[win] Problemy z ctrl+alt+del i msconfig

Cześć,
z serii dziwacznych problemów: komp nie reaguje na polecenie ctrl + alt +del, ani na próby uruchomienia msconfig. Ściślej - reaguje - okienka pojawiają się dosłownie na ułamek sekundy i znikają, tak że nie mogę z nich korzystać.
Sądzę, że to jakiś trojan, ale skany za pomocą CWShreddera, Spybot - s&d, Spyware Blaster niczego nie wykryły.

ykoops //zmieniłem tytuł postu

Użytkownik ykoops edytował ten post 27 09 2006 - 15:32

To są pozostałości po jakimś trojanie, masz zmodyfikowane wpisy w rejestrze

Task Manger odzyskasz w następujący sposób:

wklej do notatnika zawartość pola poniżej

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
"**del.DisableTaskMgr"=" "

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableTaskMgr"=dword:00000000

zapisz plik nie jako txt tylko .reg (zapisz jako -> wszystkie typy *.* -> "nazwa.reg"
Po dwukrotnym kliknięciu potwierdź chęć dodania wpisów do rejestru.

Jeśli nie działa edytor rejestru analogicznie do sposobu z TaskManagerem :

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableRegistryTools"=–
"DisableRegedit"=–

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableRegistryTools"=–
"DisableRegedit"=–

Resztę jeśli się da (XP PRO) można załatwić przez wyłączenie blokad w gpedit:

gpedit.msc ----> Konfiguracja użytkownika ---> Szablony administracyjne --------> Panel sterowania

Ok, zrobiłem to, o czym mówiłeś, powprowadzałem te dwa strumyczki do rejestru, ale zupełnie nic to nie dało. Do tego okienko "Czy na pewno wprowadzić wpis taki i taki do rejestru" mignęło akurat na jedną sekundę (podobnie dzieje się z msconfig i ctrl+a;t+delete) wystarczającą na kliknięcie OK. Potem, znów na sekundę, wyskoczyło okienko, że wpis został poprawnie wprowadzony do rejestru, zdążyłem rzucić okiem. Nie ma efektu.
Co do blokad w gpedit: dotarłem do tego, ale wszystkie dostępne tam opcje są nieskonfigurowane, żadne z blokad nie są włączone, czy wyłączone, więc nie do końca wiem, co mógłbym tak pomieszać.
Próbuję wykonać pełen skan z pomocą Ad-Aware, ale zawiesza się w pewnym momencie, a czekam godzinę żeby ruszył. Za pomocą szybkiego skana, który przeszedł normalnie i sprawnie usunąłem wiele cholerstw, których same nazwy mówiły o tym, że są to trojany.

JAkiego masz antywira? To on w pierwszej kolejności powinien zająć się wszystkimi wirusami i trojanami, AdAware i SpyBot są od reklamowych śmieci i szpiegów. Jeśli nie masz żadnego antywira zainstaluj jakąś darmówkę, polecam AntiVir Personal Classic (ang.) prosto z tego linka <------ lub inny darmowy... Prawdopodobnie robale są nadal aktywne i obecnie poprawianie wpisów rejestru nic nie daje, ponieważ śmieci odnawiają je po restarcie.

Podany przez Ciebie antywirus wykrył u mnie, po wszystkich skanach, 262 wirusy i inne śmieci! Mam Pandę Titanium Antivirus, ale zupełnie nic nie pokazywała. Odinstałowałem ją, bo pewnie też była zawirusowana. Nadal jednak nie mogę zadziałać ctrlalt+del, ani msconfigiem

Zrób skan HijackThis i wstaw, być może przy tej ilości śmieci jeszcze coś mocno zakamuflowanego siedzi w procesach.

edit-------
zajrzałem do posta o problemach z siecią, jeśli HijackThis nie odpala dalej, sprawdź czy ruszy w trybie awaryjnym.

Jak mówiłeś zrobiłem, oto log:

Logfile of HijackThis v1.99.1
Scan saved at 21:57:21, on 2006-09-27
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Documents and Settings\Właściciel\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{A045DC85-FC44-45be-8A50-E4F9C62C9A84} - (no file)
R3 - URLSearchHook: (no name) - _{0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - D:\Program Files\ToolBar888\MyToolBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - D:\Program Files\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [win msdt service] mswindtc.exe
O4 - HKLM\..\Run: [WOOWATCH] D:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] D:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [JTFD] C:\echoe32.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] wuamgrd.exe
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHEALTH\HELPCTR\Binaries\msconfig.exe /auto
O4 - HKLM\..\RunServices: [win msdt service] mswindtc.exe
O4 - HKLM\..\RunServices: [JTFD] C:\echoe32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wuamgrd.exe
O4 - HKCU\..\Run: [win msdt service] mswindtc.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] wuamgrd.exe
O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe
O4 - Global Startup: HotKey Driver.lnk = D:\Program Files\HotKey\HotKey.exe
O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: ZoneAlarm.lnk.disabled
O8 - Extra context menu item: &Google Search - res://d:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://d:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://d:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://d:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://d:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://d:\program files\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - D:\WINDOWS\system32\ZONELABS\vsmon.exe (file missing)

O4 - HKLM\..\RunServices: [win msdt service]mswindtc.exe
O4 - HKLM\..\RunServices: [JTFD] C:\echoe32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wuamgrd.exe
O4 - HKCU\..\Run: [win msdt service] mswindtc.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] wuamgrd.exe
O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe

A oto powód. Usuń to i spróbuj teraz włączyć msconfiga albo ctrl+shift+esc

w hijaku po skanowaniu zaznacz:

O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - D:\Program Files\ToolBar888\MyToolBar.dll dodatkowy pasek przeglądarki - śmieć
O4 - HKLM\..\Run: [win msdt service] mswindtc.exe ROBAL
O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe TENA SAM ROBAL
O4 - HKCU\..\Run: [Microsoft Update Machine] wuamgrd.exe NASTĘPNY
O4 - HKLM\..\Run: [JTFD] C:\echoe32.exe
O4 - HKLM\..\RunServices: [JTFD] C:\echoe32.exe nie znalazłem tego w sieci, podejrzane
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wuamgrd.exe
O4 - HKCU\..\Run: [win msdt service] mswindtc.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] wuamgrd.exe
O4 - HKCU\..\RunServices: [win msdt service] mswindtc.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone ślad po śmieciu CWS
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - D:\WINDOWS\system32\ZONELABS\vsmon.exe (file missing) pozostałości po ZoneAlarm, jeśli go deinstalowałeś...

Po zaznaczeniu daj "fix". Nie wychodząc z trybu awaryjnego uruchom skanowanie antywirem, Adawarem i SpyBotem, usuń wszystko co jeszcze znajdą. Po restarcie w normalnym trybie jeszcze raz dodaj te wpisy rejestru... powinno teraz zadziałać (IHS )

No, w końcu Jezus po naszej stronie stanął Mam ctr,alt+del i msconfig, net chodzi normalnie i w ogóle jest jakoś tak szybciej, świeżo i czysto Dzięki Scorpion, jesteś bogiem, dzięki też mgxowi! Bez was w życiu bym sobie z tym nie dał rady, korzę się.

Nie udało się usunąć tylko tego, ale nie wydaje się mieć wpływu: O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - D:\WINDOWS\system32\ZONELABS\vsmon.exe (file missing)

Nie udało się usunąć tylko tego, ale nie wydaje się mieć wpływu: O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - D:\WINDOWS\system32\ZONELABS\vsmon.exe (file missing)

To tylko informacja o tym, że brakuje jakiegoś pliku będącego składnikiem zapory ogniowej ZoneAlarm. Teraz na wszelki wypadek zainstaluj jakiegoś firewalla, może być właśnie ZoneAlarm, polecam też innego darmowego - Sygate Personal FireWall (ang.) do ściągnięcia tu ---> link <-------. Na początku trochę namolny z komunikatami (jak każdy FW) ale po skonfigurowaniu śmiga i nie obciąża mocno systemu. Będąc użytkownikiem neo jesteś skazany na 3 rzeczy: firewall, antywirus i... zdrowy rozsądek

edit-------
Przed chwilą dostałem maila od Aviry (AtiVir Personal), chwalą się testem skuteczności ( jak do wszystkich testów antywirusów podchodzę i do tego z dużą rezerwą, ale...):