Skocz do zawartości

CWS.Msconfig -- w msconfig/uruchamianie elementy typu NTUSER.DAT


Rekomendowane odpowiedzi

Witam,

 

Windows XP Professional SP3 32-bit

 

Z Menu Start zniknęło większość programów, z panela sterowania zniknęła zawartość Narzędzia administracyjne

 

CWShredder znajduje CWS.Msconfig, usuwa ale ciągle się pojawia na nowo.

 

W msconfig/uruchamianie pojawiły się elementy .rnd, NTUSER, NTUSET.DAT, ntuser.dat, NTUSER.DAT.tmp, ntuser które równiez po usunięciu pojawiają się na nowo.

 

To samo w rejestrze gdy kasuje klucze

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^.rnd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^NTUSER.DAT

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^NTUSER.DAT.bak_jv16pt

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^ntuser.dat.LOG

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^NTUSER.DAT.tmp.LOG

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\^ntuser.ini

powracają.

 

Uruchamiałem ComboFix ale bez poprawy.

 

W załączniku logi

 

Proszę o pomoc.

pozdrawiam

ComboFix2.txt

OTL.Txt

Extras.Txt

gmer30_12_2010.txt

checkup.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W logach nie widzę żadnej infekcji. Pytanie: dlaczego log z OTL jest robiony z poziomu Trybu awaryjnego?

 

CWShredder znajduje CWS.Msconfig, usuwa ale ciągle się pojawia na nowo.

 

Archaiczny program i nikt tego już nie używa. Jego diagnoza też wątpliwa, bo takiej infekcji tu nie ma.

 

Uruchamiałem ComboFix ale bez poprawy.

 

Niepotrzebnie. Tylko wymęczyłeś system. Poza tym, to już nie pierwsze uruchomienie ComboFix (conajmniej trzy razy uruchomiony w ciągu) i nie wiem czy przedstawiony log odpowiada sytuacji zastanej przed uruchomieniem narzędzia:

 

ComboFix-quarantined-files.txt  2010-12-30 20:29

ComboFix2.txt 2010-12-30 16:56

ComboFix3.txt 2010-12-30 16:35

ComboFix4.txt 2009-01-25 12:19

I jest to całkowicie bezsensowne działanie.

 

W msconfig/uruchamianie pojawiły się elementy .rnd, NTUSER, NTUSET.DAT, ntuser.dat, NTUSER.DAT.tmp, ntuser które równiez po usunięciu pojawiają się na nowo. (...) To samo w rejestrze gdy kasuje klucze

 

Nasuwa się tu logiczniejsze wyjaśnienie: zmiany blokuje Tea-Timer Spybota.

 

1. Odinstaluj Spybota.

 

2. Start > Uruchom > regedit i skasuj cały klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig

 

Z Menu Start zniknęło większość programów, z panela sterowania zniknęła zawartość Narzędzia administracyjne

 

Może to nie jest realna kasacja skrótów z dysku tylko zmiana ścieżek folderów shella.

 

1. Czy masz cokolwiek w folderach:

 

C:\Documents and Settings\zac\Menu Start\Programy

C:\Documents and Settings\All Users\Menu Start\Programy

 

2. Start > Uruchom > regedit i do sprawdzenia klucze odpowiadające za skierowanie do danego folderu:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

 

  • Common Start Menu - Wartość równa C:\Documents and Settings\All Users\Menu Start
  • Common Programs - Wartość równa C:\Documents and Settings\All Users\Menu Start\Programy
  • Common Startup - Wartość równa C:\Documents and Settings\All Users\Menu Start\Programy\Autostart
  • Common Administrative Tools - Wartość równa C:\Documents and Settings\All Users\Menu Start\Programy\Narzędzia administracyjne

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

  • Common Start Menu - Wartość równa %ALLUSERSPROFILE%\Menu startu
  • Common Programs - Wartość równa %ALLUSERSPROFILE%\Menu Start\Programy
  • Common Startup - Wartość równa %ALLUSERSPROFILE%\Menu Start\Programy\Autostart
  • Common Administrative Tools - Ta wartość nie powinna być obecna. Jeśli jest, skasuj.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

 

  • Start Menu - Wartość równa C:\Documents and Settings\zac\Menu Start
  • Programs - Wartość równa C:\Documents and Settings\zac\Menu Start\Programy
  • Startup - Wartość równa C:\Documents and Settings\zac\Menu Start\Programy\Autostart
  • Administrative Tools - Wartość pusta

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

 

  • Start Menu - Wartość równa %USERPROFILE%\Menu startu
  • Programs - Wartość równa %USERPROFILE%\Menu Start\Programy
  • Startup - Wartość równa %USERPROFILE%\Menu Start\Programy\Autostart
  • Administrative Tools - Ta wartość nie powinna być obecna. Jeśli jest, skasuj.

 

 

 

 

.

Edytowane przez picasso
31.01.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...