XP - brak ikon na pulpicie, pasek start nieaktywny

[pjasio253]

Witam

Stan jak w tytule. Jakieś dwa tygodnie temu po ok.10 minutach pokazywały się w końcu ikony na pulpicie, teraz po 3 godzinach oczekiwania nie ma już nic.

W trybie awaryjnym wszystko uruchamia się ok. Dr.Web CureIt! wykrył trochę śmieci, trojanów i je wyczyścił.

W załączeniu OTL w formacie TXT.

OTL.Txt

[picasso]

Proszę wrócić do zasad działu i opisu tworzenia narzędzi.

- Log z OTL niekompletny (brak Extras)

- Obowiązkowe są także raporty z FRST i GMER.

 

Nie podałeś też w czym (konkretne ścieżki dostępu) CureIt wykrył infekcje.

 

 

 

.

[pjasio253]

Przepraszam za falstart, to wyniknęło "z ferworu walki" z maszyną.

Sytuacja zmieniła się dynamicznie - udało się przywrócić system do stanu, kiedy pulpit pojawia się po 10 minutach, czyli jest postęp

Poniżej logi wygenerowane po uruchomieniu tych programów na systemie, który załadował kompletny, działający pulpit.

Nie wiem dlaczego, ale OTL nie wygenerował mi pliku Extras, z resztą logów powinno byc ok.

Odkryłem jedną, ciekawą rzecz. W oczekiwaniu na ukazanie się ikon na pulpicie, po kliknięciu ALT+CTRL+DEL, uruchomieniu Menadżera zadań i wyborze Uruchom zadanie klikam "Przeglądaj" i wtedy system jakby dostawał kopa i widzę jak pod spodem pojawiają się ikony na Pulpicie i ładują się aplikacje do Traya. Jaki z tego może płynąć wniosek?

 

Log CureIt:

 

 

 

=============================================================================

Dr.Web Scanner SE for Windows v8.2.0.07100

(c) Doctor Web, Ltd., 1992-2013

Scan session started 2013/08/29 07:49:04

Module location : c:\documents and settings\ddd\ustawienia lokalne\temp\8FC69520-E483384C-B7B2C1D4-9C191998\

=============================================================================

 

 

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\audacity-win-2.0.2_Downloader.exe:Zone.Identifier - Ok

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\Audacity(11826).exe - is adware program Adware.InstallCore.122

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\Audacity(11826).exe - infected

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\audacity-win-2.0.3.exe:Zone.Identifier - Ok

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\audacity-win-2.0.2_Downloader.exe - is adware program Adware.InstallCore.122

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\audacity-win-2.0.2_Downloader.exe - infected

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup(1).exe - is adware program Adware.InstallCore.99

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup(1).exe - is adware program Adware.InstallCore.85

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup(1).exe - infected

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup.exe - is adware program Adware.InstallCore.56

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup.exe - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\afA0mQGr.exe.part - is adware program Adware.InstallCore.122

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\afA0mQGr.exe.part - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_audacity-win-2.0.2_Downloader.exe - is adware program Adware.InstallCore.122

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_audacity-win-2.0.2_Downloader.exe - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_DownloadManagerSetup.exe - is adware program Adware.InstallCore.56

>>>>C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ggdrive-overlay.exe\聜ggdrive-overlay-admin.exe is NSIS container

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_DownloadManagerSetup.exe - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\navtra.exe - infected with Trojan.Siggen4.41367

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\navtra.exe - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\nowegg.upgr.exe\聜iplapreinstaller.exe - infected with Trojan.Inject.62001

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\nowegg.upgr.exe\聜iplapreinstaller.exe - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\430EE90F-BAB0-7891-AE74-AC92403A5A7F\Latest\MyBabylonTB.exe\BabylonToolbar4ie.exe\BabylonToolbarEng.dll - infected with Trojan.BhoSiggen.6713

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\430EE90F-BAB0-7891-AE74-AC92403A5A7F\Latest\MyBabylonTB.exe - infected container

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\WINDOWS\wh.exe - infected with Trojan.Siggen5.3344

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\WINDOWS\wh.exe - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is1890775716\uninstaller.exe - is adware program Adware.InstallCore.90

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is1890775716\uninstaller.exe - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is357113909\GiantSavings_PL.exe - is adware program Adware.GamePlayLabs.31

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is357113909\GiantSavings_PL.exe - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\Setup-D502DD2B71B5.exe - is adware program Adware.Plugin.11

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\Setup-D502DD2B71B5.exe - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\cor_ar_201374152420_qvo6.exe - infected with Trojan.Click2.58759

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\cor_ar_201374152420_qvo6.exe - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19193156\locale\EN.locale - is adware program Adware.InstallCore.93

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19193156\locale\EN.locale - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19339765\locale\EN.locale - is adware program Adware.InstallCore.93

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19339765\locale\EN.locale - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish36234578\locale\EN.locale - is adware program Adware.InstallCore.93

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish36234578\locale\EN.locale - infected

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish3629187\locale\EN.locale - is adware program Adware.InstallCore.93

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish3629187\locale\EN.locale - infected

 

-----------------------------------------------------------------------------

Start curing

-----------------------------------------------------------------------------

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\Audacity(11826).exe - quarantined

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\audacity-win-2.0.2_Downloader.exe - quarantined

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup(1).exe - quarantined

C:\Documents and Settings\ddd\Moje dokumenty\Pobieranie\DownloadManagerSetup.exe - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\afA0mQGr.exe.part - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_audacity-win-2.0.2_Downloader.exe - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ICReinstall_DownloadManagerSetup.exe - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\navtra.exe - deleted

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\nowegg.upgr.exe - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\430EE90F-BAB0-7891-AE74-AC92403A5A7F\Latest\MyBabylonTB.exe - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\WINDOWS\wh.exe - incurable, quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is1890775716\uninstaller.exe - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is357113909\GiantSavings_PL.exe - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\Setup-D502DD2B71B5.exe - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\is420858837\cor_ar_201374152420_qvo6.exe - deleted

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19193156\locale\EN.locale - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish19339765\locale\EN.locale - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish36234578\locale\EN.locale - quarantined

C:\Documents and Settings\ddd\Ustawienia lokalne\Temp\ish3629187\locale\EN.locale - quarantined

 

Total 3671150574 bytes in 10950 files scanned (31262 objects)

Total 10911 files (31217 objects) are clean

Total 19 files (20 objects) are infected

Total 19 files (20 objects) are neutralized

Total 23 files are raised error condition

Scan time is 00:19:30.547

 

 

Addition.txt

FRST.txt

gmer.txt

OTL.Txt

[picasso]

Temat przenoszę do działu Windows. To nie jest sprawa infekcji, a wykrycia Dr. Web nie mają znaczenia (w katalogu Pobieranie po prostu instalatory adware, w tym "Asystent pobierania" dobrychprogramów, oraz wyniki z Temp z prób instalacji tych adware). Log z CureIt podałeś za duży, ze wszystkim jak leci, wycięłam z niego tylko fragmenty z detekcją. Komentarze do raportów:

 

1. Mała kosmetyka w spoilerze.

 

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k [x]
HKCU\...\Run: [ALLUpdate] - "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" [x]
HKCU\...\Run: [C:\DOCUME~1\ddd\USTAWI~1\Temp\Katalog tymczasowy 1 dla NetMeter.113_[www.programosy.pl].zip\NetMeter.exe] - C:\DOCUME~1\ddd\USTAWI~1\Temp\Katalog tymczasowy 1 dla NetMeter.113_[www.programosy.pl].zip\NetMeter.exe [917504 2007-09-08] () 
SearchScopes: HKCU - Backup.Old.DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b}
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd
S2 WsysSvc; C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe [x]
S4 sptd; System32\Drivers\sptd.sys [x]
C:\WINDOWS\explorer.ex_
C:\WINDOWS\471D8B37C5B344579FA1B3C693334F4F.TMP
C:\Documents and Settings\ddd\Dane aplikacji\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I
C:\Program Files\Enigma Software Group
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

2. Uruchom TFC - Temp Cleaner.

 

 

 

 

2. Po kosmetyce i rozwiązaniu problemu podstawowego obowiązkowa pełna aktualizacja Windows (KLIK), bo stan zabezpieczeń tragiczny:

 

Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polish

Internet Explorer Version 6

 

Jakieś dwa tygodnie temu po ok.10 minutach pokazywały się w końcu ikony na pulpicie, teraz po 3 godzinach oczekiwania nie ma już nic.

W trybie awaryjnym wszystko uruchamia się ok.

(...)

W oczekiwaniu na ukazanie się ikon na pulpicie, po kliknięciu ALT+CTRL+DEL, uruchomieniu Menadżera zadań i wyborze Uruchom zadanie klikam "Przeglądaj" i wtedy system jakby dostawał kopa i widzę jak pod spodem pojawiają się ikony na Pulpicie i ładują się aplikacje do Traya. Jaki z tego może płynąć wniosek?

Pierwszy podejrzany to COMODO Internet Security. Przykład tematu z podobnymi efektami: KLIK.

 

 

Nie wiem dlaczego, ale OTL nie wygenerował mi pliku Extras, z resztą logów powinno byc ok.

Wróć do konfiguracji OTL, jest tam opisane w różowym bloku dlaczego tak jest. Log nie jest mi już potrzebny.

 

 

.

[pjasio253]

Istotą całego problemu okazał się Comodo.

Bardzo dziękuję picasso za cenne wskazówki i pomoc, duży szacunek dla Ciebie.

Teamt do zamknięcia.