Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Włączony emule zainfekował

problemowiec

Przez problemowiec
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
problemowiec

problemowiec

Opublikowano
  • Autor
Opublikowano

ale zauważyłem coś dziwnego. Przecież 3 konta są kontami administracyjnymi. w koncie "administrator" jest folder "Tomek-dokumenty". Tego foldera nie ma u użytkownika "tomek"... żebym nie skasował tego co nie trzeba konta...

 

Już znalazłem. W użytkowniku "tomek" jest to w folderze "moje dokumenty" po prostu inna nazwa folderu

 

Ten plik co nie chce się usunąć jest od Kasperskyego. LockHunter pokazuje, że nic go nie blokuje a usunąć się nadal nie chce. usunąć kasperskyego skaer z pozycji użytkownika Tomek?

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)
Przecież 3 konta są kontami administracyjnymi. w koncie "administrator" jest folder "Tomek-dokumenty". Tego foldera nie ma u użytkownika "tomek"... żebym nie skasował tego co nie trzeba konta...

 

Są kontami administracyjnymi, ale każde ma niezależny swój folder. Konta Tomek i Tymczasowe w ogóle nie korzystają z folderu C:\Documents and settings\Administrator. I popatrz na sid.vbs:

 

Nazwa użytkownika  	 : Administrator
SID      	         : S-1-5-21-725345543-1644491937-682003330-500
Katalog profilu    	 : C:\Documents and Settings\Administrator
 
Nazwa użytkownika  	 : Tomek
SID      	         : S-1-5-21-725345543-1644491937-682003330-1008
Katalog profilu    	 : C:\Documents and Settings\Tomek

 

Zawartość konta Administrator była kopiowana do konta Tomek. Konto Tomek powinno mieć wszystkie pliki personalne z Administratora, co potwierdzałeś mówiąc, że wszystko OK. W folderze Tomek powinien być folder o nazwie Moje dokumenty, który w Mój komputer wyświetla się jako wirtualny folder Dokumenty Tomka. Na wszelki wypadek sprawdź co masz w tym folderze Moje dokumenty.

 

 

EDIT Pisałam nie widząc edycji. No właśnie:

 

Już znalazłem. W użytkowniku "tomek" jest to w folderze "moje dokumenty" po prostu inna nazwa folderu

 

Ten plik co nie chce się usunąć jest od Kasperskyego. LockHunter pokazuje, że nic go nie blokuje a usunąć się nadal nie chce. usunąć kasperskyego skaer z pozycji użytkownika Tomek?

 

Wstępnie spróbuj: odinstaluj skaner Kasperskiego. Proces deinstalacji powinien przynajmniej częściowo zdjąć blokowanie obiektów od tego skanera.

 

 

.

Edytowane przez picasso
Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

W takim razie ręcznie zdejmiesz sterowniki Kasperskiego. Uruchom Autoruns i usuń następujące obiekty:

 

Karta Drivers:

 

DRV - [2009-10-22 13:54:18 | 000,037,392 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\58977382.sys -- (58977382)
DRV - [2009-10-09 23:31:10 | 000,315,408 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\5897738.sys -- (setup_9.0.0.722_24.07.2010_03-35drv)
DRV - [2009-09-25 17:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\58977381.sys -- (58977381)

 

Karta Logon:

 

O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\setup_9.0.0.722_24.07.2010_03-35.lnk = C:\Documents and Settings\Administrator\Pulpit\Virus Removal Tool\setup_9.0.0.722_24.07.2010_03-35\startup.exe ()

 

(W tym wpisie jak widać jest ścieżka kierująca do starego Administratora, bo to wyciąg ze starego OTL. Tu powinna być ścieżka do Tomka, bo kopiowaliśmy zawartość konta.)

 

Po usunięciu wyżej wymienionych zresetuj komputer i spróbuj ponowić usuwanie folderu Administrator. Poza tym, możesz usunąć z Pulpitu pliki Kasperskiego oraz te pliki:

 

C:\WINDOWS\system32\drivers\5897738.sys

C:\WINDOWS\system32\drivers\58977381.sys

C:\WINDOWS\system32\drivers\58977382.sys

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Z systemu się tego nie dowiesz, choć jest alternatywny sposób wejścia przez msconfig, ale na razie tego nie proponuję, bo trzeba się dowiedzieć co u Ciebie działa. Na przyszłość, bo mogą być sytuacje, gdy Windows będzie niedostępny i z msconfig nie będziesz w stanie skorzystać. Co to za model sprzętu jest? Czy Ty uderzasz w te klawisze w odpowiednim momencie i nie jedno tupnięcie tylko sekwencyjne? Kolejne pytanie: wcześniej przy F8 pokazało się jakieś niesprecyzowane menu "wyboru systemu" = jak są opisane pozycje w tym menu?

Odnośnik do komentarza
problemowiec

problemowiec

Opublikowano
  • Autor
Opublikowano

wszystko ok. F8 tylko trzeba szybko szybko wciskać bo jest krótki moment kiedy ekran powitalny przechodzi do ładowania windows - wtedy tylko załapuje

najpierw wybieram tryb a później mam do wyboru system, wtedy pewnie szybko coś wcisnąłem i przeszło od razu do wyboru systemu

 

http://wklej.org/id/368851/

 

chciałem usunąć konto tymczasowe w taki sam sposób jak administratora. I dalej się wyświetla. Skasowałem klucz w rejestrze z końcówką 1009 folder przez shift+del i dałem reset.

Na ekranie logowania widzę je i sid.vbs też pokazuje je:

http://wklej.org/id/368862/

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

1. Mniemam, że konto Administrator pomyślnie się zalogowało, widzisz na nim "porządek", to w obszarze kont zostało tylko usunięcie konta o nazwie Tymczasowe:

 

chciałem usunąć konto tymczasowe w taki sam sposób jak administratora. I dalej się wyświetla. Skasowałem klucz w rejestrze z końcówką 1009 folder przez shift+del i dałem reset.

 

Ależ nie! Konto o nazwie Tymczasowe nie tak masz usuwać, bo to nie jest prawidłowy proces usuwania konta. Akcja, którą prowadziłam, nie służyła do likwidacji konta Administrator, tylko do jego "odświeżenia". To konto Tymczasowe masz usunąć z poziomu Panelu sterowania > Konta użytkowników. Po tej akcji konto się upłynni z ekranu logowania.

 

 

2. Przechodzimy do konwersji systemu plików:

 

Drive C: | 20,86 Gb Total Space | 10,66 Gb Free Space | 51,09% Space Free | Partition Type: FAT32
Drive D: | 64,08 Gb Total Space | 0,30 Gb Free Space | 0,46% Space Free | Partition Type: FAT32
Drive E: | 64,09 Gb Total Space | 0,16 Gb Free Space | 0,25% Space Free | Partition Type: NTFS

 

Start > Uruchom > cmd i wpisz komendę:

 

convert C: /fs:ntfs

 

Gdy ukończysz proces konwertowania dysku systemowego, skonwertuj na NTFS także dysk D poleceniem:

 

convert D: /fs:ntfs

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jest dobrze, nie ma się nad czym rozwodzić, a Kosz pod nazwą Recycled już tak pozostanie (na NTFS jest Recycler, ale tu NTFS osiągnięto metodą konwersji a nie na czysto). Przejdź do tego punktu:

 

wszystko zrobiłem jak trzeba, został mi jeszcze ten nieszczęsny NOD, ale jeszcze nie potrafię podjąć decyzji na jaki program go zamienić. On miał użyteczną funkcję skanowania pendrive'ów i zawsze wykrywał na nich infekcje...

 

Przecież większość antywirusów ma teraz opcję skanowania mediów przenośnych..... W proponowanej przeze mnie Avirze skaner ręczny oraz akcja domyślna strażnika (zablokowanie autoodtwarzania):

 

avirausb1.th.png avirausb2.th.png

 

Poza tym, zabezpieczanie przed infekcjami z przenośnych USB może być wykonywane w oparciu o inne równoległe metody nie kolidujące z AV, a narzędzia temu służące masz opisane tutaj: KLIK.

 

 

.

Odnośnik do komentarza
  • 2 tygodnie później...
  • 2 tygodnie później...
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Jeśli chcesz porządnej weryfikacji (bądź obcinania ilości pracujących w tle zbędnych procesów), jest spodziewany nowy zestaw obowiązkowych w dziale Malware logów. Nowy, gdyż ma oddawać bieżącą sytuację i wykazać ewentualne zmiany od ostatniego sprawdzania.

 

zauważyłem że dużo procesów svchost.exe jest włączonych. Poczytałem o tym i spójrzcie, coś doradźcie

 

To jest normalne zjawisko. Na każdym systemie XP startuje kilka procesów svchost.exe (5-7 to norma). One nie są takie same. Każdy z nich jest wywołany w inny sposób, ponieważ na nich są montowane różne usługi w grupach. Na prezentowanym tu obrazku widać to po prawej stronie, gdzie to masz listy z nazwami typu Dnscache etc. Te nazwy usług to nazwy wewnętrzne systemowe, dla odróżnienia od wyświetlanych widzialnych w Start > Uruchom > services.msc. Redukcja ilości procesów svchost.exe lub też obciążenia z nich pochodzącego następuje przez wyłączenie określonych usług, które są podpięte pod konkretny proces svchost.exe. A które usługi, to już do wertowania samodzielnego wypracowanie: Usługi w XP. Tak szybko oceniając Twoją listę usług opartych o svchost.exe, można wyłączyć: Rejestr zdalny (RemoteRegistry), Usługa odnajdowania SSDP (SSDPSRV), Klient sieci Web (WebClient), Logowanie pomocnicze (seclogon), Usługa raportowania błędów (ERSvc), Pomoc i obsługa techniczna (helpsvc).

 

 

.

Edytowane przez picasso
27.09.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...