Avgwdsvc problem

Dla specjalistów Bezpieczeństwo
#1

Witam !

Mam problem, a mianowicie, odinstalowalem wczesniej antywirusa avg free edition 8.5 i teraz gdy chce go znow zainstalowac, pisze : trwa uruchamianie usługi avgwdsvc … nie powiodlo sie czy cos takiego, internet mi zwolnil, prosze o przeanalizowanie loga z hijackthisa :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:12:55, on 2009-10-10

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Documents and Settings\Kuba\bacxqyp.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE

C:\WINDOWS\system32\FsUsbExService.Exe

C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

I:\Program Files\Mouse Driver\KMWDSrv.exe

C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

I:\Program Files\Alcohol 120%\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\Program Files\NVIDIA Corporation\System Update\UpdateCenterService.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

I:\Program Files\Mouse Driver\StartAutorun.exe

C:\WINDOWS\system32\RUNDLL32.EXE

I:\Program Files\Mouse Driver\KMConfig.exe

I:\Program Files\uTorrent\uTorrent .exe

I:\Program Files\Mouse Driver\KMProcess.exe

C:\WINDOWS\system32\ctfmon .exe

C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe

C:\DOCUME~1\Kuba\USTAWI~1\Temp\ctv112.exe

C:\Program Files\Java\jre6\bin\jqsnotify.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

I:\Program Files\RocketDock\RocketDock.exe

I:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Java\jre6\bin\jqsnotify.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

I:\Program Files\Hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = wyborcza.pl/0,0.html?p=020

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Kuba\bacxqyp.exe \s

O2 - BHO: IEPlus - {045E075D-9C55-42F5-81C2-67D4A26F39AC} - I:\Program Files\IEPlus\IEPlus.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - I:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - I:\Program Files\AVG AntiVirus\avgssie.dll (file missing)

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll

O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - I:\Program Files\Expressivo Demo\integr\ih-iexplorer\IH_iexplorer.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - I:\PROGRA~1\AVGANT~1\AVGTOO~1.DLL (file missing)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Kuba\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll

O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - I:\Program Files\Expressivo Demo\integr\ih-iexplorer\IH_iexplorer.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - I:\PROGRA~1\AVGANT~1\AVGTOO~1.DLL (file missing)

O4 - HKLM\..\Run: [DrvIcon] I:\Program Files\Vista Drive Icon\DrvIcon .exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [KMCONFIG] I:\Program Files\Mouse Driver\StartAutorun.exe KMConfig.exe

O4 - HKLM\..\Run: [urbkl] C:\WINDOWS\system32\urbkl.exe \u

O4 - HKLM\..\Run: [WinPatrol] I:\Program Files\WinPatrol\winpatrol.exe -expressboot

O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [RocketDock] "I:\Program Files\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [uTorrent] "I:\Program Files\uTorrent\uTorrent .exe"

O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ViGlance] C:\Program Files\ViGlance\ViGlance.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Stardock ObjectDock.lnk = I:\Program Files\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: Block All Images from the Site by IEPlus - ieplus:blockAllImgs.htm

O8 - Extra context menu item: Block the Image by IEPlus - ieplus:blockImg.htm

O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://I:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://I:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Pobierz za pomocą BitComet - res://I:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: Remove Blocking of all Images from the Site by IEPlus - ieplus:passAllImgs.htm

O8 - Extra context menu item: Remove Blocking of the Image by IEPlus - ieplus:passImg.htm

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)

O9 - Extra button: IEPlus - {5DCA74AE-D95E-425E-8F00-269575536490} - I:\Program Files\IEPlus\IEPlus.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://I:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll/206 (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\wwvhwjutvmwf.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wwvhwjutvmwf.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - I:\Program Files\AVG AntiVirus\avgpp.dll (file missing)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O19 - User stylesheet: C:\Program Files\Internet Explorer\Blokady\Blokada Śledzika.css

O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE

O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe

O23 - Service: Inkjet Printer/Scanner Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - I:\Program Files\Mouse Driver\KMWDSrv.exe

O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - C:\WINDOWS\

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: Update Center Service (UpdateCenterService) - NVIDIA - C:\Program Files\NVIDIA Corporation\System Update\UpdateCenterService.exe


--

End of file - 9674 bytes
#2

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Zastosuj AVG Remover.

Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )

Pokaż logi OTL, GMER oraz SREng.

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj.

#3

log z OTL - http://wklej.to/lgqh

gdy odpaliłem GMERa to komp mi sie zrestartowal i wyskoczyl komunikat, ze system windows odzyskal sprawnosc po powaznym bledzie :frowning:

log z SREng - http://wklej.to/NWcC

#4

Pobierz Combofix i uruchom.

Pokaż log.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

#5

gdy wlanczam combofix wyskakuje maly pasek ladowania, a gdy sie zaladuje to wciskam tak i wyskakuje mi to i nic sie nie dzieje :

http://www.fotosik.pl/pokaz_obrazek/490 … ae24d.html

#6

Spróbuj go pobrać na nowo i zapisać na dysku z losową nazwą z rozszerzeniem .com

#7

dalej to samo :frowning:

#8

Uruchom Combofixa w trybie awaryjnym (klikasz F8 przed pojawieniem się paska ładowania Windowsa i wybierasz Tryb awaryjny z obsługą sieci).

#9

a nic sie wtedy nie stanie, bo sie troche boje ?

#10

W trybie awaryjnym nic nie jest uruchamiane poza podstawowymi procesami i sterownikami.

http://www.poradykomputerowe.pl/awarie_ … _-639.html

To pozwoli wykluczyć procesy, które prawdopodobnie blokują Combofixa.

#11

to samo, nawet w trybie awaryjnym :cry:

PS. Udaje mi się dopiero, gdy odłączę internet, zainstalować Konsolę Odzyskiwania systemu Windows ? (jak tak to zrobię to ręcznie, bo automatycznie nie mogę)

#12

Instalacja Konsoli Odzyskiwania nie jest konieczna, gdyż nie wygląda to na infekcję na .exe czy coś podobnego.

#13

zrobione !

log nie powstał, gdyż podczas skanowania komputer się zrestartował i znów wyskoczył komunikat, że system windows odzyskał sprawność po poważnym błędzie

oto co powstało mi na dysku c podczas kombinowania z tym combofixem :

http://www.fotosik.pl/pokaz_obrazek/c0a … c766c.html

no i co robić ?