Asus F5 masa wirusy chronione przed kasacja

szczurex · 8 Październik 2009 18:40

Witam mam problem z komputerem (laptopem) , a wiec Avast wyskanowuje za każdym uruchomieniem Rootkita, nkkroabczq’a(zakraplacz) i nie da się ich usunąć wyskakuje błąd ze Avast nie obsługuje danego archiwum albo go poprostu nie kasuje i przy ponowny uruchomieniu nadal wyskakuje ,a od pewnego czasu nie mogę wejść na żadną partycje czy jest inne wyjście oprócz formatu komputera ??

O to logi HiThisJack’a :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:32:42, on 2009-10-08

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

E:\Programy\Avast\aswUpdSv.exe

C:\Program Files\ATKGFNEX\GFNEXSrv.exe

E:\Programy\Avast\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\FastNetSrv.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\StkCSrv.exe

E:\Programy\Avast\ashMaiSv.exe

E:\Programy\Avast\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\ATK Hotkey\Hcontrol.exe

C:\Program Files\ATKOSD2\ATKOSD2.exe

C:\Program Files\ATK Hotkey\ATKOSD.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\ATK Hotkey\KBFiltr.exe

C:\Program Files\ATK Hotkey\WDC.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe

C:\Program Files\Wireless Console 2\wcourier.exe

C:\Program Files\Atheros\ACU.exe

C:\WINDOWS\system32\ASUSTPE.exe

C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe

C:\Program Files\ASUS\Splendid\ACMON.exe

C:\WINDOWS\ASScrPro.exe

E:\Programy\Avast\ashDisp.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ACEngSvr.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\Documents and Settings\Dio\Dane aplikacji\WindowsLive.exe

C:\WINDOWS\system32\restorer32_a.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ASUS\Asus MultiFrame\MultiFrame.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Dio\restorer32_a.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\SAGEM WiFi manager\WLANUTL.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\DOCUME~1\Dio\USTAWI~1\Temp\BN55.tmp

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

E:\Programy\FireFox\firefox.exe

E:\Programy\Avast\setup\avast.setup

E:\Programy\HJ\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [ATKHOTKEY] "C:\Program Files\ATK Hotkey\Hcontrol.exe"

O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe

O4 - HKLM\..\Run: [Wireless Console 2] "C:\Program Files\Wireless Console 2\wcourier.exe"

O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui

O4 - HKLM\..\Run: [ASUSTPE] C:\WINDOWS\system32\ASUSTPE.exe

O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1

O4 - HKLM\..\Run: [ACMON] "C:\Program Files\ASUS\Splendid\ACMON.exe"

O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\WINDOWS\ASScrProlog.exe

O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\WINDOWS\ASScrPro.exe

O4 - HKLM\..\Run: [avast!] E:\Programy\Avast\ashDisp.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Windows Live] C:\Documents and Settings\Dio\Dane aplikacji\WindowsLive.exe

O4 - HKLM\..\Run: [restorer32_a] C:\WINDOWS\system32\restorer32_a.exe

O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [ter8m] RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MultiFrame] C:\Program Files\ASUS\Asus MultiFrame\MultiFrame.exe

O4 - HKCU\..\Run: [Windows Live] C:\Documents and Settings\Dio\Dane aplikacji\WindowsLive.exe

O4 - HKCU\..\Run: [Twain] C:\Documents and Settings\Dio\Dane aplikacji\Twain\Twain.exe

O4 - HKCU\..\Run: [ptidl] "C:\Documents and Settings\Dio\Dane aplikacji\ptidl\ptidl.exe" 61A847B5BBF7281132983A466188719AB689201522886B092CBD44BD8689220221DD3257

O4 - HKCU\..\Run: [restorer32_a] C:\Documents and Settings\Dio\restorer32_a.exe

O4 - HKCU\..\Run: [12CFG214-K641-24SF-N84P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1858\port88.exe

O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk = ?

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Usługa konfiguracji Atheros (ACS) - Atheros - C:\WINDOWS\system32\acs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Programy\Avast\aswUpdSv.exe

O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe

O23 - Service: avast! Antivirus - ALWIL Software - E:\Programy\Avast\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Programy\Avast\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - E:\Programy\Avast\ashWebSv.exe

O23 - Service: fastnetsrv Service (fastnetsrv) - Sigma Designs In - C:\WINDOWS\system32\FastNetSrv.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe

O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\WINDOWS\System32\StkCSrv.exe


--

End of file - 8604 bytes

sdar · 8 Październik 2009 18:55

szczurex , Proszę o zmianę tytułu na bardziej konkretny.

Użyj opcji

Pomocne może być zapoznanie się z TYMI informacjami.

deFco247 · 8 Październik 2009 18:56

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Niestety masz Viruta.

Wyłącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP.

Zastosuj szczepionkę FixVirut.com.

Pobierz DR WEB CureIt, kliknij na link do pobrania PPM -> Zapisz element docelowy jako -> zapisz jako typ wszystkie pliki pod nazwą 123.com.

Wykonaj pełny skan, lecz co się da, reszta do usunięcia.

Następnie pobierz Kaspersky Virus Removal Tool, również pełny skan, usuwa co znajdzie.

Po usuwaniu system się może nie uruchomić, w takim przypadku wykonaj instalację nakładkową Windows bez utraty danych.

Po ewentualnej instalacji wyłącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP.

Potem pokaż log z Combofix.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Po skanie Combofix ponownie wyłącz przywracanie systemu włączone przez Combofixa.

szczurex · 8 Październik 2009 19:22

Dzieki ale te linki które podałeś nie działają mi ;/ czy znasz inny sposób ewentualnie czy w ogóle da się coś zrobić z tym ?

deFco247 · 8 Październik 2009 19:27

Można by jeszcze popróbować z bootowalnej płytki antywirusowej:

Do ponownego postawienia systemu może być potrzebna płytka z systemem.

Pobierz i nagraj na płytkę na niezainfekowanym komputerze DR Web LiveCD.

Włóż płytkę do zainfekowanego komputera, zakładając, że wcześniej ustawiłeś w BIOS-ie na startowanie kompa z CD/DVD, więc po restarcie powinien się uruchomić się skaner.

Wykonujesz pełny skan, leczysz co się da, reszta do usunięcia.

Skanujesz tyle razy, aż skaner nic nie znajdzie.

Jeśli po usuwaniu system się nie uruchomi, wkładasz do komputera płytkę z systemem i wykonujesz instalację nakładkową Windows.

Po ewentualnej instalacji nakładkowej wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP lub Vista.

Wykonaj pełny skan DR WEB CureIt.

Jeśli skaner nic nie znajdzie, dla pewności podaj log z Combofix i wyłącz ponownie przywracanie systemu włączone przez Combofixa.