Rozwiązany: Wciaż wyskakujący

[Private_Arti]

Witajcie.

Proszę o pomoc w takiej oto kwestii: na komputerze mojego brata, jest zainstalowany system Windows XP. Kilka dni temu pojawił się taki problem: Gdy tylko podczepi się pod USB pendrive'a - za chwilkę wyskakuje komunikat:

Można klikać na przyciski w nieskończoność a i tak co kilka sekund komunikat pojawia się znowu. Problem ustępuje dopiero wówczas, gdy do stacji dyskietek włoży się dyskietkę, ale gdy się ją wyjmie - zabawa zaczyna się od nowa. Przeglądałem info na temat tego problemu w necie i znalazłem kilka możliwości pozbycia się tego problemu, m.in.:

Format pendrive'a, skanowanie kompa CCCleanerem i innymi, usunięcie wszystkich punktów przywracania systemu z wyjątkiem najnowszego po czym wyłączenie go w ogóle na ok, minutę, i potem włączenie, przeskanowanie kompa antywirem, dokładne wyczyszczenie rejestru, usunięcie zbędnych programów - nic.

Wiem, że w zakładce informacyjnej o pliku BOOT.ini widnieje wpis odnoszący się do tego ale nie mogę go usunąć. Wiem też, że można spróbować użyć jakiegoś klucza rejestru i programu combofix, jednak wolałbym, aby napisał jak to należy zrobić ktoś na forum

Dzięki za pomoc.

[kapec94]

Czy pendrive miał ostatnio jakieś kontakty z podłożem, ścianą albo kilkuletnim dzieckiem (czyli krótko mówiąc: czy może być uszkodzony)? Jeśli tak to rozwiązuje sprawę - masz popsutego pendrive'a.

[buczek93]

A czy widać go w eksloatorze/ total commanderze/ czymkolwiek co pokazuje pliki i foldery ? Bo jak nie no to uszkodzony, pewno zaparował/zwarł się albo coś w ten deseń. Gdzie go trzymałeś ?

[Private_Arti]

Więc tak, penek jest na 100% sprawny. Z ciekawości zabrałem swoje dwa i podłączałem - tak samo za każdym razem. Jest jeszcze jedna dziwna sprawa: jak tylko podłączam penka to zaraz pojawia się okienko autoodtwarzania, po czym zaraz ten komunikat. Jak go nie zamknę to mogę normalnie przeglądać zawartość pendrive'a ale jak już zamknę jego okno i chcę wejść na niego ponownie - nic z tego. Pomaga jedynie prawy klik -> eksplorator. Nie wiem co to jest, wygląda jakby jakiś skaner działał w tle, bo co kilka sekund sprawdzana jest stacja dyskietek - u mnie na kompie np., takie coś avast robi jedynie przy logowaniu i wylogowywaniu z systemu. Gdybym miał taki przypadek na swoim kompie to podziałałbym głębiej - jakieś czyszczonko ręczne wpisów, odinstalowywanie stacji FDD, grzebanie w msconfigu, ale bratu zależy aby nie było awarii więc te możliwości odpadają. I co to może być?

[Sevard]

Jakim antywirusem skanowałeś kompa? Próbowałeś wkładać pendrive'a do różnych portów USB, czy cały czas do jednego?

Jeśli chodzi o naprawę ComboFix-em, to przydałby się log z ComboFix-a.

[Private_Arti]

Jakim antywirusem skanowałeś kompa? Próbowałeś wkładać pendrive'a do różnych portów USB, czy cały czas do jednego?

Jeśli chodzi o naprawę ComboFix-em, to przydałby się log z ComboFix-a.

Sknanowałem avastem z aktualnymi bazami i ad-aware - nic nie odnaleziono. Podczepiałem penka pod wszystkie możliwe porty - wszędzie to samo. Jedyny sposób na pozbycie się tego problemu to wyłączenie stacji dyskietek, na co wpadłem i poleciłem to bratu - dzięki temu problem z komunikatem ustąpił, ale stacja stała się niedostępna ;/ Ddatkowo komputer strasznie zwalnia: logowanie ok, i gdy uruchomi się więcej niż jeden program to zwis totalny. Czy to wirus czy uszkodzenie rejestru? Mam logo z Hjacka jak coś.

[kapec94]

No to nie wiem... Może masz coś z USB w komputerze?

[Sevard]

Bardziej przydatny byłby log z ComboFix-a, aczkolwiek z Hijack This też możesz zamieścić. Poza tym sprawdź kompa jakimś sensownym antywirusem (Avast! moim zdaniem do tej kategorii się nie zalicza), możesz spróbować np. darmowego skanere Dr.Web CureIt!.

[Private_Arti]

Porty USB w kompie są na pewno sprawne. Na wszelki wypadek przeinstalowaliśmy sterowniki ale nic to nie dało.

Avast jest w porządku, ale dla pewności przeskanowaliśmy też skanerami online - bez rezultatu.

Oto log z hijack this:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:21:38, on 2009-05-19

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\wscript.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\PC Tools Firewall Plus\FWService.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\4t Tray Minimizer\4t-min.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.a...&tbid=60282

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\AVG.vbs

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O3 - Toolbar: Copernic Desktop Search - Home Toolbar - {4A1C6093-14F9-44D7-860E-5D265CFCA9D9} - C:\Program Files\Copernic Desktop Search 2\Toolbar\ToolbarContainer101000048.dll

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: 4t Tray Minimizer.lnk = C:\Program Files\4t Tray Minimizer\4t-min.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: lmab_device - Unknown owner - C:\WINDOWS\system32\LMabcoms.exe

O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe


--

End of file - 3953 bytes

Jeszcze jedna dziwna sprawa. Otóż jak podczepię swojego pendrive'a do portu w kompie brata i potem z powrotem w swoim, to zawsze system proponuje mi naprawę mojej pamięci. I mimo, że nigdy nic nie znalazł to proponuje to.

Logi itp. podajemy w CODEBOX - GFR

[Sevard]

Z rzeczy szkodliwych jest tylko to:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe C:\WINDOWS\system32\AVG.vbs

Antywirus powinien to wykryć. Poza tym sprawdź, czy działają menedżer zadań, edytor rejestru oraz opcje folderów.

[Private_Arti]

Menadżer zadań, edytor i foldery - ok.

A jednak to wirus a antywiry nic nie zobaczyły ;/

Czy ręczne zlokalizowanie pliku i jego usunięcię będzie wystarczające czy też trzeba bawić się w scalanie pliku txt i programu combofix, jak to proponują w necie?

[DarkShadowMW]

Raczej to drugie, bo pewnie nawet próba usunięcia dziada ręcznie może spełznąć na niczym. Antywirus nie wykrył niczego, bo wirusy zwykle działają w tle podczas skanowania. Niektóre z antywirów nie skanują zajętych aplikacji, dlatego też ja zawsze polecam skan przy rozruchu kompa - zanim jeszcze odpali się Winda. Taką opcję ma min. Avast.

[LitrNaDwoch]

Polecam wyłączenie autoodtwarzania w windzie...

[Sevard]

Avast! ma taką funkcję i niewiele z niej wynika. Sporo wirusów skutecznie sobie z nim radzi, sprawiając, że jest zupełnie nieskuteczny. Kolejna rzecz, to to, że skanery on-line niestety są sporo gorsze od ich normalnych odpowiedników, więc za bardzo im nie należy wierzyć.

Co do usunięcia pliku, to masz do wyboru albo combofix, albo spróbować przeskanować system jakimś porządniejszym skanerem antywirusowym, np. trialem NOD32, Kaspersky'ego lub wspomnianym przeze mnie wcześniej skanerem Dr.Web, aczkolwiek antywirusy nie muszą wszystkiego naprawić i wtedy i tak będzie potrzebny Combofix lub ręczne grzebanie w rejestrze, czy też w innych plikach konfiguracyjnych.

Problemem jest też to, że sporo antywirusów nie skanuje punktów przywracania, z których wirusy mogą się odrodzić, tak więc przed wykonaniem skanu dobrze jest wyłączyć przywracanie systemu, a po całej operacji znów włączyć.

[Private_Arti]

Ok, więc sprawa wygląda tak:

Avast wykrył tego wira i przeniósł plik do kwarantanny. Jednak pojawił się nowy problem, przy każdym logowaniu wyskakuje nowe okno:

Dodatkowo zaraz po tym komunikacie otwiera się folder moje dokumenty. Gdy zamknę komunikat nic się nie dzieje.

Jeśli chodzi o FDD, to gdy z powrotem włączę stację - komunikat wyskakuje dalej.

Co radzicie: usunąć avastem plik całkowicie czy zamiast tego od razu pobawić się w combofixie?

[Sevard]

Ten ostatni ekran powinno dać się wyłączyć usuwając za pomocą Hijack This ten wpis, który Ci wcześniej wskazałem. Log z Combofix-a byłby wskazany.

[Private_Arti]

Stosując się do waszych rad, usunęliśmy ten komunikat HiJackiem i jak na razie wygląda, że wszystko gra jak należy. Dziękuję wszystkim zainteresowanym za pomoc - jak coś się nowego wydarzy (oby nie) to napiszę znowu.

[Gofer]

Problem rozwiązany, więc temat zamykam.

W razie potrzeby otwarcia tematu, proszę o kontakt przez PW.