Rejestr systemu - nie można otworzyć poleceniem regedit
zbyniuś - 19 Maj 2006 18:19
Witam
Mam problem z otwarciem rejestru poleceniem regedit .
Pokazuje się dziwny komunikat.Czyżby coś dziao się z winxp .
Fotka w załączniku.
paweliw - 19 Maj 2006 18:49
Prawdopodobnie C\Windows\System32\regedit.com to plik robactwa http://www.sophos.com/virusinfo/analyses/w32kipisj.html#table4
Właściwy plik znajduje się w C:\Windows\regedit.exe .
Wklej log z hiajckthis na forum.
Hijackthis ściągnij stąd http://www.spywarewarrior.com/uiuc/merijn/HijackThis.exe, po rozpakowaniu uruchom program i wykonaj: "Do a system scan and save a logfile". Log wklej w treść wiadomości, nie jako załącznik.
zbyniuś - 19 Maj 2006 20:12
Logfile of HijackThis v1.99.1
Scan saved at 19:05:11, on 2006-05-19
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Kalendarz XP\Kalendarz.exe
F:\programy\WinZip\WZQKPICK.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Nokia\Nokia PC Suite 6\ConnectionManager.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\deb\Pulpit\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Witaj Zbigniew
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [ScHost] svchosts32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Compaq Service Drivers] winsvc32.exe
O4 - HKCU\..\RunServices: [Compaq Service Drivers] winsvc32.exe
O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe
O8 - Extra context menu item: Konwertuj do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konwertuj miejsce docelowe łącza do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konwertuj miejsce docelowe łącza do istniejącego pliku PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Konwertuj wybrane łącza do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Konwertuj zaznaczenie do Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Konwertuj zaznaczenie do istniejącego pliku PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://www.mks.com.pl
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EF2DC7B6-8AA4-429B-9BFA-3C9B12202A16}: NameServer = 194.204.152.34,194.204.159.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O18 - Protocol: Festoon - (no CLSID) - (no file)
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: avpe32 - avpe32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: arcaserv - Unknown owner - C:\Program Files\ArcaVir\bin\arcaserv.exe (file missing)
O23 - Service: Critical System Service BootDrv (BootDrv) - Unknown owner - C:\WINDOWS\System32\BootDSvc.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Dodano po 1 [godziny]:
jeszcze taka ciekawostka:w win nie ma folderu system32 jest tylko system,regedit jest i mogę go otworzyć.Kiedyś miałem problemy z tą partycją była niewidoczna chyba na skutek przepięcia w sieci,po różnych kombinacjach powróciła,może jednak ucierpiała.Formatu nie robiłem od ponad roku była tylko
reinstalacja .
Kolobos - 19 Maj 2006 23:07
Masz folder system32 tylko masz wylaczone pokazywanie plikow ukrytych, a jako, ze nigdy nie zagladales do opcji folderow to nawet nie wiesz, ze masz taka opcje.
Zamknij porty w wwdc:
http://www.firewallleaktester.com/tools/wwdc.exe
Zainstaluj Opere lub FireFox'a i nie uzywaj wiecej IE.
W hjt usun:
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
O4 - HKLM\..\Run: [ScHost] svchosts32.exe <- plik usun z dysku.
O4 - HKCU\..\Run: [Compaq Service Drivers] winsvc32.exe <- plik usun z dysku.
O4 - HKCU\..\RunServices: [Compaq Service Drivers] winsvc32.exe
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 127.0.0.1
O18 - Protocol: Festoon - (no CLSID) - (no file)
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: avpe32 - avpe32.dll (file missing) <- Uzyj:
http://users.telenet.be/marcvn/tools/haxfix.exe
Uruchom haxfix, wybierz opcje 3, jako nazwe do usuniecia wpisz: avpe
Log z usuwania wklej na forum.
Uslugi do kasacji:
O23 - Service: arcaserv - Unknown owner - C:\Program Files\ArcaVir\bin\arcaserv.exe (file missing)
O23 - Service: Critical System Service BootDrv (BootDrv) - Unknown owner - C:\WINDOWS\System32\BootDSvc.exe (file missing)
Start->Uruchom-> i tam:
sc stop BootDrv
sc delete BootDrv
sc stop arcaserv
sc delete arcaserv
Zrob tez skan przy pomocy ewido:
http://download.ewido.net/ewido-setup.exe
zbyniuś - 20 Maj 2006 13:28
usunięcie 17 powoduje niedziałanie internetu(sieć radiowa).Folder system32 jest niewidoczny,pozostałe pliki ukryte widać.Na drugim dysku też winxp i tam jest ok.Martwią mnie te komunikaty o 16 bitowym dosie,pamiętam że z tą reinstalacją też były problemy i win był innej serii,wtedy miałem neostrade i napewno komp był zainfekowany.System na tej partycji uruchamia się troche za wolno ok3-4 min od momentu wybrania win do otwarcia profili . Haxfix nie chce działać,na win2 działa normalnie obrazek poniżej.
Kolobos - 20 Maj 2006 14:58
Wiec O17 nie kasuj.
Wylacz ukrywanie plikow chronionych.
Co do komunikatu:
http://komputery.katalogi.pl/temat35268/
zbyniuś - 22 Maj 2006 18:59
Podmieniłem pliki ,niby wszystko chodzi dobrze ale regedit dalej się nie otwiera,haxfix wyświetla komunikat,a teraz doszły przypadki nagłego restartu bez zadnego komunikatu(może zasilacz)teraz sprawdzam go na drugim dysku.Na razie dzięki za pomoc ,po tych zabiegach jest wyrażnie lepiej.
paweliw - 23 Maj 2006 00:19
... regedit dalej się nie otwiera ...
Czy komunikat jest ten sam co poprzednio ?
zbyniuś - 23 Maj 2006 19:32
Komunikatu nie ma jest puste okno ,ale teraz mam nowy problem kom się wyłącza ,najpierw coś pyknie obraz czarny, diody świecą obydwie,brak reakcji na przyciski resetu i wyłączania,wyjęcie wtyczki pomaga. Udało mi się zmierzyć napięcie na żółtym 9,0V zamiast 12.Czy w ciemno wymieniać zasilacz,cz może jakieś zwarcie ?
jasio110 - 23 Maj 2006 23:38
To może być wina rootkita. Sprawdź czy działa msconfig. Jeżeli nie uruchom w trybie awaryjnym i wyłącz w msconfig uruchamianie winsecure. powinno pomóc
paweliw - 23 Maj 2006 23:53
zbyniuś
Zmierz porządnie wszystkie napięcia na zasilaczu, opis masz tutaj http://www.elektroda.pl/rtvforum/-font-colorblue-jak-uruchomic-zasilacz-atx-na-sucho-nie-pytaj-po-raz-setny-font--ytt316154.html
jasio110
Nie pisz bzdur, widziałeś w jego logu winsecure.exe ? Bo ja nie.
jasio110 - 24 Maj 2006 08:07
sory pomyłka, przejżałem szybko loga i pomyliłem wpisy.
zbyniuś - 24 Maj 2006 21:12
Pożyczyłem inny zasilacz na próbę i jest ok.Problem z regedit rozwiązałem w ten sposób: skasowałem program regedit.com do kosza i teraz jest ok.Podejrzewam że ten program wstawił mi jakiś programik diagnostyczny albo antyspyware.Dzięki wszystkim za zaangażowanie.