Aktualizace zabezpečení KB912812

[mijaja]

Zaškrtni v Hijackthisu (čtvereček před řádkem) tyto řádky:

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Download - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\XemiComputers\Download Druid\Druid.exe =Trojan.Win32.StartPage.fg
O9 - Extra 'Tools' menuitem: Druid: Download All Files - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Program Files\XemiComputers\Download Druid\Druid.exe =Trojan.Win32.StartPage.fg
O9 - Extra button: Stahuj.cz - {BE548E7C-1EC9-4134-B755-50ADA5DB5CBE} - http://www.stahuj.cz (file missing) (HKCU)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

zaškrtni ty řádky a dej FixChecked - Složku Xemi Computers potom celou smaž - je to plné šmejdů. Vyprázdni Temp a Temporary Internet Files a vysyp koš.

Jinak ten dávkový soubor se v logu nevyskytuje. Stáhl jsem si jej a prohlédl - to vypadá, že jen přepisuje knihovny ze zálohy. Tady spíše bude nějaká interakce mezi těmi šmejdy - Favadd hodlá přepisovat startpage a tento rollback mu zase cpe zpět ty knihovny. Kdoví, jestli naopak nedělá dobře pro tebe.

[Chayen]

Udělal jsem všechno co si napsal. Co bych měl dělat dál? Jinak ti moc děkuju za ochuto mi pomáhat. Fakt díky..

[mijaja]

Smazal jsi ty šmejdy? Právě mě napadá, že ten Rollback dává zpět do složky Program Files/IE a Windows/System32 ty knihovny - zkus je teď všechny vymazat (ale jen složku ProgramFiles/IE) a když už je ten Win32Startpage nepřepisuje, tak ten rollback by tam mohl dát zpět dobré (tedy pokud nebyly nakažené už předtím). Jestli ti funguje nabídka Start > Hledat, zkus některé z těch knihoven, které jsi tady dával do příspěvku najít. Pokud tam budou dvakrát, znamená to, že si ten rollback udělal někde jejich zálohu. Jestli ji najdeš, tak rollback vymaž. Možná i tohle ti bránilo přeinstalovat IE, protože byl neustále využíván jinými programy a tím byl vlastně neustále v permanenci ten novější. Kdyby se to ustálilo, asi bych zkusil znovu vypnout v registru IE a zkusil přeinstalovat

[Chayen]

Ve složce Programfiles/IE/ mám 4 věci :
složku"Connection Wizard"
hmmapi.dll
iedw
iexplore

u všeho se dá zjistit , že je verze 6.0.2900.2180

Jinak Start/Hledat mi nefunguje(objeví se tam v panelu pro hledání černá plocha a nějakej windowsáckej pes)

[Chayen]

Connection Wizard vymazat nejde(je používan) a když vymažu to ostatní tak se mi to objeví znova.
Myslim si , že se ale objeví ten samej co jsem vymazal. Jinak když pak otevřu iexplore.exe tak se mi otevře okno IE -stránka nelze zobrazit -pouze http://www.stahuj.cz -nahoře(uplně nahoře vlevo) je napsaný:
Neplatná syntaxe-poskytovatel aplikace Microsoft Internet Explorer:Stahuj.cz

[mijaja]

Takže IE stále nefunguje a ty věci dříve popsané (obnova systému, Hledat, Norton AV) taky ne? Máš instalační CD woken? Funguje ti v nabídce Start volba Spustit? Jestli ano, tak máme ještě možnost opravy Windows přes tenhle řádek. Dáš CDčko do mechaniky, klikneš na Start, dáš volbu Spustit a do řádku vepíšeš

sfc /scannow

a dáš enter - systém začne porovnávat své soubory na disku s těmí na CDčku a co se bude lišit, to opraví. Samozřejmě, že potom nebudou fungovat některé instalované programy, které se vepisují do systémových souborů, ale ty potom reinstaluješ. Jinak to může trvat i půl hodiny až hodinu, dle závažnosti chyb. Ale je to poslední možnost před totálním formátem a reinstalem systému.

[VictorC]

Chayene, promiň, ale musím ti to napsat. Divím se tvé neskutečné naivitě. Nováček si jako historicky první příspěvek na tomto fóru vloží příspěvek, aby sis stáhnul a nainstaloval cosi, co prý funguje a ty to uděláš. Kdyby mi to napsal třeba Mijaja, tak bych do toho šel. Sice ho neznám osobně, ale vím, za těch pár dní co se tu pohybuji, že se snaží pomáhat druhým a určitě by mi neradil blbost. Možná ten kluk nechtěl zlikvidovat tvůj explorer a opravdu mu to funguje, ale pokud uměle saháš do registrů, dá se čekat kolaps, každý máme v bednách něco jiného a tím i jiné věci v registrech a s napsáním univerzálních zásahů do registrů mají problémy i velké programátorské firmy. Na tvém místě bych se vykašlal na záchranu IE, ale okamžitě bych desinfikoval celý disk. Nevíš, co sis všechno namršil a ta práce okolo toho, budiž ti trestem za tvou lehkomyslnost. Jestli se podobně chováš i při otevírání pošty, pak má tvůj antivir nejspíš plné ruce práce...

Na tohle se neda nic nez odpovedet ;]
ad1 ten termin novacek je silne zavadejici a ma vyjadrovat predevsim to, ze je nekdo novy na foru, ne ve svete pocitacu ;] ale budiz, pokud me chce nekdo vnimat jako novacka, zlobit se za to na nej nebudu ;] protoze pro me je podstatne co vim ja, jak je mi ku prospechu a nic jineho ;]
ad2 uplnou nahodou jsem nasel tady Chayenuv problem a z dobre vule jsem stvoril ten "pro nej" nestastny rollback, ktery je ZCELA pruhledny, nijak nezakerny a legitimni a kazdy kdo vi ce je to MS certifikace, si muze dane soubory prohlednou, overit jejich verze i pravost a zjisti tak, ze se nejedna o zadnou "nedobrotu" alebrz zpusob jak vyresit neci problem ;]
ad3 davam ti zapravdu v tom, ze pokud Chayen ma bordel ve svem pocitaci, je zbytecne tu dal neco resit, predpokladal jsem (zrejme dost najivne) ze ma pocitac (windows) prinejmensim zcela aktualizovany, aby si tento rollback mohl dovolit. Oooops, my bad, prinejmensim vim, ze jsem si to myslel spatne a ted jsme u prislovi "za dobrotu..."
Abych to "ohrnul" ;] nikomu jsem nemel v umyslu pusobit jakekoli problemy, prave naopak, cil byl pomoci mu. Bohuzel. Tedy je mi lito ze ti vznikli problemy... uprimne.
Preju hodne zdaru v reseni a at to dobre dopadne.
P.S. to oznaceni kluk me moc potesilo ;] hned se citim o 20 let mladsi ;]

[VictorC]

ViktoreC můžu nějak ten rollback vrátit ? Prohodit zpátky ty knihovny?

ano muzes to vratit zpet, prece jen jsem byl toliko duchapritomny a udelal zalohu, je v Point-1
drobnou upravou toho bat-u docilis opaku

[mijaja]

Nevím Victore, jestli mu to ještě teď pomůže - tady byly spuštěny dvě věci s naprosto opačnými funkcemi. Zatímco tvůj rollback neustále vracel zpět knihovny, Trojan v jeho kompu je zase neustále přepisoval. Ostatní programy včetně systému z toho měly guláš. Teď je otázka, jak z toho všeho ven.

[VictorC]

Jen jeste posledni drobnost, zadny z mnou poskytnutych souboru NEOBSAHUJE zadny vir,spy,nebo cokoli, archiv je zcela cisty. Knihovny jsou legitimni, neporusene, nikterak neupravovane a jsou prachsprostym zpusobem pomoci regsvr32 odregistrovany a posleze ty "starsi" zpet zaregistrovany. Pri aktualizaci pomoci "ofic zaplat z ms" se defakto nedeje nic prilis odlisneho, to si kazdy muze taktez overit v logu kazde aktualizace, ktery se vytvori v adresari windows po nainstalovani.

[VictorC]

Nevím Victore, jestli mu to ještě teď pomůže - tady byly spuštěny dvě věci s naprosto opačnými funkcemi. Zatímco tvůj rollback neustále vracel zpět knihovny, Trojan v jeho kompu je zase neustále přepisoval. Ostatní programy včetně systému z toho měly guláš. Teď je otázka, jak z toho všeho ven.

doporucil bych "rucni praci" ;] odstranit bubaky nejlepe treba pomoci miniPE a pak si pohrat s Roll-Roll-backem, nehledal bych v tom tragedii, pokud pouzil ten muj proklaty rollback, jeste neni nic ztraceno, bubaka oddelame!

[mijaja]

Neříkej, že je prokletý, naopak, díval jsem se na to a myslím si, že kdyby měl před tím čistý komp, tak se to stát nemuselo. Prostě souhra náhod. Kdoví, kolik má ještě v kompu momentálně neaktivních šmejdů, které mohly být právě tímhle soubojem programů spuštěny.