בעיה בחלונות XP (הרס של הרג'יסטרי)

שלום לכולם,

לפני מספר ימים אחותי הורידה מספר קבצים מאתר של אונברסיטת תל אביב (הבעיה התרחשה מיד או סמוך להורדה), בכל מקרה לאחר הורדת הקבצים (קבצי וורד לרוב), המחשב הנייד שלי (X60) קרס ונתן שגיאות רבות, בבדיקות וירוסים התגלו סוסים טרויאנים ששיבשו את כל קבצי ההפעלה של שהיו על המחשב (כל EXE כמעט נפגע), לאחר שיקום ממושך הצלחתי להחזיר את המחשב לפעולה, למרות זאת אין לו גישה לאינטרנט. המחשב מזהה את הרשת ומתחבר אליה אבל לא מצליח לקבל כתובת IP.

המחשב השני שלי סובל אף הוא מהבעיה וכאן המצב אף קשה יותר, מאחר ומתוקנת עליו ערכת הSERVICE PACK 3, ניסתי להתקין דרך דיסק ההתקנה של התוכנה (הורדתי מהאתר של מיקרוסופט) את החבילה מחדש, ההתקנה עוברת בשלום עד לשלב היא מנסה להיכנס לרג'יסטרי של המחשב וכאן היא קורסת. ניסיתי להתקין אותה גם במצב בטוח וגם במצב רגיל.

המחשב עצמו עובד בסדר לאחר הניקוי המתמשך אבל אין לי גישה לאינרטרנט גם בו ויתכן ונדפקו מספר דרייברים.

הייתי שמח לשמוע עצות לפתרון.

ממה שראיתי ברגע עבדו מספר תהליכים לא מוכרים לי שדאגתי לנטרל (חלק ישירות, חלק דרך תוכנת אנטיוירוס). המחשב עובד טוב יותר לאחר מכן. מה שקורה אבל הוא שכאשר הוא עולה ישנה קריסה של הקובץ WINTASK.EXE, המחשב לאחר מכן מתפקד בסדר אבל אני לא מצליח למנוע את הקריסה. הייתי שמח לראות אם יש פתרון מאחר ויש לי עליו חומר רב שאין לי ממש גיבויים שלו.

המון תודה מראש,

ראיתי מדריך באתר של מיקרוסופט שמסביר כיצד לשקם את הרג'יסטרי דרך תוכנת הRECOVERY של החלונות, אני לא יודע אם כדאי לנסות אותו מאחר והצלחתי להחזיר לפעולה את מנגנון שחזור המערכת (לאחר שהבעיה התחילה הוא קרס בשני המחשבים), הצלחתי להעביר עדכונים קודמים אבל לא היה שינוי במצב.

wintask.exe הוא טרויאן שאתה יכול להעיף דרך msconfig מהפעלה של המערכת.

לגבי הבעיה של קישוריות לאינטרנט אני מציע לך לבצע איפוס לwinsocket ואחרי זה לסרוק עם hijackthis.

ניתן לאפס את הwinsock עם הפקודה

netsh winsock reset catalog

והפעלה מחדש למחשב.

את הלוג של hijackthis אתה יכול לצרף לפה וגם לבדוק במקביל ב www.hijackthis.de.

תודה על התשובה,

עקרונית זה לא עזר בלפטופ (שעוד עובד איכשהו), אני רואה שישנה התנגשות (סימנים צהובים) במנהל ההתקנים, בקטגורית מתאמי הרשת, למרות זאת אחד מהם לא מראה התנגשות, התקיעה בחיבור לאינטרנט מתרחשת בשלב שהוא צריך לקבל IP, יכול להיות שזה עניין של דרייברים נכון לעכשיו זה לא כל כך דחוף.

במחשב השני לעומת זאת המצב לא טוב בלשון המעטה, לאחר ניסיונות רבים להתקין את ה SERVICE PACK 3, ניסתי בעזרת הדיסק המקורי של החלונות לעשות REPAIR להתקנה, המצב לאחר התקנה שבה בשלב שהוא ניסה להתקין את הרשת (תהליך ההתקנה עצמו) קרס. לאחר שסיימתי להתקין (ניטרלתי את הכרטיס רשת בביוס של המחשב), המחשב חזר לעבוד, ניטרלתי גם את הWINTASK שלמרבה ההפתעה מגיע מתוכנה מוכרת של הנהלת חשבונות ולכן אין לי מושג מה הבעיה איתו. כרגע גם במחשב השני מופיעים התנגשויות ברשת עצמה.

שניסתי לאחר שהמחשב חזר להחזיר מחדש בביוס את הרשת, הוא עשה בעיות.

אני אמשיך לעדכן.

בנוסף מאחר וכעת הוא פועל למעשה על SERVICE PACK 1 שאני מנסה להיכנס ל-ADD REMOVE PROGRAMS, אני מקבל את המסך אבל התוכנות לא מופיעות שם.

תודה רבה.

נ.ב- הרשת האחלוטית שבסיסה במחשב הבעייתי, עובדת כסדרה במחשב שממנו אני כותב וגם בפליסטיישן 3. השאלה אם כך האם באמת נדפקו הכרטיסי רשת במחשב הנייד ובמחשב השני?

תודה רבה.

[br]פורסם בתאריך: 11.02.2009 בשעה 22:08:52

בשעה טובה הצלחתי להחזיר את האינטרנט, לאחר ההתקנה מחדש והשינוי מחדש בביוס, האינטרנט חזר לפעולה. מה שמוזר זה שחלק מהתופעות שליוו את הוירוס חזרו, המחשב אומנם עובד בסדר גמור אבל ניתן לראות מלא ישומיים (לפחות שבע ישומים תחת השם CMD.EXE תחת SERVICES).

השאלה אם הוירוס חוזר, אני כרגע מריץ אנטיוירוסים, אני מפחד לעשות ריסטרט למחשב.

בנוסף אני מתלבט אם להתקין את ה-SERVICE PACK 2 ולאחר מכן את השלוש, המחשב עדיין לא עובד בצורה חלקה לגמרי מבחינת הישומיים השונים (כפי שציינתי בהודעה הקודמת עם ה- ADD REMOVE PROGRAM).

תודה רבה.

נ.ב - גם הכניסה לווינדוס פיירוול לא עובדת.

שלום לכולם,

עדכון קצר,

המחשב עובד לא משהו (לוקח לו המן זמן לאתחל את עצמו), בנוסף לאחר עבודה של 30-40 דקות, הקובץ SVSHOST פשוט גורם לקריסת המחשב הוא עולה ל99 CPU וגורם למחשב לקרוס.

תודה.

[br]פורסם בתאריך: 12.02.2009 בשעה 01:09:20

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 01:17:43, on 12/02/2009

Platform: Windows XP SP1 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\Explorer.EXE

c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\System32\WgaTray.exe

C:\WINDOWS\services.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\Oren\Apps\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://proxy.barak.net.il:8080

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn

1\yt.dll

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\Documents and Settings\User\fnibjhl.exe \s

O2 - BHO: (no name) - {1C4EB28B-8061-4B11-8BF9-53383EE29F12} - c:\windows\system32\adhjxii.dll

O2 - BHO: (no name) - {21B1BBDA-4306-A438-FC8C-ECF235D652AB} - (no file)

O2 - BHO: (no name) - {596DBDD2-4450-82C8-810D-F0F7B7F8FB7C} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft

Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {AC532198-E33A-6682-FCD0-BAF618B6891F} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll

O3 - Toolbar: del.icio.us - {981FE6A8-260C-4930-960F-C3BC82746CB0} - C:\Program Files\del.icio.us\Internet Explorer Buttons\dlcsIE.dll

(file missing)

O3 - Toolbar: AGForms - {ed2e7de7-07db-4941-a06d-f780b93ba730} - C:\Program Files\agat\AGForm\AGForms.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [iMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

O4 - HKCU\..\Run: [hxsipxcw.exe] C:\WINDOWS\hxsipxcw.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Policies\Explorer\Run: [services] -->

O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\WINDOWS\system32\inf\rundll33.exe C:\WINDOWS\xccdf16_090131a.dll xccd16

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] -->

(User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] -->

(User 'Default user')

O8 - Extra context menu item: Translate with &Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\SHDOCVW.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:

\WINDOWS\system32\SHDOCVW.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag

.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O12 - Plugin for .asf: C:\Program Files\Netscape\Communicator\Program\PLUGINS\npdsplay.dll

O12 - Plugin for .asx: C:\PROGRA~1\Netscape\COMMUN~1\Program\PLUGINS\npdsplay.dll

O15 - Trusted Zone: http://www.cdisys.com

O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab

O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/

MetaStream3.cab?url=http://www.fujitsu-siemens.com/3dtour/pc_scaleo_600/scaleo600.html

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/

fwlink/?linkid=58813

O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/

fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.

cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/

housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/

sfvw_safeview.cab

O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/27.44/uploader2.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/programs/OnlineScanner.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/

netisclient.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: hkjgzwez - C:\WINDOWS\SYSTEM32\adhjxii.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:

\WINDOWS\System32\browseui.dll

O23 - Service: AntiSpyDetector - Unknown owner - C:\Program Files\SpyDetector\spywatcher.exe (file missing)

O23 - Service: DNS Server DNS Server (DNS) - Unknown owner - c:\winnt\microsoftdrivers\etc\FireDaemon.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\

1150\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe

O23 - Service: Indexing Server indexing Server (indexing) - Unknown owner - c:\winnt\microsoftdrivers\etc\FireDaemon.exe (file missing)

O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program

Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: ueelntbfdqbt (MsUpdate6) - Unknown owner - C:\WINDOWS\system32\msupd6.exe (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: Tabula Task Scheduler - Unknown owner - C:\priority\bin.95\wintask.exe (file missing)

O23 - Service: Windows Login Windows Login (Wlogin) - Unknown owner - c:\winnt\microsoftdrivers\etc\FireDaemon.exe (file missing)

O24 - Desktop Component 0: (no name) - http://img.shopping.com/cctool/PrdImg/images/pr/177X150/00/02/44/d7/f7/38066167.JPG

--

End of file - 10099 bytes

בפעם הבאה שאתה מדביק לוג איפשהו תדאג ליישר אותו שלמאל או לפחות לשים בטאג של קוד עם .

יש לך דיי הרבה "בלאגן" במחשב וחלק מדברים הבאים נראים כמו זבל ואפילו מזיקים:

C:\WINDOWS\services.exe

תבדוק מה זה.

O2 - BHO: (no name) - {1C4EB28B-8061-4B11-8BF9-53383EE29F12} - c:\windows\system32\adhjxii.dll

O2 - BHO: (no name) - {21B1BBDA-4306-A438-FC8C-ECF235D652AB} - (no file)

O2 - BHO: (no name) - {596DBDD2-4450-82C8-810D-F0F7B7F8FB7C} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {AC532198-E33A-6682-FCD0-BAF618B6891F} - (no file)

O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe

O4 - HKCU\..\Run: [hxsipxcw.exe] C:\WINDOWS\hxsipxcw.exe

O4 - HKLM\..\Policies\Explorer\Run: [services] -->

O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\WINDOWS\system32\inf\rundll33.exe C:\WINDOWS\xccdf16_090131a.dll xccd16

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] -->

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] -->

O20 - Winlogon Notify: hkjgzwez - C:\WINDOWS\SYSTEM32\adhjxii.dll

תודה רבה על התשובה,

עקרונית אני ניסיתי לעשות את הבדיקה והתיקון אבל עכשיו אני רואה שרוב הקבצים חזרו לאחר הבוט (בלוג של HJT), עקרונית המחשב גם מנסה לשנות את הקובץ READER_S.EXE ואין לי מושג אם לאשר לו את הדבר.

בנוסף אני לא מצליח לעשות עדכון דרך ה-WINDOWS UPDATE, אני מקבל שגיאה וזה לא מוריד לי כלום. יש לי דיסק של ה-SP3 ואני מתלבט אם לעדכן אותו (כעת זה רושם שמותקן ה-SP1).

איך בדיוק אני מיישר את הטקסט לצד שמאל, עם CTRL + SHIFT זה לא מצליח לי.

תודה.

שלום לכולם,

עקרונית יש לי מספר חדשות אבל הדבר המבאס הוא שלאור השינויים, החיבור לאינטרנט נהרס שוב.

מצאתי שהקבצים האלה בעייתים (כנראה הוירוסים)

HXSIPXCW.EXE

READER_S.EXE

SERVICES.EXE

הצלחתי למחוק את כולם ואף לנקות את הערכים שלהם ברג'יסטרי אבל בכל הפעלה מחדש הם חוזרים למחשב, הספייבוט אומר לי שישנו ניסיון לכתוב את הערכים שלהם למערכת.

השאלה ממה זה נגרם ומה עוד ניתן לעשות.

וכיצד לסדר את האינטרנט, אתמול הוא עבד לאחר התקנה מחדש של המערכת.

תודה רבה.

עדכון קצר לפני שהאינטרנט יילך לי שוב.

אני כבר יושב שעות ומוחק את הרג'יסטרי הבעייתי וגם את הקבצים, הם כל הזמן חוזרים. שמתי לב שמיד כאשר יש חיבור לאינטרנט אז הוירוס נדלק.

השאלה מה ניתן לעשות מבלי לפרמט, אין לי גיבוי של החומר והנרו לא בדיוק עובד משום מה (יתכן ובגלל שביטלתי מספר פעולות שלו בבוט).

זה כבר שלושה ימים שאני על המחשב ולא מצליח לסדר אותו.

תודה.

תנסה פשוט להתקין מחדש את Windows ? אבל בלי לפרמט..

הוא יעבור על הקבצים מחדש ויתקין את הרג'יסטרי מחדש לא?