Windows XP brak w rejestrze ntsys.exe

jak włączam komp u teścia to pokazuje mi że brak ntsys.exe i nie może go załadować. w jaki sposób mogę dodać do rejestru ten plik? teściu chyba go wykasował z rejestru. nie wiem. nie znam się ale ja mam ten plik w rejestrze a on nie. czy da się się go skopiować? albo jeszcze lepiej czy mógłby ktoś ten plik rejestru wrzucić do pobrania? bo troche boję się mieszać w rejestrze. acha. brak tego pliku objawia się (oprócz komunikatu na początku załadowania się systemu) tym że gdy klikam na pasek start-> np. akcesoria to pokazuje mi przezroczystą ledwo widoczną ramkę pustą w środku. jakieś propozycje? tylko poproszę tak na chłopski rozum bym zrozumiała o co biega

Z tego co ja wiem i wyszukałem w internecie to ntsys.exe jest wirusem: Trojan.W32.Beagle.

Proponuję abyś przeskanowała komputery swój i teścia jakimś porządnym programem antywirusowym.

mam dr.web, teściu pandę. regularnie skanuję. czyli tego pliku nie powinno być? ojoj. to jak się tego pozbyć bez kombinowania ze zmianą programu antywirusowego? czy wykasować go z rejestru? zaczynam się bać.... pomocccy

HiJack This, Silent Runners - ściągnij, załącz logi w załącznikach.
SpyBot, AdAware - poskanuj... AntyVir to nie wszystko.

zrobiłam tym pierwszym programem. co dalej? wyszło takie coś:
Logfile of HijackThis v1.99.1
Scan saved at 00:23:38, on 2007-04-19
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\PROGRA~1\DrWeb\SpiderNT.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\DrWeb\DRWEBSCD.EXE
C:\PROGRA~1\DrWeb\spidernt.exe
C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\DOCUME~1\Admin\USTAWI~1\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Element ukryty. Rejestracja zajmie tylko minutę!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Element ukryty. Rejestracja zajmie tylko minutę!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Element ukryty. Rejestracja zajmie tylko minutę!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Element ukryty. Rejestracja zajmie tylko minutę!
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Element ukryty. Rejestracja zajmie tylko minutę!
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [GameFace Messenger] C:\Program Files\GameFace Messenger\GameFace.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: Element ukryty. Rejestracja zajmie tylko minutę!
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - Element ukryty. Rejestracja zajmie tylko minutę!
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web, Ltd. - C:\PROGRA~1\DrWeb\SpiderNT.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Unknown owner - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe (file missing)

Log jest czysty. uruchom edytor rejestru Start -> uruchom -> regedit. W wyszukiwanie wpisz ntsys.exe i skasuj wszystko co znajdzie odnośnie tego pliku.

Logi analizuj na tej stronie: Element ukryty. Rejestracja zajmie tylko minutę!

ewentualnie wywal to:

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
Must be fixed! Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor ones actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers

wielkie dzięki. zabieram się do roboty. ale jedno sie nie daje usunąć? zostawić to czy jak?

weniczka84 napisał(a):wielkie dzięki. zabieram się do roboty. ale jedno sie nie daje usunąć? zostawić to czy jak?

w jakim kluczu? spróbuj w trybie awaryjnym lub uruchom regedit32.

próbowałam regedit32 ale pokazywało mi że tego nie mam. (czy to normalne???) ale weszłam w tryb awaryjny i faktycznie dało się to usunąć. hehe... przeskanowałam kompa kilkoma programami i pozbyłam się około 40 różnych paskudztw. wieeelkie dzięki za pomoc. pozdrawiam

[color="Red"]Edit[/color]

Bitterman napisał: Log jest czysty. uruchom edytor rejestru Start -> uruchom -> regedit. W wyszukiwanie wpisz ntsys.exe i skasuj wszystko co znajdzie odnośnie tego pliku.

U teścia mam problem. Czy mogę skasować wszystko co jest odnosnie tego pliku ntsys.exe skoro w danych pisze mi że te pliki są w płatniku i w programie do księgowania (teściu prowadzi firmę)? Czy wykasowanie wszystkiego odnośnie pliku ntsys.exe nie spowoduje utraty danych lub niemożliwości uruchomienia tych programów?

Bitterman napisał: Log jest czysty. uruchom edytor rejestru Start -> uruchom -> regedit. W wyszukiwanie wpisz ntsys.exe i skasuj wszystko co znajdzie odnośnie tego pliku.

U teścia mam problem. Czy mogę skasować wszystko co jest odnosnie tego pliku ntsys.exe skoro w danych pisze mi że te pliki są w płatniku i w programie do księgowania (teściu prowadzi firmę)? Czy wykasowanie wszystkiego odnośnie pliku ntsys.exe nie spowoduje utraty danych lub niemożliwości uruchomienia tych programów?

ten plik jest wirusem i raczej chyba chodzi o to żeby się nie uruchamiał.

jeśli doszło do zainfekowania innych plików / programów z pewnością dojdzie do utraty danych

Dzięki za info. Ojoj. W programie księgowym jest na szczęście kopia bezpieczeństwa. Niestety w Płatniku nie. Zobaczymy co się stanie jak to pokasuje w rejestrze. Jeszcze raz dziękuję za poświęcony czas.:-)

jeśli w systemie był wirus żadna "kopia bezpieczeństwa", o ile nie polegała na wcześniejszym sprzed pojawienia się wirusa przeniesieniu danych plików na osobny nośnik np. CD , może nie pomóc

trzeba przeskanować antywirem porządnym cały system, przenosząc wszystkie zainfekowane pliki do kwarantanny, następnie można z tych plików próbować coś odzyskać, np. ekstrahując z nich jakieś dane , docelowo jednak pliki te są do usunięcia (chyba że program AV oceni że da się znich usunąc wirusa i skutecznie tego dokona / w zależności od rodzaju wirusa jest to bardziej lub mniej możliwe , przy czym nie zawsze plik po takiej operacji jest jeszcze przydatny)

tak teraz analizuję to mam wątpliwości co do loga - przecież on nie jest z tego kompa z pandą !!!
jeśli idzie o robaka Element ukryty. Rejestracja zajmie tylko minutę! to jest on w sumie niegroźny
natomiast log zawiera kilka wątpliwej reputacji wpisów
no ale nie jest z tego systemu więc nijak się to ma wszystko do sprawy

Frank Holman dzięki za zainteresowanie sprawą. Jeśli chodzi o mój komputer i te wątpliwej reputacji logi to problem zniknie w przyszłym tygodniu. Dużo ostatnio przeglądałam co w nim mam i jest taki bałagan (np. resztki po odinstalowanych programach, niepotrzebne programy itp.) że postanowiłam to załatwić formatem. Więc z tym już nie będzie problemu.
Jeśli chodzi o komputer teścia to jutro wrzucę tu logi z hijackthis'a i sillient runners, więc prosiłabym o analizę logów w wolnej chwili (co prawda wrzucę je też w stronke hijackthis'a ale może mi doradzisz co jeszcze jest w logach teścia niepotrzebne) .
Teściu ma kasperskiego a nie jak napisałam pandę (miał ją w zeszłym roku). Pomyliło mi się. Pozdrawiam

bardziej bym wolał aby nie było pomyłek już więcej w kwestii pochodzenia podawanych danych
jeśli omawiany problem dotyczy jakiegoś komputera musi być jasno i wyraźnie : nieistotne są żadne dane dotyczące innego sprzętu, niż ten, którego dotyczy problem
zarzucenie loga z innego systemu to nie "pomyłka", to rekord świata [color="Red"][.....][/color]

Frank Holman napisał(a):bardziej bym wolał aby nie było pomyłek już więcej w kwestii pochodzenia podawanych danych
jeśli omawiany problem dotyczy jakiegoś komputera musi być jasno i wyraźnie : nieistotne są żadne dane dotyczące innego sprzętu, niż ten, którego dotyczy problem
zarzucenie loga z innego systemu to nie "pomyłka", to rekord świata [.....]

Oj Frank źle mnie zrozumiałeś. Nie zrobiłam pomyłki zrzucając loga ze swojego komputera a nie teścia. Przecież wyraźnie napisałam że mam Dr.Web, więc skoro w logach jest ten antywirus to samo przez się wychodzi, że logi pochodzą z mojego komputera. Poza tym omawiany problem dotyczy obu zainfekowanych komputerów... Napisałam, że się pomyliłam, ale miałam tu na myśli jaki program antywirusowy jest zainstalowany na komputerze teścia. Bo jeszcze nie tak dawno była Panda a nagle przychodzę i patrzę a tam nie lubiany przez teścia Kaspersky.


Dbajmy o czytelność naszych wiadomości. Log umieszczajmy np. w tagu [ code ]. Sztosz.

ciekawe jak on w ogóle działa , bo zdaje się, że niezbyt

Cytat:O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

reszta loga nie zawiera szkodliwych wpisów*, tylko sporo zbędnych:

Cytat:Running processes:
...
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
...
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
...
C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe
C:\PROGRA~1\NEOSTR~1\ComComp.exe
C:\PROGRA~1\NEOSTR~1\Watch.exe
...

...
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
...
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
...
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
??? O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c ??? - chyba że to niezbędne do działania \IncrediMail
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe - chyba że często przegląda się pliki .pdf
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
...
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
...
O16 - DPF: {A9ED6AA2-D9D4-4D71-9586-E293E2E3580B} (GameDesire Marbles&Diamonds&Runes) - Element ukryty. Rejestracja zajmie tylko minutę!
...

* poza może tym:

Cytat:R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

Frank Holman napisał(a):ciekawe jak on w ogóle działa , bo zdaje się, że niezbyt

U mnie Hijackthis pokazywał że nie mam plików Outposta i Apache (serwer HTTP), mimo to i Outpost i Apache działały bez problemu.