samokopiujące ikony

**Posty:** 6 · przez **tsteifer** 17 Wrz 2006, 17:42

Witam,
od kilku dni pojawiają się na pulpicie duplikaty ikon skrótów, takie troszkę ułomne, bo zamiast właściwej ikony mają podstawowe ikony plików windowsa, nie mają przypisanej ścieżki do elementu docelowego.

Po usunięciu wracają, zwykle co pół godziny muszę usuwać. Chyba zaczęły się też pojawiać w poszczególnych folderach.

Skanowalem kilka razy aktualizowanym Kasperskim Anti-Virus Personal i on-line skanerem mks.vir, nic nie znalazły.

Nie wiem czy to przypadek, ale ta osobliwość pojawiła się po eksperymentach z programami do wymiany plików z telefonem. Zainstalowalem Samsung PC Studio 3, LaunchSoftic PPP i Samsung Java-Uploader.
Próbowałem również ResMana (wersje ukraińska i spolszczoną) i MobilEdit
ale wyrzucilem bo niezabardzo działały.

Nie wiem czy potrzebne - ale używam XP prefesional + SP2, z internetem łaczę się przez komp syna przez neostradę.

Ponieważ nie wiem co dalej podaje loga, może kto mądry pomoże - góry dziękuję!
Sam w logu niewiele potrafię wyszukać, nieznam się za bardzo, ale przy okazji - są tam chyba jakieś pozostałości po wcześniej używanym i odinstalowanym antywirusie Nortona. Próbowałem te pożostałości pousuwać ręcznie z rejestru (usuwałem wszystko co miało w nazwie norton albo symantec

) - ale z opłakanym skutkiem, musiałem reinstalować windowsa :cry:

Kod: Zaznacz wszystko: Logfile of HijackThis v1.99.1 Scan saved at 17:16:06, on 2006-09-17 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Avant Browser\avant.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\system32\svchost.exe C:\Documents and Settings\tomek\Pulpit\hijackthis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Lacza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [SoftickPPP] "C:\Program Files\Softick\PPP\Bin\PPPGate.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - C:\Program Files\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Dodaj do listy blokowanych reklam - C:\Program Files\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Otwуrz w nowym Avant Browser - C:\Program Files\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Otwуrz wszystkie adresy z tej strony... - C:\Program Files\Avant Browser\OpenAllLinks.htm O8 - Extra context menu item: Podњwietl - C:\Program Files\Avant Browser\Highlight.htm O8 - Extra context menu item: Szukaj - C:\Program Files\Avant Browser\Search.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)

przez **Tom@szek** 17 Wrz 2006, 17:45

W logu nie widać nic dziwnego.
Przeczyść rejestr i sprawdź czy lepiej czy nie.

**Posty:** 1425 · przez **Mały22222** 17 Wrz 2006, 17:46

Log masz czysty .przeskanuj www.ewido.com i wywal to co znajdzie

**Posty:** 6 · przez **tsteifer** 17 Wrz 2006, 18:44

Rejest czyściłem kilka razy RegCleaneremm ręcznie to nie bardzo - bo nie wiem czego szukać?
A ten skaner na ewido.com lepszy od lavasoftowego adWare? Bo nie chciałbym niepotrzebnie brać na kompa kolejnego czyściciela

Zaczęłem nawet instalować (co zdaje się widać) ale zrezygnowałem.
I co mogę zrobić z tym usługami (na końcu loga) pozostałymi po nortonie? Co to robi, jezeli coś robi, ale wolałbym zeby tego nie było, w końcu to mój komp

przez **Tom@szek** 17 Wrz 2006, 18:47

Usuń w hijackthis:

O23 - Service: ScriptBlocking Service (SBService) - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)

i ewido przeskanuj.

**Posty:** 935 · przez **Aqui** 17 Wrz 2006, 18:50

Kolego jak wejdziesz na strone www.ewido.com tam po lewej stronie masz
scan your computer for free,to bedzie tylko skanowanie,nie bedzie to na zasadzie ,że cały czas bedzie pilnowal zeby Ci cos nie weszlo.

**Posty:** 6 · przez **tsteifer** 17 Wrz 2006, 18:56

nie wiem czy to przyjęte, w regulaminiwe nie widziałem przeciwskazań, więc daje jeszcze prócz loga z hijacka listę programów z RegCleanera.
Niektórych nie jestem w stanie zidentyfikować, może tu coś złośliwego widać?
Bo te diabelskie ikonki jak mnożyły się tak mnożą :evil:

(log z RegCleanera usunięty 19.09 jaqko niepotrzebny)

przez **Tom@szek** 17 Wrz 2006, 19:00

Ewido nie skanowałeś :?:

Log z regcleanera jest niepotrzebny

**Posty:** 935 · przez **Aqui** 17 Wrz 2006, 19:05

Skanujesz www.ewido.com mówimy Ci ktorys raz,wklejasz raport ze skanowaniaoraz dodatkowo przeskanuj http://kaspersky.pl/virusscanner.html
i takze wklej raport.

**Posty:** 6 · przez **tsteifer** 17 Wrz 2006, 21:17

Przeskanowalem tym ewido, dlugo sie ładuje, znalazlo troche syfu głównie cookies, ale (pewnie baran jestem) nie widziałem opcji zapisania czy wogóle wyświetlenia loga. A skopiowac tak normalnie to te wyniki czegóś nie chciały.
Dla porównania przeskanowalem wczesniej AdWarem Lavasoftu, wyniki byly prawie identyczne i ten (sorki) log wklejam

(usunęłem log z AdWare 19.09, bo chyba nie potrzebny)

dość obszerny jest, przepraszam za kłopot.

Zgodnie z poradą skanuje teraz kasperskim on-line, przyznam ze bez wiekszego przekonania, bo mam KAV lokalnie, i codziennie aktualizuje.
A kazde takie skanowanie on-line pakuje różne śmieci do systemu a boję się całkiem kompa zamulić.
Loga z KAV on-line dam chyba pozniej bo zdaje się zanosi na dłuższe skanowanie

**Posty:** 935 · przez **Aqui** 17 Wrz 2006, 21:29

Rozumiem,ze wywaliłes to co ewido pokazal,daj screena tych ikon co sie kopiują.
Wklej,jednak ten raport z kasperskiego.

**Posty:** 6 · przez **tsteifer** 17 Wrz 2006, 21:55

Jasne że wywaliłem, loga z KAV wkleje, ale chyba jutro bo narazie aktualizuje bazę danych i zanosi się na to że tak będzie robił jeszcze długo.Próbowałem przywracania systemu, ale punkty przywracania które tworzyłem np.tedzień temu wcięło. Ustawienia pamieci dla przywracania systemu mam na maxa, o co tu chodzi?
no, narazie dziękuje za dobre chęci, do jutra

Jeszcze dziś zdążyło przeskanować, na moje oko bez specjalnych rezultatów - jedyny trojan jaki wykrył to autorun na płycie (oryginalnej!) Gothic II NocKruka. Zresztą mój KAV też zawsze skrzeczy gdy wkładam grę do napędu.
Zresztą niechaj ktoś bieglejszy popatrzy w ten log.
A ikonki jak mnożyły się tak mnożą, teraz zauważyłem że mam zdublowane wpisy w "ulubionych" - na tej samej zasadzie, oryginał - działa, kopia (0kb) - nie.
Pomocy!

(log z KAV tez usunęłem bo już nbiepotrzebny, 19.09)

**Posty:** 935 · przez **Aqui** 17 Wrz 2006, 23:36

Start => Uruchom => wpisz cmd => RD /S /Q "C:\Documents and Settings\Nazwa Twojego konta\Ustawienia lokalne\Temp"
w ten sposb wyczyscisz folder temporary
wklej screena tych ikon.

**Posty:** 6 · przez **tsteifer** 18 Wrz 2006, 00:11

proszę to zrzut ekranu, troche zmniejszyłem, ikonki jak ikonki, wygladfają na zwykłe pliki systemu windows. We własciwościach nie mają elementu docelowego, waga - o kb.
Mnoży się to cholerstwo chyba już wszędzie, chyba format mi pozostał bo antywirusyy nic nie widzą. Szukałem szczepionki, ale też bez skutku.

(usunęłem zrzut ekranu 19.09)

dodane 19.09.
Dziękuję za próby pomocy, ale na szczęście problem się rozwiązał bez formatowania.
Ponieważ jedyną czynnością jaką zrobiłem przed tym (prócz bezowocnego skanowania rożnymi adwarami i antywirusami) było przywrócenie właściwego ustawienia opcji zaawansowanych językowych.
Przestawiałem je wcześniej na rosyjski, ponieważ jeden z programów do obsługi telefonu (RegMan) działał mi w wersji oryginalnej a w spolszczonej nie wykrywał fonika. Póżniej, gapa, albo stary sklerotyk (jak kto woli) nie wszystko przywróciłem do stanu wyjściowego.
Nie wiązałem epidemii samokopiujących ikon z tym działaniem, ale skutek świadczy że TO było TO! Dyabelskie acz ułomne ikonki-potworki przestały się mnożyć, nie widać ich już kilkanaście godzin

jeśli kto mądry wyjaśni mi związek przyczynowo - skutkowy tego incydentu to będe wdzieczny.

samokopiujące ikony

samokopiujące ikony

Kto jest na forum