zac Opublikowano 31 Grudnia 2010 Zgłoś Udostępnij Opublikowano 31 Grudnia 2010 Witam, Windows XP Professional SP3 32-bit Z Menu Start zniknęło większość programów, z panela sterowania zniknęła zawartość Narzędzia administracyjne CWShredder znajduje CWS.Msconfig, usuwa ale ciągle się pojawia na nowo. W msconfig/uruchamianie pojawiły się elementy .rnd, NTUSER, NTUSET.DAT, ntuser.dat, NTUSER.DAT.tmp, ntuser które równiez po usunięciu pojawiają się na nowo. To samo w rejestrze gdy kasuje klucze HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^.rnd HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^NTUSER.DAT HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^NTUSER.DAT.bak_jv16pt HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^ntuser.dat.LOG HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^NTUSER.DAT.tmp.LOG HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^ntuser.ini powracają. Uruchamiałem ComboFix ale bez poprawy. W załączniku logi Proszę o pomoc. pozdrawiam ComboFix2.txt OTL.Txt Extras.Txt gmer30_12_2010.txt checkup.txt Odnośnik do komentarza
picasso Opublikowano 31 Grudnia 2010 Zgłoś Udostępnij Opublikowano 31 Grudnia 2010 (edytowane) W logach nie widzę żadnej infekcji. Pytanie: dlaczego log z OTL jest robiony z poziomu Trybu awaryjnego? CWShredder znajduje CWS.Msconfig, usuwa ale ciągle się pojawia na nowo. Archaiczny program i nikt tego już nie używa. Jego diagnoza też wątpliwa, bo takiej infekcji tu nie ma. Uruchamiałem ComboFix ale bez poprawy. Niepotrzebnie. Tylko wymęczyłeś system. Poza tym, to już nie pierwsze uruchomienie ComboFix (conajmniej trzy razy uruchomiony w ciągu) i nie wiem czy przedstawiony log odpowiada sytuacji zastanej przed uruchomieniem narzędzia: ComboFix-quarantined-files.txt 2010-12-30 20:29ComboFix2.txt 2010-12-30 16:56ComboFix3.txt 2010-12-30 16:35ComboFix4.txt 2009-01-25 12:19 I jest to całkowicie bezsensowne działanie. W msconfig/uruchamianie pojawiły się elementy .rnd, NTUSER, NTUSET.DAT, ntuser.dat, NTUSER.DAT.tmp, ntuser które równiez po usunięciu pojawiają się na nowo. (...) To samo w rejestrze gdy kasuje klucze Nasuwa się tu logiczniejsze wyjaśnienie: zmiany blokuje Tea-Timer Spybota. 1. Odinstaluj Spybota. 2. Start > Uruchom > regedit i skasuj cały klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig Z Menu Start zniknęło większość programów, z panela sterowania zniknęła zawartość Narzędzia administracyjne Może to nie jest realna kasacja skrótów z dysku tylko zmiana ścieżek folderów shella. 1. Czy masz cokolwiek w folderach: C:\Documents and Settings\zac\Menu Start\Programy C:\Documents and Settings\All Users\Menu Start\Programy 2. Start > Uruchom > regedit i do sprawdzenia klucze odpowiadające za skierowanie do danego folderu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Common Start Menu - Wartość równa C:\Documents and Settings\All Users\Menu Start Common Programs - Wartość równa C:\Documents and Settings\All Users\Menu Start\Programy Common Startup - Wartość równa C:\Documents and Settings\All Users\Menu Start\Programy\Autostart Common Administrative Tools - Wartość równa C:\Documents and Settings\All Users\Menu Start\Programy\Narzędzia administracyjne HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Common Start Menu - Wartość równa %ALLUSERSPROFILE%\Menu startu Common Programs - Wartość równa %ALLUSERSPROFILE%\Menu Start\Programy Common Startup - Wartość równa %ALLUSERSPROFILE%\Menu Start\Programy\Autostart Common Administrative Tools - Ta wartość nie powinna być obecna. Jeśli jest, skasuj. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Start Menu - Wartość równa C:\Documents and Settings\zac\Menu Start Programs - Wartość równa C:\Documents and Settings\zac\Menu Start\Programy Startup - Wartość równa C:\Documents and Settings\zac\Menu Start\Programy\Autostart Administrative Tools - Wartość pusta HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Start Menu - Wartość równa %USERPROFILE%\Menu startu Programs - Wartość równa %USERPROFILE%\Menu Start\Programy Startup - Wartość równa %USERPROFILE%\Menu Start\Programy\Autostart Administrative Tools - Ta wartość nie powinna być obecna. Jeśli jest, skasuj. . Edytowane 31 Stycznia 2011 przez picasso 31.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi