CentrumXP Forum Tematyka portalu CentrumXP.pl Windows XP Samoczynne otwieranie się folderu "Moje dokumenty"

Samoczynne otwieranie się folderu "Moje dokumenty"

Folder "Moje dokumenty" sam się otwiera i to podwójnie–dwa takie same okna, po starcie systemu.
Sprawdzałem najnowszą bazą Nortona, programami typu ad–aware, kuknąłem do procesów uruchomionyc i nic!
A oto log z HiJackThis:
––––––––––––––––––––––––––––––––––
Logfile of HijackThis v1.99.0
Scan saved at 11:47:26, on 2005–02–21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesNorton SystemWorksNorton AntiVirus avapsvc.exe
C:WINDOWSsystem32 vsvc32.exe
C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
C:PROGRA~1OSITIS~1WINPRO~1WPService.exe
C:PROGRA~1OSITIS~1WINPRO~1WinProxy.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32 tvdm.exe
C:WINDOWSsystem32RUNDLL32.EXE
C:Program FilesAnalog DevicesSoundMAXSMTray.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesWinampwinampa.exe
C:Program FilesThe Cleaner ca.exe
C:Program FilesCommon FilesRealUpdate_OB ealsched.exe
C:Program FilesInternet Exploreriexplore.exe
C:PROGRA~1NORTON~1NORTON~1 avapw32.exe
C:Program FilesGadu–Gadugg.exe
c:progra~1intern~1iexplore.exe
C:Program FilesRealtekRtl8180RtlWake.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesFlashGetflashget.exe
C:Documents and SettingsSTARTPulpithijackthisHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R1 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = ftp=192.168.0.1:8080;http=192.168.0.1:8080;https=192.168.0.1:8080
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F2 – REG:system.ini: Shell=explorer.exe
F3 – REG:win.ini: load=c:progra~1watch.exe
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: (no name) – {8C292414–6C89–D4F1–76BF–64023C3BCC4F} – C:DOCUME~1STARTDANEAP~1AceHopehold setup.exe
O2 – BHO: IeCatch2 Class – {A5366673–E8CA–11D3–9CD9–0090271D075B} – C:PROGRA~1FlashGetjccatch.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O2 – BHO: ZToolbar Activator Class – {FFF5092F–7172–4018–827B–FA5868FB0478} – C:Program Files3aLabiRadioazesearch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:PROGRA~1FlashGetfgiebar.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton SystemWorksNorton AntiVirusNavShExt.dll
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSsystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [NvMediaCenter] RUNDLL32.EXE C:WINDOWSsystem32NvMcTray.dll,NvTaskbarInit
O4 – HKLM..Run: [Smapp] C:Program FilesAnalog DevicesSoundMAXSMTray.exe
O4 – HKLM..Run: [NeroFilterCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" –atboottime
O4 – HKLM..Run: [WinampAgent] C:Program FilesWinampwinampa.exe
O4 – HKLM..Run: [tcactive] C:Program FilesThe Cleaner ca.exe
O4 – HKLM..Run: [tcmonitor] C:Program FilesThe Cleaner cm.exe
O4 – HKLM..Run: [TkBellExe] "C:Program FilesCommon FilesRealUpdate_OB ealsched.exe" –osboot
O4 – HKLM..Run: [Audio media rule mpeg] C:Documents and SettingsAll UsersDane aplikacjiBONELESSAUDIOMEDIABinsize.exe
O4 – HKLM..Run: [ ] C:WINDOWSsystem32userinit.exe
O4 – HKLM..Run: [NAV Agent] C:PROGRA~1NORTON~1NORTON~1 avapw32.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [Eraser Scheduler] C:Program FilesEast–Tec Eraser 2005scheduler.exe /SYSTRAY
O4 – HKCU..Run: [NBJ] "C:Program FilesAheadNero BackItUpNBJ.exe"
O4 – HKCU..Run: [Chic Save] C:DOCUME~1STARTDANEAP~1STOREB~1urn copy style.exe
O4 – Global Startup: RtlWake.lnk = ?
O8 – Extra context menu item: Ściągnij przy pomocy FlashGet'a – C:Program FilesFlashGetjc_link.htm
O8 – Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a – C:Program FilesFlashGetjc_all.htm
O9 – Extra button: FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:PROGRA~1FlashGetflashget.exe
O9 – Extra 'Tools' menuitem: &FlashGet – {D6E814A0–E0C5–11d4–8D29–0050BA6940E3} – C:PROGRA~1FlashGetflashget.exe
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O17 – HKLMSystemCCSServicesTcpip..{3B04EC18–75EB–48F5–A3A5–4DBF2D3649A1}: NameServer = 10.10.0.1
O17 – HKLMSystemCCSServicesTcpip..{F2151B3D–4C96–4ADC–9A0F–CEFC39FEECC3}: NameServer = 194.204.159.1,194.204.152.34
O17 – HKLMSystemCS1ServicesTcpip..{3B04EC18–75EB–48F5–A3A5–4DBF2D3649A1}: NameServer = 10.10.0.1
O23 – Service: Norton AntiVirus Auto Protect Service – Symantec Corporation – C:Program FilesNorton SystemWorksNorton AntiVirus avapsvc.exe
O23 – Service: NVIDIA Display Driver Service – NVIDIA Corporation – C:WINDOWSsystem32 vsvc32.exe
O23 – Service: ScriptBlocking Service – Symantec Corporation – C:Program FilesCommon FilesSymantec SharedScript BlockingSBServ.exe
O23 – Service: SoundMAX Agent Service – Analog Devices, Inc. – C:Program FilesAnalog DevicesSoundMAXSMAgent.exe
O23 – Service: WinProxy – Unknown – C:PROGRA~1OSITIS~1WINPRO~1WPService.exe

–––––––––––––––––––––––––––––––––––––––––––––
PS:wiem źe niedawno był podobny wątek ale nic mi nie pomogło

Odpowiedzi: 12

Uzyj szukajki bo temat pojawil sie ostatnio.
Padło pare rozwiazan, a noz moze sie uda
Bobi
Dodano
10.04.2005 23:00:06
i cóź, czyźby temat nie znalazł rozwiązania.
A juz myslałem, źe jestem na tropie – drąźę to od paru dni i nie mam źadnych efektów.
krysno
Dodano
10.04.2005 22:55:42
jedenj rzeczy nie uwzględniłem i nie podałem do myślenia: folder MOje dokumenty, jest udostepniony w sieci lokalnej i w sieci bezprzewodowej – moze tu tkwi diabeł? co?
gregx
Dodano
22.02.2005 15:53:02
Bobi_robert:



marek321 – normalna lokalizacja tego pliku to system32. Poza tym mozna zauwazyc ze kolega ma grafike NVidii z całym "osprzetem" wiec ten wpis jest normalny


racja pospiech z mojej strony i nie doczytanie do konca :roll: ............. :wink:
marek321
Dodano
21.02.2005 20:56:04
gregx:
Kod:
F2 – REG:system.ini: Shell=explorer.exe
O4 – HKLM..Run: [ ] C:WINDOWSsystem32userinit.exe JESTES PEWNY–TO MAM USUNAĆ?

W zasadzie tak, ale w razie czego masz przeciez backup

gregx:
Znasz to: O4 – HKLM..Run: [Audio media rule mpeg] C:Documents and SettingsAll UsersDane aplikacjiBONELESSAUDIOMEDIABinsize.exe – I TU PROBLEM NIE MAM POJECIA CO TO JEST ALE DZIALA W PROCESACH, w pliku jest z piec aplikacji:
binsize.exe –347kb
five skip.exe –296kb
multi bone.exe –356kb
send exit.exe –356kb
setup time.exe –296kb
istnieją od 27grudnia, mnie sie to dzieje dopiero od paru dni

To cos mi podsmierduje

Sprawdzałes czy przez przypdek nie wrzuciłes skrotow moich dokumenetow do jakiegos katalogu autostartu jak sugerował Marek ??

marek321 – normalna lokalizacja tego pliku to system32. Poza tym mozna zauwazyc ze kolega ma grafike NVidii z całym "osprzetem" wiec ten wpis jest normalny
Bobi
Dodano
21.02.2005 17:26:52
Kod:
F2 – REG:system.ini: Shell=explorer.exe
O4 – HKLM..Run: [ ] C:WINDOWSsystem32userinit.exe JESTES PEWNY–TO MAM USUNAĆ?


Proxy Twoje ?? TAK MOJE

Znasz to: O4 – HKLM..Run: [Audio media rule mpeg] C:Documents and SettingsAll UsersDane aplikacjiBONELESSAUDIOMEDIABinsize.exe – I TU PROBLEM NIE MAM POJECIA CO TO JEST ALE DZIALA W PROCESACH, w pliku jest z piec aplikacji:
binsize.exe –347kb
five skip.exe –296kb
multi bone.exe –356kb
send exit.exe –356kb
setup time.exe –296kb
istnieją od 27grudnia, mnie sie to dzieje dopiero od paru dni
gregx
Dodano
21.02.2005 16:40:59
Bobi_robert:
marek321:
jeszcze to

O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – Global Startup: RtlWake.lnk = ?

Pierwszy jest od NVIDII a drugi od programu sieciowki bezprzewodowej wiec po kiego


no to pomylka :oops:
to mnie zmylilo
nio ale kiedys trzeba sie nauczyc dziadostwo odrozniac :wink:

Backdoor.Agobot.iq
Robak internetowy typu backdoor. Rozprzestrzenia się wykorzystując typowe luki w zabezpieczeniach systemów Windows poprzez porty TCP nr 135, 80 oraz 445. Po uruchomieniu kopiuje do folderu systemowego plik o nazwie nwiz.exe.
marek321
Dodano
21.02.2005 16:33:08
marek321:
jeszcze to

O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – Global Startup: RtlWake.lnk = ?

Pierwszy jest od NVIDII a drugi od programu sieciowki bezprzewodowej wiec po kiego

@macromatic: Co co Flashgeta chcesz wywalać ??

@gregx: FIX:
F2 – REG:system.ini: Shell=explorer.exe
O4 – HKLM..Run: [ ] C:WINDOWSsystem32userinit.exe

Proxy Twoje ??

Znasz to: O4 – HKLM..Run: [Audio media rule mpeg] C:Documents and SettingsAll UsersDane aplikacjiBONELESSAUDIOMEDIABinsize.exe
Bobi
Dodano
21.02.2005 16:21:53
Autostart pusty, rtl byl zawsze–to od karty sieciowej, topik dalej aktualny gdyz dalej sie to dzieje
gregx
Dodano
21.02.2005 16:15:30
jeszcze to

O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – Global Startup: RtlWake.lnk = ?
marek321
Dodano
21.02.2005 15:15:03
moze to nie ma za wiele wspolnego z tematem ale ja bym wypieprzyl

O2 – BHO: ZToolbar Activator Class – {FFF5092F–7172–4018–827B–FA5868FB0478} – C:Program Files3aLabiRadioazesearch.dll
O3 – Toolbar: FlashGet Bar – {E0E899AB–F487–11D5–8D29–0050BA6940E3} – C:PROGRA~1FlashGetfgiebar.dll
macromatic
Dodano
21.02.2005 15:05:28
skrutow w autostarcie nie masz przypadkiem do tego folderu :?:
marek321
Dodano
21.02.2005 15:02:06
gregx
Dodano:
21.02.2005 12:48:29
Komentarzy:
12
Strona 1 / 1