taivoolen - 8.9.2009 00:32
ei tea nüüd ise ka mis arvutiga juhtus igatahes kogu aeg peksab viirusetõrje hoiatusi uutest viirustest....pooled programmid ei tööta ja vahel saan arvutisse vaid safe mode kaudu....kui tavalist teed pidi minna siis tuleb vaid desktopile pilt ette ilma ühegi ikoonita ja ka ilma start ribata all nurgas...mõtlesin,et teen system restore aga sinna ka ei saa enam sisse....asi lihtsalt ei lähe enam tööle....võiks ju xp uuesti peale panna aga ei taha ilma jääda igasugustest dokumentidest ja programmidest mis ajapikku on kogunenud....paluks targema inimese abi
Lisa fail: hijackthis.log (8kB)
Seda faili on alla laaditud 576 korda
admiral - 8.9.2009 06:40
Sellised kahtlased lood siis:
C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [6863] C:\WINDOWS\system32\F.tmp.exe
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\Taivo\reader_s.exe
O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe (User 'Default user')
Kas see ip on tuttav ja seotud mingi teenusega?
O17 - HKLM\System\CCS\Services\Tcpip\..\{819DDABA-DE5F-4806-8652-6AA4599FBCCB}: NameServer = 81.21.240.1,81.21.255.1
Borderliner - 8.9.2009 08:20
OT: nood viimased peaks olema Televõrgu DNS sevud. Ehk siis OK, ehkki kas neid Kõu kasutamiseks ka reaalselt registris vaja on on teine teema.
Estonianadmiralil jäid nood märkimata:
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKUS\S-1-5-18\..\Run: [Administrator] C:\Documents and Settings\Administrator\Administrator.exe /i (User 'SYSTEM')
Too 1. ei ole õige RegEdit, õige asub Winni enda kaustas mitte SYSTEM32s, ka ei ole mitte ühtegi põhjust miks peaks üritatama masina käivitudes automaatselt tööle minna.
Kui vähegi võimalik võiks safe modeŽis MBAMiga masinast üle käia, too peaks põhjalikuma töö tegema kui HJT.
[Muudetud: 8.9.2009 Borderliner]
taivoolen - 8.9.2009 09:08
eks ma siis proovin veel selle MBAM asjaga ka veel üle lasta aga millest ma siis alustama peaksin,et neid vigu siin korrastada...tegin ka sellises kohas ühe testi
http://www.hijackthis.de/#anl
Borderliner - 8.9.2009 09:16
Alusta sellest et käid MBAMiga masinast üle. Kui see ei õnnestu ja/või peale MBAMi kontrolli+alglaadimist need read jätkuvalt alles on siis proovi HJTga eemaldada (linnuke ette ja "Fix" nuppu klõpsida).
Hijackthis.de ei paranda vaid teeb sedasama mis meie siin - otsib välja võimalikud vead HJT logst (vahe on selles, et nende andmebaas on suurem kuid logi enda kontroll on masinapoolt tehtud, seega ei pruugi ta sama täpne/kogenud olla kui inimene).
taivoolen - 8.9.2009 09:40
aga suured tänud sulle Borderliner....teen selle uue logi ära ja riputan siia üles ja annan teada kuidas asi toimib
[Muudetud: 8.9.2009 taivoolen]