Naloguje a hned sa odhlasi WXP-SP3
Zdravim,
mam WinXP SP3 a normalne som vypol PC, idem zapnut , spusti sa ako klasicky logovacia obrazovka, zadam heslo k uctu, prihlasuje ma , ukaze tapetu a hned Odhlasi...
skusal som otestovat virusy a nic...v msconfigu som povypinal podozrive veci a i tak,
co to moze byt ???
Uz to tu bolo viackrat, mozes skusit pouzit hladanie. Neviem teraz zhlavy ale myslim ze to robi Win napr. ked je poskodeny profil. Skus sa prihlasit ako iny pouzivatel alebo administrator. To funguje?
aj na druhom profile to robi...
heslo na admina zaraz zmenim lebo mi neberie to co pamatam :)
tak teda idem na to, a ke dnie necham kompletny test Superantispywarom..
btw cez QIP mi kolega posielal exe subor ktory mi mal zmenit heslo na ucet, lenze ja som ho nespustal, a tu mi vznika otazka ci sa vobec nieco take da cez normalny rezim, kedze aj tie platene programy to robia z dosu a pristupuju do SAM... ?
Vlez do admin profilu a zrus ucet, ktery tyto nesmysly dela. Obratem zaloz novy (s jinym jmenem/nickem). Konfigurovat k obrazu svemu jej budes dlouho...
nemáš v pc žádný jiný účet - jestli to nedělá i při přihlášení jako administrator?
dělá to samé i v nouzovém režimu?
kontrola zástupců "po spuštění" a v registrech, má lepší výpis než msconfig.
tym starterom som este povyninam ShowDeskFix co v diskusiach oznacili za podozrivy a IE-710.. mam tam len neskodne programy co viem co su
http://img0.imgup.eu/startscreem.JPG
]startscreem.JPG
[/url]
mam 2 ucty + 1 administrator..
na vsetkych troch ak sa prihlasim , tak sa teda neprihlasim lebo nepusti
v nudzovom rezimu idu vsetky tri...
tak teda co robit ?
Skus este v tom nudzaku prescanovat pomocou superantispyware. Viry sa mozu startovat aj inymi sposobmi, nielen cez registry vetvy Run.
Inac co si s PC robil naposledy? Nieco si instaloval? (antivir alebo ten outpost apod?) Ono tam sa to moze mlatit tie sietove veci co tam mas, neinstaloval si nieco pred poslednym restartom?
ne nic... len som skusal spustit VMWARExxx sluzby, pretoze mi ho nechcelo spustit (authentification service error alebo nieco tak)...
ale to poznam, to nemoze mat na to vplyv...
dalej pocitac sa pouziva na bezny net, ale programy instalujem ja...
no odznova nahodit ucty to bude velmi brutalny sposob... este ani superantispyware sa mi enchce spustit, ani odinstalovat, nod sa spusta v prikazovom riadku ecls.exe a aj to mam pocit ze nic nerobi, a spybot nehlasi ziadnu haved
Hm. Co ja viem, skus este vypis z hijackthis sem dat.
A skus ist do nastaveni sluzieb a skontroluj jake sluzby su nastavene nech sa spustaju, skus povypinat tie sluzby co si sa tam pokusal spustat. Dufam ze sa to da v nudzaku ovplyvnit pre normalny rezim.
potřebuješ věci jako: asus gamer osd? isuspm? msconfig se ti nemusí při každém startu připomínat? nwiz snad není nutný k funkci ovladače? java update scheduler?
ten "show desk fix" - shell32.dll má být knihovna microsoftu. ale zkontroluj proč se ti chce spouštět, jestli je to originální verze. proskenuj disk antispywarem. poměrně úspěšný bývá combofix.
spyware bude nejspíš souviset i s "launch inf section ex" a souborem nr_ie7en.inf - zkontroluj že když vypínáš start v "startups", že ti ta věc neběží v paměti - zabít v záložce "procesy".
v nastavení internetového prohlížeče vypni zbytečné = spyware doplňky, které myslíš že by neměly běžet.
když nic nepomůže, vytáhnout disk a připojit jako druhý k jinému pc, ať se z něj nestartuje. pak znovu prohledat, případně vyzkoušet i nějaký antirootkit.
tak v startups nic nieje kedze v nudzovom rezime sa ani nic nespusta..
A to ie7 je podla googla pozostatok z nlite.
Presiel som to nodom ecls s prepinacom /quarantine a vyzera ze to neda do karanteny,tak combofix nasiel aj to co nod,vymazal a i tak login nejde..
Jak zistit este co sa spusta pri starte... ? :|
A co nasiel?
Nemusi sa nieco spustat, staci ak ten vir nejake systemove subory poskodil alebo nastavil prava tak ze sa nikto nedostane na ziaden profil apod :)
Napis co nasiel alebo to preinstaluj.
tak toto naslo : leteckaposta.cz
ked nahodou nieco z toho to sposobovalo, combofix to vymazal (nedokazal vyliecit pripad ktory popisujes-pozmeneni sys subor) tak je este sanca pouzit heuristiku ?
preinstlaovanie windozu je asi ta posledna vec ktoru spravim :(
pěkný log, strávíš u google zajímavou noc.
je tam na můj vkus hodně nechutností co bych zabíjel, ale nechce se mi hledat v cizím hnoji co je úmyslně instalované a co už je spyware.
za všechny pochopitelně zaujme .sys soubor v tmp adresáři: i:\docume~1\Uzivatel1\LOCALS~1\Temp\lredbooo.sys, ale může fungovat dohromady v páru s něčím, smazání nemusí stačit.
ten orcad je koupený nebo cracklý? - mi je to fuk, jen odkud se asi berou ty viry.
a veškeré .exe orcadu mají výjimku na firewallu? v tom případě ten cedník odvirováváš zbytečně.
Tyhle potíže s okamžitým odlogováním mívají na svědomí dost často čachry kolem souboru Userinit.exe, kterýžto soubor bývá dílem sám zavirován, dílem je spouštění přesměrováno místo na něj na soubor Wsaupdater.exe, který jest sám virem.
V tom případě je potřeba (pod jiným operačním systémem, či v opravné konzole) vyměnit nakažený Userinit.exe za dobrý a stejně tak ten Wsaupdater.exe, tedy zkopírovat Userinit.exe -> Wsaupdater.exe. Po restartu je potom vhodné (ať je všechno jak má být) v registrech opravit to přesměrování, ale na to se raději podívej do mého staršího příspěvku: Nahoře do hledání zadej Userinit.exe a hned v prvním odkazu (no, teď to bude asi druhý) to tam mezi jinými odpověďmi najdeš.
vdaka.. stacilo nahradit len povodny userint.exe ... (wsaupdater.exe ani nemam na disku)...
tiez dik za reakcie ostatnym..
a btw. ledni brtnik: keby som sa zaoberal komercne vyvojom elektroniky tak asi by som kupil taketo pspice programy..a ked tak uz nieco lacnejsie napr microcap, orcad skusam na uplne zaklady a overenia vypoctov zo SKOLY, pricom zatial mi stacia aj free programy
