e3f


(Gutek) #10

Ni już powinno być Ok


(Chen1) #11

Jak to już koniec to bardzo dziękuję za pomoc