Blokuje avast i zawiesza windows

lowcasz · 13 Lipiec 2010 10:55

Mam problem z jakimś wirusem , czy mógłby ktoś zaznajomiony przejrzeć log hijack i udzielić, jakiś prad, wirusa nie mogę igdzie znaleźć, problem taki, jak w tytule windows chodzi przez pierwsze 2min., lub wiesza się już na autostarcie, nawet nie wyświetlając tray’a. Avast nie może ani się ponownie uruchomić, ani włączć ochrony rezydentnej, tak samo, jak nie ma mżliwości przeprowadzenia skanowania, nawet przy rozruchu.

Z góry dziękuję, za pomoc.

log:http://www.wklej.org/id/363901/

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:25:30, on 2010-07-13

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\FTRTSVC.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\InterBase\bin\ibguard.exe

C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\htpatch.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SiSUSBrg.exe

C:\WINDOWS\system32\RunDll32.exe

C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe

C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Documents and Settings\Danuta\Dane aplikacji\SystemProc\lsass.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Danuta\Pulpit\HiJackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O1 - Hosts: 217.96.35.130 auto.search.msn.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {D14641FA-445B-448E-9994-209F7AF15641} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - (no file)

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\Trust\WIRELE~1\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Trust\WIRELE~1\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [WhenUSave] "C:\PROGRA~1\Save\Save.exe"

O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Documents and Settings\Danuta\Dane aplikacji\SystemProc\lsass.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [^SetupICWDesktop] (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] (User 'Default user')

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {14DF37B4-B1AD-4BD4-A855-56930AF822FF} (SIGIIFAX Control) - https://www.giif.mofnet.gov.pl/giif/SIGIIFAX.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {37A49D66-2735-4BB9-8503-82BA5E2333D0} (MailCfg Control) - https://poczta.wp.pl/autoryzacja/mailcfg.ocx

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1248253650589

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://bezpieczenstwo.onet.pl/skaner/SkanerOnline.cab

O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe

O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Program Files\InterBase\bin\ibguard.exe

O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Program Files\InterBase\bin\ibserver.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O24 - Desktop Component 0: (no name) - http://www.tapety.g3.pl/albums/krajobrazy/gory/tapetki_gory_162.jpg


--

End of file - 6322 bytes

suchmen · 13 Lipiec 2010 12:50

Save.exe!! To jest jeden z wirusów jaki znalazłem na szybko/wzrokowo u Ciebie. Co do porad, to łatwo go usunąć jakimś programem antywirusowym (w zasadzie to nawet niemal każdym) ale jak to zrobić przed zawieszeniem się systemu? Tu już musi ktoś inny poradzić.

– Dodane 13 lip 2010, o 14:53 –

Na przyszłość polecam pakiet comodo internet security free, bo ma niezłego antywirusa pod względem wykrywalności (mimo, że o tym się nie pisze) i bardzo dobrą zaporę. Do tego polecam też pakiet malwarebytes antimalware 1.46 i skanować nim np. raz na 2 tygodnie kompa też.

lowcasz · 13 Lipiec 2010 12:55

Myślałem tak samo i już wcześniej usunąłem ten wpis, ale nie dało, to żadnych zauważalnych efektów, a potem odniosłem wrażenie, że jednak jakiś przydatny program może tego używać. Niestety nie jest to mój prywatny komputer, niewiem, co powinno w nim być, a co się pojawiło. Naprawdę będę bardzo wdzięczny za udaną pomoc.

Nie wiem, co jest w staniezałatwić ComboFix, a ostrzegają, żeby go nie używać, jeśli sie go nie zna, ma ktoś jakieś wskazówki?

Umpfh · 13 Lipiec 2010 12:59

Ale daj kompletne logi czyli z OTL i Gmer, poradniki jak je wykonać tutaj: http://forum.dobreprogramy.pl/otl-gmer-rsit-dds-inne-instrukcje-t370405.html