Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Start systemu i owierające się foldry Moje Dokumenty

01 Mar 2006 18:12 2205 8
  • Poziom 10  
    Witam wszystkich!
    Chciałbym się poradzić, może ktoś potrafi wyjaśnić taką sytułacje:
    Zawsze gdy właczam kom. to podzczas uruchamiania systemu otwierają mi sie na pulpicie naraz trzy folder Moje Dokumenty. Komputer regularnie skanuje programem antywirusowym NOD 32, obecnie nie wykrywa od jakiegoś czasu wirusów,lecz jeszcze jakiś czas temu gdy nie miałem jeszcze zainstalowanego Servis Pack 2 do Win xp pojawiały sie wirusy, myślałem że problem sam zniknie gdy wylecze kompa ale jednak tak sie nie stało. Kompa regularnie skanuje również programami typu Spaybot- Search&Destroy, Ad-ware, microsoft AntiSpyware i te programy również nic nie wykrywają. Może ktoś z was również ma ten problem, proszę o inf.
  • Poziom 28  
    Zobacz czy nie masz skrotow w Autostarcie albo w kluczach Run w rejestrze - to drugie mozesz sprawdzic uzywajac narzedzia MSCONFIG (w Start wpisujesz MSCONFIG i packasz ENTER)

    Start systemu i owierające się foldry Moje Dokumenty[/img]

    mozesz jeszcze przeniesc lokalizacje Moich Dokumentow gdzie indziej - sprawdz czy podziala - prawy myszy na Moje dokumenty i dajesz Przenies
  • Poziom 10  
    To ten Log:
    Logfile of HijackThis v1.99.1
    Scan saved at 10:26:18, on 2006-03-02
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS1\System32\smss.exe
    C:\WINDOWS1\system32\winlogon.exe
    C:\WINDOWS1\system32\services.exe
    C:\WINDOWS1\system32\lsass.exe
    C:\WINDOWS1\system32\svchost.exe
    C:\WINDOWS1\System32\svchost.exe
    C:\WINDOWS1\system32\spoolsv.exe
    C:\WINDOWS1\System32\drivers\crauto.exe
    C:\WINDOWS1\System32\CTSvcCDA.EXE
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS1\System32\svchost.exe
    C:\WINDOWS1\System32\MsPMSPSv.exe
    C:\WINDOWS1\Explorer.EXE
    C:\WINDOWS1\system32\ntvdm.exe
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS1\System32\igfxtray.exe
    C:\WINDOWS1\System32\hkcmd.exe
    C:\PROGRA~1\NEOSTR~1\CnxMon.exe
    C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
    C:\Program Files\Paragon Software\Paragon CD-ROM Emulator\tray.exe
    C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    C:\program files\rpm\Rpmodem.exe
    C:\WINDOWS1\system32\ctfmon.exe
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\NetMeter\NetMeter.exe
    C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
    C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
    C:\Program Files\V3CallCenter\V3faxecp.exe
    C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\Program Files\Neostrada TP\NeostradaTP.exe
    C:\Program Files\Neostrada TP\ComComp.exe
    C:\Program Files\Neostrada TP\Watch.exe
    C:\Program Files\Wapster\AQQ\AQQ.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\marcin\Pulpit\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
    F3 - REG:win.ini: load=C:\YDPDict\watch.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS1\System32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS1\System32\hkcmd.exe
    O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
    O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
    O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
    O4 - HKLM\..\Run: [tray.exe] "C:\Program Files\Paragon Software\Paragon CD-ROM Emulator\tray.exe"
    O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
    O4 - HKLM\..\Run: [Encrypted Disk Auto Mount] rundll32.exe edshell.dll,MountAll
    O4 - HKLM\..\Run: [1qaw3edr5] C:\WINDOWS1\system32\userinit.exe
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS1\System32\\NeroCheck.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
    O4 - HKLM\..\Run: [Rpmodem.exe] c:\program files\rpm\Rpmodem.exe /s
    O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS1\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS1\system32\ctfmon.exe
    O4 - HKCU\..\Run: [1qaw3edr5] C:\WINDOWS1\system32\userinit.exe
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS1\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /A "C:\WINDOWS1\system32\E_SA1.tmp"
    O4 - HKCU\..\Run: [C:\Program Files\NetMeter\NetMeter.exe] C:\Program Files\NetMeter\NetMeter.exe
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: CallCenter Printer Interface.lnk = C:\Program Files\V3CallCenter\V3faxecp.exe
    O4 - Global Startup: Device Detector 2.lnk = C:\Program Files\Olympus\DeviceDetector\DevDtct2.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/hou...plet/html/native/x86/win32/activex/hcImpl.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5C538862-5D6F-480C-A53A-FB785487C96F}: NameServer = 194.204.152.34 217.98.63.164
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS1\SYSTEM32\igfxsrvc.dll
    O23 - Service: crauto - Unknown owner - C:\WINDOWS1\System32\drivers\crauto.exe
    O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS1\System32\CTSvcCDA.EXE
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
  • Spec od komputerów
    Fix w hijackthis:
    O4 - HKLM\..\Run: [1qaw3edr5] C:\WINDOWS1\system32\userinit.exe
    O4 - HKCU\..\Run: [1qaw3edr5] C:\WINDOWS1\system32\userinit.exe

    Przeskanuj potem tym:
    skaner online http://www.spywareinfo.com/xscan.php
    Ewido http://download.ewido.net/ewido-setup.exe <- zrób update przed skanowaniem, po przeskanowaniu odinstaluj.
    Użyj Windows Worms Doors Cleanera http://www.firewallleaktester.com/wwdc.htm i zamknij nim porty (zmień znaczki z disable na enable) i reset komputera.

    Zastanów się czy wszystkie programy uruchamiane przy starcie (O4 w logu) są Ci potrzebne ?
    Zastanów się też nad deinstalacją zbędnego oprogramowania od neostrady. Wystarczy instalacja samych sterowników od modemu i utworzenie połączenia dial-up.
    Szczegóły tutaj: http://www.msinfo.pl/msinfoweb2/DesktopDefault.aspx?tabid=77 i tutaj http://shider.net/AutoConnect/

    Po wszystkim wklej nowego loga z hijackthis.
  • Spec od komputerów
    :arrow: paweliw
    Usuniecie C:\WINDOWS1\system32\userinit.exe
    to napewno nie byl dobry pomysl, jezeli autor sie zastosowal do tego co napisales to raczej juz go nie zobaczymy, chyba, ze sam wpadnie na pomysl ze trzeba wypakowac userinit.exe z plyty instalacyjnej (lub zgrac z katalogu w ktorym jest jego kopia, najczesciej ktorys z podkatalogow zawierajacy zainstalowane poprawki) i podmienic.
    Co do "Moich Dokumentow" to otwieraja sie poniewaz w rejestrze zapewne brakuje , po userinit.exe w galezi:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    wpis powinien wygladac tak:
    "Userinit"="C:\\WINNT\\system32\\userinit.exe,"
    (C:\\WINNT\\system32\\ to tylko przyklad)
    Przecinek zapewne skasowalo cos co zainfekowalo plik userinit :>
  • Spec od komputerów
    Masz rację Kolobos trochę się zagalopowałem z usunięciem pliku, zapomniałem że to plik systemowy.

    Nie doczytałem do końca wyniku ze sprawdzenia userinit.exe na http://www.bleepingcomputer.com/startups/not_used-10164.html.
    Zmyliło mnie też to: http://www.bleepingcomputer.com/startups/userinit.exe-13803.html.

    No cóż mam nadzieję, że viplook nie powiesi mnie na pierwszym spotkanym drzewie. :cry:

    Przepraszam za swój błąd.
  • Poziom 10  
    Masz szczęscie paweliw że jestem ostrożny i nic nie robie zbyt pochopnie. Przeniesienie dokumentow nie pomogło. Trudno określić jakie programy uruchamiają się w autostarcie, z kąd mam wiedzieć ktore programy są niezbedne do prawidłowego funkcjonowania PC a ktore są niepotrzebne, nazwy nic za bardzo nie mowią, czy jes jakiś sposob aby je jakoś rozpoznać? ktore programy są niezbedne a ktore nie?
  • Spec od komputerów
    W razie czego miałem już przygotowany awaryjny szybki sposób naprawy mojego błedu. No ale dobrze, że nie był potrzebny.

    Co do uruchamiania programów w autostarcie to prawie każdy programik można sprawdzić np. tutaj:
    http://www.bleepingcomputer.com/startups/ lub tutaj http://www.processlibrary.com/
    Tutaj masz wynik dla [IgfxTray] C:\WINDOWS1\System32\igfxtray.exe http://www.bleepingcomputer.com/startups/igfxtray-2147.html
    Jak widać program nie jest szkodliwy ale i nie wymagany przy starcie systemu.
    Wiele programów podczas instalacji daje możliwość wyłączenia startu z systemem, lub wyłączenie to jest możliwe po instalacji w opcjach programu.

    Ponadto każdy wyłączony program możesz szybko włączyć korzystając z msconfig (Start->Uruchom) zakładka Uruchamianie.