Mierzyn utworzono 23 maja 2009 utworzono 23 maja 2009 Witam, od razu zaznaczam, ze jestem komputerowym noobem. Problem przedstawia sie tak- siostra poinformowala mnie, że komputer został zainfekowany przez malware doctora. Użyła programu a-squared-anti-malware i i okazało się, że jest ful jakiegoś syfu i wcisnęła kwarantannę. Od tej pory mimo kilkakrotnego restartu na pulpicie widać tylko tło. Da się co s z tym zrobić? No i, że się przestraszyłem, że mojego lapka może spotkac to samo to sciagnąłem zachwalaną, darmową avirę, przeskanowałem-"naprawiłem wszystkie" i schrzanił mi sie internet, z którym łączę się przez router. Po włączeniu kompa wyświetla się komunikat "Wystąpił błąd podczas ładowania C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL Nie można odnaleźć określonego modułu." Bardzo proszę o pomoc, bo w ciągu godziny zostałem bez dwóch komputerów i nie wiem co robić.
ZooMpl komentarz 24 maja 2009 komentarz 24 maja 2009 (edytowane) a-squared-anti-malware ?? Co to jest?? Wykonaj : 1.Cofnij systemy przed dzien, w ktorym zostaly pousuwane pliki(Start>Programy>Akcesoria>Narzędzia Systemowe>Przywracanie systemu), jeśli się załaduje, pobierz ten o to programik http://www.instalki.pl/programy/download/p...et_Security.php Zrób pełne skanowanie komputera, i myślę, że on sie upora Daj znać jak poszło. Pozdrawiam, ZooMpl PS. Jeśli nie działa Ci pulpit, spróbuj awaryjny (F8 przed załadowaniem systemu)
Mierzyn komentarz 24 maja 2009 Autor komentarz 24 maja 2009 Dzięki za odzew. To przywracanie systemu mam zrobić na lapku czy na tym komputerze, co widać tylko tło?
ZooMpl komentarz 24 maja 2009 komentarz 24 maja 2009 Dzięki michu za odpowiedź za mnie , jestem chory i żadziej na lapku Daj znać jak ci poszło.
Mierzyn komentarz 24 maja 2009 Autor komentarz 24 maja 2009 (edytowane) NO to tak, ten komp z samym tłem w trybie awaryjnym też nie pokazywał żadnych ikon, więc już pojechał do informatyka. Natomiast w lapku 3 razy próbowałem przywrócić system do trzech różnych punktów przed "napraw wszystkie" i za każdym razem przywracanie systemu jest niekompletne i nic się nie zmiena. A z tymi logami to jak mam to zrobić ? Edit: Jak chciałem przeskanować combofixem to wyświetla mi się ostrzeżenie, że norton 360 jest aktywny i może to doprowadzić nawet do uszkodzenia systemu? Mam to olać i przeskanować czy jest jakiś sposób żeby na chwilę zdeaktywować nortona?
jacmiszcz92 komentarz 24 maja 2009 komentarz 24 maja 2009 wyłącz zaporę oraz funkcję auto-protect i olej to. tak naprawde combofix zawsze bedzie pokazywal ze norton 360 jest aktywny (nawet po wylaczeniu uslug) bo zmienia pliki systemowe
Mierzyn komentarz 24 maja 2009 Autor komentarz 24 maja 2009 (edytowane) A jak mam to zrobić? Nie widzę żadnych takich opcji, a nie chciałbym czegoś schrzanić. Tak btw to czemu nie działa mi ta opcja przywracania systemu? Nie ma takiego bajeru, że windows sam sprawdza jakich plików brakuje i instaluje je na nowo?
ZooMpl komentarz 24 maja 2009 komentarz 24 maja 2009 Jeśli chodzi o zaporę systemową to Panel Sterowania>Zapora Systemowa>Wyłącz
jacmiszcz92 komentarz 24 maja 2009 komentarz 24 maja 2009 A jak mam to zrobić? Nie widzę żadnych takich opcji, a nie chciałbym czegoś schrzanić. Klikasz prawym klawiszem myszki na ikonke w tray'u na pasku zadań
Mierzyn komentarz 24 maja 2009 Autor komentarz 24 maja 2009 Nie no zaporę wyłączyłem, ale nortona nie da się tak po prostu zamknąć w pasku zadań. Próbowałem też uruchom>msconfig i chciałem odznaczyć nortona w zakładce "uruchom", ale nie ma go tam.
Gość komentarz 25 maja 2009 komentarz 25 maja 2009 A w Trybie Awaryjnym? Odpal ComboFixa w Trybie Awaryjnym! .
Mierzyn komentarz 25 maja 2009 Autor komentarz 25 maja 2009 Dobra już mam te logi z combofixa w trybie awaryjnym. Mam dać cały plik czy jakieś informacje, których inni nie powinni widziec usunąć ? Aha, juz na początku skanowania wyświetlił mi sie komunikat, że nie jest zainstalowana konsola odzyskiwania systemu, co pewnie jest przyczyną tego, że nie moge odzyskac systemu.
Mateusz J. komentarz 25 maja 2009 komentarz 25 maja 2009 Witam Mam dać cały plik czy jakieś informacje, których inni nie powinni widziec usunąć biggrin.gif ?Daj cały log, wszystkie informacje w logu są potrzebne do analizy możesz jedynie zamiast nazwy twego użytkownika wszędzie wpisać xxx.Pozdrawiam jesiona
Mierzyn komentarz 25 maja 2009 Autor komentarz 25 maja 2009 Ok, tak własnie zrobilem. Logi w załączniku. ComboFix 09-05-23.04 - xxx 2009-05-25 13:01.1 - NTFSx86 NETWORKMicrosoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.1014.831 [GMT 2:00]Uruchomiony z: c:\documents and settings\xxx\Pulpit\ComboFix.exeAV: Norton 360 *On-access scanning enabled* (Updated) {A5F1BC7C-EA33-4247-961C-0217208396C4}FW: Norton 360 *enabled* {371C0A40-5A0C-4AD2-A6E5-69C02037FBF3}UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\xxx\Dane aplikacji\wiaserva.logc:\program files\myglobalsearchc:\program files\newdotnetc:\program files\newdotnet\readme.txtc:\windows\system32\setup.ini.((((((((((((((((((((((((( Pliki utworzone od 2009-04-25 do 2009-05-25 ))))))))))))))))))))))))))))))).2009-05-23 20:57 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys2009-05-23 12:10 . 2009-05-23 16:49 -------- d---a-w c:\documents and settings\All Users\Dane aplikacji\TEMP2009-05-19 08:57 . 2009-05-19 08:57 -------- d-----w c:\program files\Ares2009-05-17 19:00 . 2009-05-23 21:52 -------- d-----w c:\documents and settings\xxx\Ustawienia lokalne\Dane aplikacji\Ares2009-05-10 11:29 . 2009-05-10 11:34 -------- d-----w c:\program files\BearShare.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-25 10:50 . 2006-02-14 16:40 67824 ----a-w c:\windows\system32\perfc015.dat2009-05-25 10:50 . 2006-02-14 16:40 437474 ----a-w c:\windows\system32\perfh015.dat2009-05-25 06:27 . 2007-10-16 15:32 -------- d-----w c:\documents and settings\xxx\Dane aplikacji\Skype2009-05-25 06:08 . 2009-01-17 12:57 -------- d-----w c:\documents and settings\xxx\Dane aplikacji\skypePM2009-05-25 05:29 . 2009-03-12 17:19 1 ----a-w c:\documents and settings\xxx\Dane aplikacji\OpenOffice.org\3\user\uno_packages\cache\stamp.sys2009-05-24 16:49 . 2008-06-29 13:10 -------- d-----w c:\documents and settings\xxx\Dane aplikacji\foobar20002009-05-24 16:46 . 2007-10-28 11:11 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Symantec2009-05-23 18:57 . 2009-02-09 03:24 -------- d-----w c:\program files\ALLPlayer2009-05-23 12:11 . 2007-10-28 11:10 -------- d-----w c:\program files\Common Files\Symantec Shared2009-05-19 16:06 . 2009-02-09 03:24 -------- d-----w c:\program files\NAPI-PROJEKT2009-04-05 16:22 . 2009-04-05 16:22 -------- d-----w c:\program files\Windows Media Connect 22009-04-05 12:22 . 2009-04-05 12:22 57344 ----a-w c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\50\5b902232-5c6d7314-n\Decora-SSE.dll2009-04-05 12:22 . 2009-04-05 12:22 24064 ----a-w c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\15\4e09eacf-1231f5f4-n\Decora-D3D.dll2009-04-05 12:22 . 2009-04-05 12:22 315392 ----a-w c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-2883c1b8-n\jogl.dll2009-04-05 12:22 . 2009-04-05 12:22 20480 ----a-w c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-2883c1b8-n\jogl_awt.dll2009-04-05 12:22 . 2009-04-05 12:22 114688 ----a-w c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-2883c1b8-n\jogl_cg.dll2009-04-05 12:22 . 2009-04-05 12:22 20480 ----a-w c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\45\4f710eed-6e59b52d-n\gluegen-rt.dll2009-04-05 12:22 . 2009-04-05 12:22 499712 ----a-w c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-708b20a1-n\msvcp71.dll2009-04-05 12:22 . 2009-04-05 12:22 499712 ----a-w c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-708b20a1-n\jmc.dll2009-04-05 12:22 . 2009-04-05 12:22 348160 ----a-w c:\documents and settings\xxx\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-708b20a1-n\msvcr71.dll2009-04-05 12:21 . 2009-04-05 12:21 410984 ----a-w c:\windows\system32\deploytk.dll2009-04-05 12:21 . 2008-09-15 14:52 -------- d-----w c:\program files\Java2009-04-05 12:21 . 2009-04-05 12:21 152576 ----a-w c:\documents and settings\xxx\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll2009-04-03 08:24 . 2009-04-03 08:24 -------- d-----w c:\program files\The KMPlayer2009-03-12 17:19 . 2007-10-08 15:38 16896 ----a-w c:\documents and settings\xxx\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-03-06 14:47 . 2006-02-14 16:40 285184 ----a-w c:\windows\system32\pdh.dll2009-03-02 17:10 . 2007-10-09 18:32 67584 ----a-w c:\windows\system32\ff_vfw.dll2007-10-08 16:16 . 2006-02-14 16:35 12241 ----a-w c:\program files\Lang.txt.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-10-15 68856]"Skype"="c:\program files\Skype\Phone\Skype.exe" [2008-11-07 21633320]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-10-13 1694208]"ALLUpdate"="c:\program files\ALLPlayer\ALLUpdate.exe" [2008-11-24 869888]"ares"="c:\program files\Ares\Ares.exe" [2007-07-16 961536][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-09-04 65536]"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-09-13 86016]"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-04-21 761946]"Symantec PIF AlertEng"="c:\program files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2007-01-10 115816]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-05 148888]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-09-22 16236032]"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]"AdslTaskBar"="stmctrl.dll" - c:\windows\system32\stmctrl.dll [2006-06-02 151552]"SMSERIAL"="sm56hlpr.exe" - c:\windows\sm56hlpr.exe [2006-01-20 544768][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]c:\documents and settings\Jacek\Menu Start\Programy\Autostart\OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696][HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusOverride"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\WINDOWS\\system32\\dpvsetup.exe"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"=S1 mailKmd;mailKmd; [x]S2 ShuZgeru;ShuZgeru;c:\windows\System32\svchost.exe -k netsvcs [2006-02-14 14336]S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-02-26 101936]--- Inne Usługi/Sterowniki w Pamięci ---*NewlyCreated* - COMHOSTHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcsShuZgeru.- - - - USUNIĘTO PUSTE WPISY - - - -HKLM-Run-LMgrVolOSD - c:\program files\Launch Manager\OSD.exeHKLM-Run-LMgrOSD - c:\program files\Launch Manager\OSDCtrl.exeHKLM-Run-CtrlVol - c:\program files\Launch Manager\CtrlVol.exeHKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exeSafeBoot-procexp90.Sys.------- Skan uzupełniający -------.uStart Page = hxxp://www.neostrada.pluSearchURL,(Default) = hxxp://www.google.com/search?q=%sIE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.htmlLSP: c:\program files\NewDotNet\newdotnet4_85.dllFF - ProfilePath - c:\documents and settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\2ork5oq7.default\FF - plugin: c:\documents and settings\All Users\Dane aplikacji\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-25 13:02Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run CtrlVol = c:\program files\Launch Manager\CtrlVol.exe?????\??????|x??|????q??|?j?wQj?w????????,??? ???????????????d??????|????????p?????@?dv??????0y?w???????????????sx??s@??????????????|h??st??????????s?????????????????C?sc"?sx??s???????w??@?N'?s?@9??:@??@9???????? skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.Czas ukończenia: 2009-05-25 13:03ComboFix-quarantined-files.txt 2009-05-25 11:03Przed: 19 194 384 384 bajtów wolnychPo: 19 248 791 552 bajtów wolnych143 --- E O F --- 2009-05-23 11:07 log.txt log.txt
Gość komentarz 25 maja 2009 komentarz 25 maja 2009 Start>>>Uruchom>>>cmd>>>Wklep to: SC DELETE ShuZgeru ENTER. 1. Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt. 2. Z folderu "System Volume Information" usuniesz poprzez chwilowe wyłączenie "Przywracania Systemu": >Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka). 3. Wykonaj optymalizację systemu 4.Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum. .
Mierzyn komentarz 25 maja 2009 Autor komentarz 25 maja 2009 Te punkty od 1 do 4 mam wykonywać jak to okienko "cmd" jest otwarte czy to obojetne?
Mierzyn komentarz 25 maja 2009 Autor komentarz 25 maja 2009 Yyy... nie zrozumiałem. Wiem, że zadaję smieszne pytania- sorry. To po wklepaniu tego w cmd mam zamknąć to okno?
Mierzyn komentarz 25 maja 2009 Autor komentarz 25 maja 2009 Prosiłbym o dokładne wytłumaczenie co mam zrobić w podpunkcie drugim krok po kroku. Gdzie mam szukać tego folderu "system volume information"? Szukałem przez "wyszukaj" ale nic nie znalazłem.
Mateusz J. komentarz 25 maja 2009 komentarz 25 maja 2009 1.Kliknij prawym przyciskiem myszy na Mój komputer, następnie wybierz właściwości. 2.Pojawi się okienko, w którym wybierasz kartę Przywracanie systemu. 3.Zaznacz kwadracik obok napisu wyłącz przywracanie systemu, a następnie kliknij ok. Następnie wykonaj ponownie punkt 1,2,3, ale w punkcie 3 zamiast zaznaczać odznacz kwadracik obok napisu wyłącz przywracanie systemu. I na tym polega opróżnienie folderu System volume... Pozdrawiam jesiona
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.