Agent VM.win32, horst ... - nie mogę usunąć - pomocy


(Adam76 76) #1

Witam!

Mam problem z trojanami Agent vm i różnymi Horstami.

Nijak nie mogę ich usunąć

Używam Avasta i ale nie posiadam żadnego firewalla ponieważ miałem Kerio i uruchamiał sie normalnie z systemem i wszystko było ok.

ale kiedy chciałem go uruchomić i podejrzec np jakim programom zezwoliłem na łaczenie sie z internetem komputer wieszał się i był brak jakiejkolwiek reakcji trzeba było zrobic ręcznie restart.

Ostatnio chciałem zainstalować sobie jakiegoś darmowego firewaala ( Outpust ) i wszystko by było ok gdyby komputer po ponownym rozruchu jakiego żąda program chciał się normalnie uruchomić.

Jednak po pokazaniu przesuwjącego się paska w Windows ( xp home - legtalny ) uruchamia się czarny ekran i strona logowania już nie wskakuje.

nie miem może jest za to odpowiedzialny jakiś wirus czy coś innego.

Po odinstalowaniu programu w trybie awaryjnym Windowsa wszystko wraca do normy.

wyczytałem na forum że można użyc Gmera lub Hijack This.

ale nie za bardzo wiem co dalej zrobić więc dołączam logi z tych programów.

hijack :

Logfile of HijackThis v1.99.1

Scan saved at 11:54:20, on 2006-10-04

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Unable to get Internet Explorer version!

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\inf\sessmgr.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE

C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe

C:\WINDOWS\Mixer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\MediaKey\OSD.EXE

C:\Program Files\MediaKey\Versato.exe

C:\Program Files\Mozilla Firefox\firefox.exe

H:\programy do rozruchu po formacie\gmer.exe

H:\programy do rozruchu po formacie\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://store.winamp.com/dr/v2/ec_MAIN. ... id=1241179

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F3 - REG:win.ini: run=

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)

O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [Nero DriveSpeed] C:\PROGRA~1\Ahead\NEROTO~1\DRIVES~1.EXE

O4 - HKLM..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r

O4 - HKLM..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [Versato] "C:\Program Files\MediaKey\MagicRun.exe"

O4 - HKCU..\Run: [Creative MediaSource Go] C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe /SYS

O4 - HKCU..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O17 - HKLM\System\CCS\Services\Tcpip..{0857B724-3690-4207-9FD1-5A4209690F4C}: NameServer = 213.241.79.37 195.114.181.130

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Menedżer sesji pomocy pulpitu zdalnego (RDSessMgr) - Unknown owner - C:\WINDOWS\inf\sessmgr.exe

Bardzo prosze o pomoc bo z komputerem dzieją się dziwne rzeczy oprócz wyskakujących co chwila powiadomieni Avasta o trojanach rozłącz się też internet ( mam Stały dostęp przez Adsl w Netii - net24 ).

Jesli bede musiał zrobić format zrobie to lecz chciałbym wiedziec czy mozna sie jakoś ustrzec na przyszłos przed tymi trojanami używają nadal Avasta i firewalla np. Kerio Lub Outposta.

Zawsze przez rok po formacie jest spokój a póżniej wszystko zaczyan sie od nowa.

Zgóry dziękuję za odpowiedz.

Z powazniem

Adam76-76


(Gutek) #2

wpisy usuń HJT a plik i folder w trybie awaryjnym ręcznie

Daj log z Silenta