Ciągłe wylogowanie i restart

Dla specjalistów Bezpieczeństwo
#1

Mam problem z komputerem (WindowsXP). Zainfekowany jest wirusami. Mam zainstalowane programy Avira oraz Spybot. Po przeskanowaniu i usunięciu wisrusów tymi programami pracuje stabilnie aż do momentu wpięcia wtyczki do sieci internetowej. Jeżeli komuter połączony jest fizycznie z siecią internetową następują ciągłe wylogowywania i restarty, jeżeli wyjmę wtyczkę z sieci internet komputer pracuje stabilnie. Wczoraj zainstalowałem Hijack’a i wygenerowałem log (poniżej): Czy można temu zaradzić czy konieczne jest przeinstalowanie systetmu.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:42:35, on 2008-10-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

D:\Programy inne\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” /min

O4 - HKLM…\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU…\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [NBJ] “C:\Program Files\Ahead\Nero BackItUp\NBJ.exe”

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra ‘Tools’ menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: karina.dat

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

O21 - SSODL: kgAjBXB - {BC720DE8-16D8-A742-C79B-3850A7CF09C6} - C:\WINDOWS\system32\qicks.dll (file missing)

O23 - Service: Urządzenie alarmowe AlerterRemoteAccess AlerterRemoteAccessMSDTC (AlerterRemoteAccessMSDTC) - Unknown owner - .exe (file missing)

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard AntiVirServicelanmanworkstation (AntiVirServicelanmanworkstation) - Unknown owner - .exe (file missing)

O23 - Service: Aplikacja systemowa modelu COM+ COMSysAppPlugPlaySwPrv COMSysAppPlugPlaySwPrvRpcSsWmi (COMSysAppPlugPlaySwPrvRpcSsWmi) - Unknown owner - .exe (file missing)

O23 - Service: Program uruchamiający proces serwera DCOM DcomLaunchxmlprovSharedAccesslanmanworkstation (DcomLaunchxmlprovSharedAccesslanmanworkstation) - Unknown owner - .exe (file missing)

O23 - Service: Menedżer dysków logicznych dmserverLmHosts dmserverLmHostsdmserver (dmserverLmHostsdmserver) - Unknown owner - .exe (file missing)

O23 - Service: Pomoc i obsługa techniczna helpsvcsrserviceWmiApSrv (helpsvcsrserviceWmiApSrv) - Unknown owner - .exe (file missing)

O23 - Service: Distributed Transaction Coordinator MSDTCRDSessMgr (MSDTCRDSessMgr) - Unknown owner - .exe (file missing)

O23 - Service: Menedżer autopołączenia dostępu zdalnego RasAutoRDSessMgr RasAutoRDSessMgrEventSystemPlugPlayMSIServerSSDPSRVclr_optimization_v2.0.50727_32 RasAutoRDSessMgrEventSystemPlugPlayMSIServerSSDPSRVclr_optimization_v2.0.50727_32RpcSsSharedAccesslanmanworkstation (RasAutoRDSessMgrEventSystemPlugPlayMSIServerSSDPSRVclr_optimization_v2.0.50727_32RpcSsSharedAccesslanmanworkstation) - Unknown owner - .exe (file missing)

O23 - Service: Zdalne wywoływanie procedur (RPC) RpcSsSharedAccesslanmanworkstation (RpcSsSharedAccesslanmanworkstation) - Unknown owner - .exe (file missing)

O23 - Service: Zdalne wywoływanie procedur (RPC) RpcSsWmi (RpcSsWmi) - Unknown owner - .exe (file missing)

O23 - Service: Zapora połączenia internetowego / Udostępnianie połączenia internetowego SharedAccesslanmanworkstation SharedAccesslanmanworkstationEventSystemPlugPlay (SharedAccesslanmanworkstationEventSystemPlugPlay) - Unknown owner - .exe (file missing)

O23 - Service: Wykrywanie sprzętu powłoki ShellHWDetectionRpcLocator (ShellHWDetectionRpcLocator) - Unknown owner - .exe (file missing)

O23 - Service: Wykrywanie sprzętu powłoki ShellHWDetectionRpcLocator ShellHWDetectionRpcLocatorSharedAccess (ShellHWDetectionRpcLocatorSharedAccess) - Unknown owner - .exe (file missing)

O23 - Service: Aktualizacje automatyczne wuauservaspnet_state wuauservaspnet_stateERSvc (wuauservaspnet_stateERSvc) - Unknown owner - .exe (file missing)

End of file - 6699 bytes

#2

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix ale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka

#3

Wydaje się, że problem ustał. Poniżej wklejam link do loga z Comofixa

http://wklejto.pl/12348

Dziękuję za pomoc

#4

Polecimy automatem:

Proszę pobrać i użyć Malwarebytes’ Anti-Malware

Wciskamy Skanuj , wybieramy dyski do skanowania i Rozpoczynamy skanowanie , na końcu wciskamy Usuń zaznaczone jak będą i Ok  :wink: