Secpol.exe, fsmgmt.dll może i coś jeszcze :(

Zachowalem sie jak totalny begginer i pobierajac cracka do Diablo2 kliknąłem na ikone crack.exe Rozpakowalo mi miliony badziewia. Troche antywiry usunęły, ale “coś” pozostało. Co tylko usune te 2 pliki to wracają. Przywracanie systemu mam wyłączone.

Log z ComboFix’a:

http://wklej.org/id/1530b85067

Zaraz po nim (i restarcie oczywiście) log z HiJackThis’a:

http://wklej.org/id/ef79fe2cb5

Więcej grzechów nie pamiętam… :frowning:

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format

wpisy

usuń HijackThisem >> Fix checked

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:

http://wklej.org/id/a7e815dc2b

Przywracanie systemu pisałem, że mam wyłączone :stuck_out_tongue:

A nie widzę, żebyś cokolwiek zrobił z plikiem secpol.exe ;/

Możesz podać maila. Coś się pieprzy z siecią akademicką i nie moge zamieścić nigdzie obrazka. Jest na nim okno msconfig > uruchamianie. Tam jest podejzany wg mnie proces ;/

ja robię analizę logów więc pokaż gdzie go widzisz

Pobierz program SDFix

http://wklej.org/id/6667c358d7

Narazie to, jak wroce o 16.30 to przeskanuje kasperskim.

Quoobox usuniety, a instalki nie posiadam :stuck_out_tongue: Po prostu jeden plik combofix.exe mam i go odpalam…

o tym właśnie pisałem usuń

:slight_smile:

OK już włączam skan Kasperskym. Dopiero wróciłem ;/

ComboFix usunięty.

Maila nie podałeś więc wpiszę po prostu co tam jest napisane w autostarcie z msconfig :wink:

Element startowy:

RunDLL32

Polecenie:

RunDLL32.exe NvMCTray.dll,NvTaskbarInit

to jest od NVDii

możesz to wyłączyć z uruchamiania

usuwając wpis

HijackThisem >> Fix checked

:slight_smile:

http://wklej.org/id/d1a72d5d2c

Po Kasperskym

mu.dll to jest plik z gry MMO"RPG" także z tym spoko.

A czy to od NVIDII nie jest do czegoś potrzebne? :>

usuń te pliki:

Czytasz w ogole reszte postow. Mowilem, ze mu.dll sa czyste.

DAEMONA pliki tez wydaja mi sie byc tylko tak rozpoznawane jako badziewia, a sa czyste. Czekam na odpowiedź tego kto rozpoczął pomaganie mi.

PS: Korzystajac z tematu i okazji. Zaraz po reinstalce xp, kiedys tam jak przynioslem pc do akademika dopiero przy wyłączaniu kompa zapisywanie ustawień w xp trwa dosłownie kilka minut. Komputer wyłącza się minimum 2 minuty. Czym to moze być spowodowane?

Zbędniki w autostarcie zobacz - optymalizacja Autostartu

podczas uruchamiania nie jest potrzebne

Daemon Tools Lite ma instalkę śmiecia Shopper Reports ja bym to usunął

co do tego pobierz plik mu.dll porównaj ze swoim http://www.sendspace.pl/file/aDbFFzw1/

http://files.filefront.com/mudllrar/;9641510;/fileinfo.html

:slight_smile:

Heh, już wiem skąd miałem to wszystko.

Kupiłem uzywanego kompa do domu (tamten był w akademiku) i na mp3 przeniosłem. Nie pomyslałem, że moze byc tam jakieś badziewie :wink:

Tak więc proszę tutaj logi z CF i HJT na “nowym” kompie. :stuck_out_tongue_winking_eye:

ComboFix:

http://wklej.org/id/19b55ef928

HiJackThis:

http://wklej.org/id/85a2646f12

Prosze o ocene tego całego badziewia.

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\fsmgmt.dll.tmp

C:\WINDOWS\system32\fsmgmt.dll


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

http://wklej.org/id/2982531917

Jak mam nie uruchamiac wczesniej CF jak uruchomilem go zeby dac logi z poprzedniego posta? :stuck_out_tongue: Chyba, ze miedzy nimi a CFScriptem mialem nie uruchamiac. To tak zrobilem :wink:

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\fsmgmt.dll.tmp

C:\WINDOWS\system32\fsmgmt.dll

C:\WINDOWS\COPYFSTQ.EXE


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Resume copy"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Czy wpis do rejestru nie uaktywnia przypadkiem winampagenta? Czy go wlasnie wyłącza? :>

Log z antywirusa kasperskiego, bo robilem przy okazji.

http://wklej.org/id/eab44a025e

mu.dll identyczna sprawa jak na tamtym PC, wiec co do tego nic nie piszcie :wink:

Avenger

http://wklej.org/id/82f7c7d92f

secpol.exe usunalem recznie przed przeczytaniem twojego posta.

fsmgmt.dll zostal usuniety pewnie przez dzialalnosc combofixa pod instrukcją huberta.

wpis wyłącza

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

do usunięcia

Avanger te pliki skasował

daj nowy log Combofiza

:slight_smile: