Mam problem z wyskakującymi okienkami reklamującymi programy antywirusowe oraz pojawiającym się System Alert, po skasowaniu Spyware Doctor i po wykryciu i usuneciu Adware Agent BN wirus powraca, do tego komputer wyraźnie spowolnił. Prosze o szybka pomoc… i dokładny opis tego, co mam robić…
C:\Documents and Settings\All Users\Dane aplikacji\ejinmpmx\wlmlynmz.exe
Usuń plik.
C:\WINDOWS\system32\sjurcpwl.exe
Plik przeskanuj na http://virustotal.com/pl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: DVA Media - {82B8E0B5-45F5-4779-966A-C474164F8F7F} - C:\WINDOWS\temlxopqgdk.dll
O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [MU8wCHopq0] C:\Documents and Settings\All Users\Dane aplikacji\ejinmpmx\wlmlynmz.exe
O21 - SSODL: qdnkewfa - {E4144406-9781-486E-89F8-82811E5171FA} - C:\WINDOWS\qdnkewfa.dll
O21 - SSODL: mgsvflkw - {2E45D6C6-2CF1-4506-8D83-9D948FBC17D7} - C:\WINDOWS\mgsvflkw.dll
O24 - Desktop Component 0: Privacy Protection - (no file)
Fix.
Plik sjurcpwl.exe otrzymany 2008.04.11 23:25:54 (CET)
Obecny status: zakończono
Wynik: 6/32 (18.75%)
Zwięzły Drukuj wyniki
Antywirus Wersja Ostatnia aktualizacja Wynik
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - -
AVG - - Downloader.Obfuskated
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
FileAdvisor - - -
Fortinet - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/Busky.EC
NOD32v2 - - a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman - - -
Panda - - -
Prevx1 - - Heuristic: Suspicious File With Outbound Communications
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen
Dodatkowe informacje
MD5: a9b01db5f2a00602f9a954f497c50507
SHA1: e32c93ef39849a0f2c083ab05478b454b26df56e
SHA256: 48af2b9fcd8d6c59f7b1a98b4d527bca052d797ffdfae5669272bea3f8ca7606
SHA512: ac5009cf7f71671efe65b5e97900300f6ab79d8d6488dcbba55de9b2effaf6046c8161ebef43d93ef150b2ac1b9414c99d6d8bb2aa2a93fc550404cf75816086
i jak to sie naprawia? jakie kroki?
od: Zaznacz cały
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: DVA Media - {82B8E0B5-45F5-4779-966A-C474164F8F7F} - C:\WINDOWS\temlxopqgdk.dll
O3 - Toolbar: vnbptxlf - {2EBC25FD-CDC9-4354-B220-2B7BFCBB28D3} - C:\WINDOWS\vnbptxlf.dll (file missing)
O4 - HKLM…\Policies\Explorer\Run: [MU8wCHopq0] C:\Documents and Settings\All Users\Dane aplikacji\ejinmpmx\wlmlynmz.exe
O21 - SSODL: qdnkewfa - {E4144406-9781-486E-89F8-82811E5171FA} - C:\WINDOWS\qdnkewfa.dll
O21 - SSODL: mgsvflkw - {2E45D6C6-2CF1-4506-8D83-9D948FBC17D7} - C:\WINDOWS\mgsvflkw.dll
O24 - Desktop Component 0: Privacy Protection - (no file)
Zfixuj kod jaki dałem wyżej, usuń plik C:\WINDOWS\system32\sjurcpwl.exe. Po pracy podaj nowy raport z HijackThis.
EDIT: Aby zfixować uruchom HijackThis i wybierz opcje “do a system scan olny”. Następnie zaznacz haczyki przy wpisach i kliknij “Fix checked”.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:07:07, on 2008-04-14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\TODDSrv.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\sjurcpwl.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\uWDF.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM…\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM…\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM…\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM…\Run: [PadTouch] C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM…\Run: [CeEKEY] C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM…\Run: [HWSetup] C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM…\Run: [sVPWUTIL] C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM…\Run: [TPNF] C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM…\Run: [smoothView] C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe
O4 - HKLM…\Run: [Tvs] C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM…\Run: [DDWMon] C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [loaddll] loaddll.exe
O4 - HKLM…\Run: [iSTray] “C:\Program Files\Spyware Doctor\pctsTray.exe”
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [TOSCDSPD] C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU…\Run: [jhjbklmj] C:\WINDOWS\system32\sjurcpwl.exe
O4 - HKCU…\Run: [H/PC Connection Agent] “C:\Program Files\Microsoft ActiveSync\wcescomm.exe”
O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O10 - Unknown file in Winsock LSP: syswvnt.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O21 - SSODL: mgsvflkw - {829B88C2-57D7-4DBC-A229-77695C16A872} - C:\WINDOWS\mgsvflkw.dll
O21 - SSODL: qdnkewfa - {C2F35B7A-1119-4CB0-A9F5-00C5EA2452CC} - C:\WINDOWS\qdnkewfa.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Norton Internet Security\comHost.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Usługa Auto-Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Usługa Norton Protection Center (NSCService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\WINDOWS\system32\TODDSrv.exe
O24 - Desktop Component 0: Privacy Protection - (no file)
–
End of file - 10545 bytes
Poniższe wpisy zafixuj w HijackThis , czyli zaznacz ptaszkiem wpisy i kliknij na Fix Checked …
Pobierz comboFix’a 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript.txt
Przeciągnij i opuść plik CFScript.txt na plik ComboFix.exe (czyli ikonke CFScript.txt na ikonke ComboFix.exe)
Nastąpi usuwanie , po tym ComboFix wygeneruje log który wklej na wklej.org a w poście podaj tylko link .
Ps. Logi wklejaj na http://www.wklej.org
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\system32\pxjfmrbi.dll
C:\WINDOWS\system32\crytukqs.ini
WINDOWS\syswvmail.dll
WINDOWS\syswvwin.dll
C:\WINDOWS\syswvnt.dll
C:\WINDOWS\syswvh.dll
C:\WINDOWS\sysninit.dll
C:\WINDOWS\loaddll.dll
C:\WINDOWS\loaddll.exe
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
File::
C:\WINDOWS\syswvmail.dll
C:\WINDOWS\syswvwin.dll
C:\WINDOWS\syswvnt.dll
C:\WINDOWS\syswvh.dll
C:\WINDOWS\sysninit.dll
C:\WINDOWS\loaddll.dll
C:\WINDOWS\loaddll.exe
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: \Qoobox
Log wyglada na czysty
Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
Wyłącz i włącz przywracanie systemu na wszystkich dyskach 
http://support.microsoft.com/kb/310405/pl .
I skasuj ten program pogrubiony na czerwono : F:\instalki\antyvir\ winvestigator.exe.
, opróżnij kosz 
i usuń backups z HijackThis C:\Program Files\Trend Micro\HijackThis\backups(wszystki pliki z folderu backups)
Po za tym to wszystko 