Проблем след преинсталиране на XP

[cr1minal]

Logfile of HijackThis v1.99.1

Scan saved at 12:58, on 2009-03-07

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\VDOTool\TBPanel.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\Datecs\Flex2K.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\DOCUME~1\SVETLA~1\LOCALS~1\Temp\kkkqf.exe

C:\DOCUME~1\SVETLA~1\LOCALS~1\Temp\yfvvdv.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

C:\Program Files\Winamp\winamp.exe

C:\Documents and Settings\Svetla Ilieva\Desktop\Anti-spy-mal-addware\alabala.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [TBPanel] C:\Program Files\VDOTool\TBPanel.exe /A

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=032009 serial=DR12WRS-5096179-VPV lang=EN

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: FlexType 2K.lnk = C:\WINDOWS\Datecs\Flex2K.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{78487CBD-01A2-491F-AEF1-A1BA7D0AD787}: NameServer = 10.19.2.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{78487CBD-01A2-491F-AEF1-A1BA7D0AD787}: NameServer = 10.19.2.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{78487CBD-01A2-491F-AEF1-A1BA7D0AD787}: NameServer = 10.19.2.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

[Night_Raven]

Грешка на пръстите. Имах предвид ComboFix.

[cr1minal]

Логът от Комбофикс...

ComboFix.txt

[Night_Raven]

Отново се надявам след като даде лога да не си рестартирал. Следните инструкции си ги разпечатай или копирай някъде, ако мислиш, че няма да ги запомниш, защото ще ти липсва интернет за малко.

 

Имаш ли някакво USB флаш устройство? Ако имаш, не го свързвай с компютъра, докато не се уверим, че системата е чиста и не се подготвим за чистенето му.

 

Меню Start -> Run -> напиши services.msc -> OK. Намери услугата Server, кликни два пъти върху нея, кликни бутон Stop, от падащото меню избери Disabled и потвърди с OK.

 

След това извади кабела на мрежовата карта и не го вкарвай, докато не има инструкция за това.

 

Стартирай The Avenger. Копирай следния скрипт, като го маркираш и натиснеш Ctrl+C, след което в The Avenger кликни третия бутон (Paste Script from Clipboard):

Drivers to delete:
abp470n5

Files to delete:
c:\windows\system32\drivers\jugjin.sys

Registry values to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List | c:\\WINDOWS\\system32\\CF10240.exe

Кликни Execute, потвърди с Yes и на двата въпроса, което ще рестартира компютъра. След като се стартира отново ще се изведе текстов файл. Копирай някъде лога, за да можеш по-късно да го вмъкнеш в темата.

 

След като Windows зареди създай на десктопа файл на име CFScript (или CFScript.txt, ако работиш с показани разширения) със следното съдържание:

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

Провлачи текстовия файл върху ComboFix, както е показано тук:

http://www.softvisia.com/users/Night_Raven/Security/cfsdnd2.gif

 

След рестарта на системата свържи мрежовия кабел и пусни тук лога от ComboFix, който ще се създаде, и лога от The Avenger, който ти казах да запазиш.

[cr1minal]

Стартирах Авенджър и задодх скрипта и машината се рестартира и повече не тръгва... Не зарежда Уиндоус изобщо, екрана е черен, дори и след като го рестартирам.

 

След третия рестарт тръгна...

 

Всъщност след авенджър тръгна, и в лога пишеше, че има грешна команда или нещо такова Не можах да запиша съобщението, защото веднага се рестартира пак.

 

п.с. пиша си от лаптопа

 

Ще повторя операцията, за да видя къде е грешката.

 

 

Грешката е моя - копирал съм скрипта два пъти.

При стартиране Авенджър със съответния скрипт ми казва, че regedit е забранено от администратора.

 

Логът от Авенджър не знам дали е актуалния, защото след операцията, компютъра се рестартира два пъти и след стартиране не ми излезе лог, който да видя, както се случва при Комбофикс.

avenger.txt

ComboFix.txt

[Night_Raven]

Изтегли ESET SysInspector и:

1) стартирай я и изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си в ZIP формат (не го разархивирай).

 

Ти иначе изпълни инструкциите както ти ги бях дал?

[B-boy/StyLe/]

При стартиране Авенджър със съответния скрипт ми казва, че regedit е забранено от администратора.

 

Няма да се меся в процеса по почистването. Само ще спомена, за едно хубаво тулче за премахване на ограниченията наложени от зловреден софтуер:

 

Изтегли това FixPolicies.

Запази го някъде на декстопа.Кликни два пъти върху файла и избери Install.Ще се създаде папка с името FixPolicies на десктопа.Отвори я и стартирай файла Fix_policies.cmd .

 

Успешна вечер и на двама ви.

 

@cr1minal => има опция за свалане и то доста нагледна.

[cr1minal]

Да, само дето компютъра се рестартира два пъти след пускането на Авенджър. Кабела беше извън компа.

 

Night Raven, смяташ ли, че е удачно да изпробвам и тази програма, която колегата предложи?

 

SysInspector не мога да я изтегля от сайта, който даваш... Няма изобщо опция за теглене, да я изтегля ли от някъде другаде?

[Night_Raven]

Програмата, която предлага B-boy/StyLe/, е по принцип полезна, но не съм сигурен дали в случая би имало полза от нея, защото предполагам, че гадинката ще си възстанови въпросните стойности.

Няма начин да няма линк за сваляне на ESET SysInspector. Дори и да не работи официалния, има български мирър.

[cr1minal]

Просто тази синя стрелка вдясно на екрана я няма като отворя линка.

[Night_Raven]

Ето ти директен линк към страницата за избор на миръри.

[cr1minal]

Готово!

SysInspector_SVETLA_641C9402_090307_2335.zip

[Night_Raven]

Ще използвам случая да те критикувам остро!

 

Ползваш стар сервизен пакет (Service Pack 2), нямаш никаква защитна стена, нямаш никаква антивирусна, ползваш и стара версия на Firefox.

 

Отново ще вършиш нещата без интернет, така че тези указания си ги препиши или там каквото ще си ги правиш, за да ги спазиш.

 

Изтегли следните неща:

ATF Cleaner

Dr.Web CureIt

Обновления за SUPERAntiSpyware

Обновления за Malwarebytes' Anti-Malware

 

Инсталирай обновленията за SUPERAntiSpyware и Malwarebytes' Anti-Malware.

 

Извади мрежовия кабел.

 

Отвори папка C:\WINDOWS и намери файла system.ini. Кликни с върху него с десния бутон -> .Properties. Ако има отметка на Read-only, я махни и потвърди с OK. Отвори файла и изтрий [MCIDRV_VER] и всичко след него. Запази файла.

 

Стартирай The Avenger. Копирай следния скрипт, като го маркираш и натиснеш Ctrl+C, след което в The Avenger кликни третия бутон (Paste Script from Clipboard):

Drivers to disable:
abp470n5

Кликни Execute, потвърди с Yes и на двата въпроса, което ще рестартира компютъра.

 

Провери дали в редактирания C:\WINDOWS\system.ini фигурира реда, който изтри преди. Ако фигурира, го изтрий отново.

 

Стартирай Dr.Web CureIt. Кликни Стартирай и потвърди с OK на неясния въпрос. Изчакай да приключи сканирането. Ако открие нещо, потвърди с Yes, за да го почисти. След като приключи бързото сканиране (и евентуалното чистене) от меню Настройки избери Промени настройките. Махни отметката на Евристичен анализ. Иди на подпрозорец Действия. От всички падащи менюта избери Информирай (в които не е избрано вече, де). Махни отметката долу Запитване за потвърждение. Потвърди с OK. На основния екран избери Пълно сканиране и кликни зеления триъгълник вдясно, под логото. След като приключи цялото сканиране от меню Файл избери Запази списъка с отчета, запази го на десктопа и затвори Dr.Web CureIt.

 

Стартирай ATF Cleaner. Постави отметки на Windows Temp, Current User Temp, All Users Temp, Cookies, Temporary Internet Files, Java Cache, Recycle Bin и кликни Empty Selected. Кликни на бутон Firefox в горната част. Постави отметки на Firefox Cache, Firefox Cookies и кликни Empty Selected.

 

Стартирай The Avenger. Копирай следния скрипт, като го маркираш и натиснеш Ctrl+C, след което в The Avenger кликни третия бутон (Paste Script from Clipboard):

Drivers to delete:
abp470n5

Files to delete:
c:\windows\system32\drivers\jugjin.sys

Кликни Execute, потвърди с Yes и на двата въпроса, което ще рестартира компютъра.

 

След рестарта сканирай със SUPERAntiSpyware и Malwarebytes' Anti-Malware:

 

За SUPERAntiSpyware:

- стартирай програмата;

- кликни бутон Scan your Computer;

- вляво избери само дял C:, а вдясно избери Perform Complete Scan;

- кликни Next и изчакай да сканира;

- кликни Next, за да се премахнат гадинките и накрая Finish;

- кликни бутон Preferences... и иди на подпрозорец Statistics/Logs, маркирай последния лог и кликни бутон View Log...;

- копирай съдържанието му някъде за после.

 

За Malwarebytes' Anti-Malware:

- стартирай програмата;

- избери Perform quick scan и кликни бутон Scan;

- като приключи сканирането кликни бутон Remove Selected;

- ще се появи текст, копирай съдържанието му някъде за после.

 

Ако някоя от програмите изиска рестарт, се съгласи.

 

Пъхни мрежовия кабел.

 

Прикачи нов лог от ESET SysInspector, както и логовете от Dr.Web CureIt, SUPERAntiSpyware и Malwarebytes' Anti-Malware.

[cimex]

Здравейте,

 

Имам следния проблем:

 

Преди няколко часа си пресинталирах XP-то, всичко беше ОК. След като сложих драйверите и някои други програмки от първа необходимост започнаха да се случват разни странни неща като:

- при задаване на ctrl+alt+del ми излиза следното съобщение: Task Menager was disabled by your administrator (Аз лично не съм деактивирал това приложение);

- при теглене със скорост над 2 mb/s машниата тотално спича, видеото въви насечено, музиката също, чак и мишката насича, а машината е с не лоши харкатеристики (Pentium VI 2x2.20 Ghz, 2 GB RAM, GF 8500 GT etc.... )

 

Някой да има идея какъв може да е проблема?

 

Ще бъда благодарен, ако се отзовете! ! !

 

Поздрави !

 

Друг "бъг", който сега открих е, че някой апликации автоматично се прекратяват - опитах се да си инсталирам Avast i RMDC++, което няколко секунди след старитрането на инсталационния файл апликацията се затваря от самосебе си !?! Някой има ли е подобен проблем ?

Здравейте, имам точно същия проблем и по никакъв начин не мога да го оправя /нито с форматиране нито с някоя програма" много моля за помощ!

[Night_Raven]

Изтегли HijackThis 1.99.1 (213KB), която съм преименувал нарочно, и:

1) стартирай програмата;

2) кликни Do a system scan and save a logfile, което ще създаде текстов файл в същата папка;

3) копирай съдържанието му тук или прикачи файла към коментара.

 

Изтегли ESET SysInspector и:

1) стартирай я и изчакай да събере информацията;

2) меню File -> Save Log;

3) потвърди с Yes;

4) не променяй изходния ZIP формат, запази файла на удобно за теб място и го прикачи после към коментара си в ZIP формат (не го разархивирай).

 

Изтегли GMER. Разархивирай и стартирай програмата. Тя ще направи начално сканиране за секунди. След като то приключи НЕ кликай бутон Scan, а кликни бутон Copy и после пейстни съдържанието тук (Ctrl+V). Ако програмата предложи да направи пълно сканиране, откажи.