Skocz do zawartości

Brak ikon i paska Windows


Chrystiano

Rekomendowane odpowiedzi

Witam

Siostra(specjalistka od łapania wirusów) mi dziś lapka dała do naprawy, komp ma takiego wirusa, że nie mam pojęcia jak go usunąć.

 

Komputer to stary grat:

Windows XP Pro SP3 (na 99% 32 bit)

1 GB ramu

jakiś jednordzeniowiec

 

Po kliknięciu PPM na MÓJ KOMPUTER są jedynie te informacje, tam gdzie jest tabelka na całą nazwe procesora, jest jedynie 0,99 RAM. Nic więcej nie ma napisane.

 

Tak jak w temacie, nie ma ikon folderów, paska windowsa, nie da się włączyć przeglądarki, panelu sterowania, antywirusa, opcja "wklej" nie działa.

 

a skanując program GMER, wyskakuje milion razy ten sam komunikat " yczpgp5k.exe

Aplikacja lub biblioteka DLL C:WINDOWS\system32\WINHTTP.ddll nie jest poprawnym obrazem systemu Windows NT. Sprawdź to z dyskietką instalacyjną.", więc zaprzestałem skanowanie. 
 
Niestety użyłem COMBOfixa, został włączony przez pamięć masową z telefonu. Znalazł dwa zainfekowane pliki, po restarcie niestety nie mam loga. Program się zaciął, albo telefon sie rozłączył od kompa.
 
 

 

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Sprawdź usługę "winmgmt" lub napraw WMI.

 

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Instrumentacja zarządzania Windows"
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,03,00,03,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
"Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
  00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>

plik uruchom (dwuklik i OK).

 

Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-606747145-1958367476-1177238915-1110\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartpageing.com/?type=hp&ts=1448304489&z=a741b2a04622a6d547bda10gaz7z2b5cae4z0zab2t&from=cornl&uid=toshibaxmk1237gsx_778hf1rxsxx778hf1rxs

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA

HKU\S-1-5-21-606747145-1958367476-1177238915-1110\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA

SearchScopes: HKU\S-1-5-21-606747145-1958367476-1177238915-1110 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartpageing.com/web/?type=ds&ts=1448304489&z=a741b2a04622a6d547bda10gaz7z2b5cae4z0zab2t&from=cornl&uid=toshibaxmk1237gsx_778hf1rxsxx778hf1rxs&q={searchTerms}

SearchScopes: HKU\S-1-5-21-606747145-1958367476-1177238915-1110 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartpageing.com/web/?type=ds&ts=1448304489&z=a741b2a04622a6d547bda10gaz7z2b5cae4z0zab2t&from=cornl&uid=toshibaxmk1237gsx_778hf1rxsxx778hf1rxs&q={searchTerms}

FF NewTab: hxxp://www.istartpageing.com/newtab/?type=nt&ts=1448304489&z=a741b2a04622a6d547bda10gaz7z2b5cae4z0zab2t&from=cornl&uid=toshibaxmk1237gsx_778hf1rxsxx778hf1rxs

FF Extension: FirefixTab - C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\rtty8xr7.default\Extensions\deskCutv2@gmail.com [2015-12-17] [brak podpisu cyfrowego]

FF Extension: Brak nazwy - C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\rtty8xr7.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2015-12-18] [brak podpisu cyfrowego]

FF SearchPlugin: C:\Documents and Settings\ADMIN\Dane aplikacji\Mozilla\Firefox\Profiles\rtty8xr7.default\searchplugins\istartpageing.xml [2015-11-23]

S2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\7WdM7\WdMan.exe [333312 2015-12-04] (TFuns LIMITED)

C:\Documents and Settings\All Users\Dane aplikacji\7WdM7

StartMenuInternet: Google Chrome.BTO5IU6TMCYAQ4FU5OMVCFBVYM - C:\Documents and Settings\Stanisz\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

StartMenuInternet: Google Chrome.UFUADCJJXZVZHVTEKXAXXUHOGY - C:\Documents and Settings\Gość\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe

S3 catchme; \??\C:\DOCUME~1\ADMIN\USTAWI~1\Temp\catchme.sys [X]

S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]

C:\WINDOWS\Minidump\Mini*.dmp

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

W logu Addition.txt widać, ze nie działa Rejestr.

 

=====================================================

 

nie ma ikon folderów, paska windowsa, nie da się włączyć przeglądarki, panelu sterowania, antywirusa, opcja "wklej" nie działa.

 

Jak zauważysz, że @Picasso jest już na forum, to napisz do Niej na PW, by przesunęła temat do innego działu, (np. WIN XP)

 

jessi

Odnośnik do komentarza

więc co dalej :) ? Bo wizualnie to cały czas tak samo system wygląda. Ten fix zadziałał ? bo ja go odpalałem przez pamięć masową telefonu, nie dało się przekopiować tego na pulpit... Nie działa opcja "Wklej"

 

Ten fix nie miał nic wspólnego z głównym problemem.

 

Pisałam już:

 

Jak zauważysz, że @Picasso jest już na forum, to napisz do Niej na PW, by przesunęła temat do innego działu, (np. WIN XP)

 

nie mam pojęcia, kiedy będzie Picasso, ale myślę, że nie później niż 20 stycznia.

 

jessi

Odnośnik do komentarza
  • 2 miesiące temu...

Temat przenoszę do działu Windows. Tytułowe problemy nie są z winy infekcji.

Mam wątpliwości czy komunikat o niedziałaniu WMI wymagał naprawy, bo tu jest niedomyślny Windows instalowany z mocno modyfikowanej płyty XP robionej za pomocą nLite. Na takich systemach zdarza się, że WMI jest naruszone i nie podejmuje się wtedy działań. Ale równie dobrze ten komunikat może być wynikiem tego:

Natomiast jest tu problem modyfikacji ważnych plików Windows. Poniższy zestaw nie ma sygnatury Microsoftu. Kluczowe usługi Zdalne wywoływanie procedur (RpcSs) oraz Program uruchamiający proces serwera DCOM (DcomLaunch) nie działają i to jest powód dla opisywanych problemów. Usługa RpcSs jest nadrzędną zależnością dla wszystkich innych usług, więc i one padły.

S2 DcomLaunch; C:\WINDOWS\system32\rpcss.dll [401408 2009-02-09] ()
S3 dmadmin; C:\WINDOWS\System32\dmadmin.exe [225280 2008-04-14] ()
S3 napagent; C:\WINDOWS\System32\qagentrt.dll [293376 2008-04-14] ()
S2 RpcSs; C:\WINDOWS\System32\rpcss.dll [401408 2009-02-09] ()
S3 SCardSvr; C:\WINDOWS\System32\SCardSvr.exe [98304 2008-04-14] ()
S3 upnphost; C:\WINDOWS\System32\upnphost.dll [186880 2008-04-14] ()
 
Handler: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] ()
Handler: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] ()
Handler: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] ()
Handler: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] ()
Handler: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll [2014-02-06] ()
Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll [2009-11-07] ()
Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll [2009-11-07] ()
Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll [2009-11-07] ()


 

a skanując program GMER, wyskakuje milion razy ten sam komunikat " yczpgp5k.exe
Aplikacja lub biblioteka DLL C:WINDOWS\system32\WINHTTP.ddll nie jest poprawnym obrazem systemu Windows NT. Sprawdź to z dyskietką instalacyjną.", więc zaprzestałem skanowanie.


To kolejny objaw uszkodzenia plików. I prawdopodobnie jest więcej naruszeń niż może przedstawić to bardzo selektywny log FRST.
 
Naprawa polegałaby na podmianie uszkodzonych plików poprawnymi, a że zakres uszkodzeń nie do sprawdzenia, musiałoby zostać uruchomione sfc /scannow lub reperacja nakładkowa systemu. Do obu tych działań jest wymagana polska płyta Windows ze zintegrowanym SP3. Mówisz że płyty nie posiadasz, to czy jest możliwe jej pożyczenie lub "skombinowanie"?

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...