Nagły wirus... pare blokad i komunikaty

Dla specjalistów Bezpieczeństwo
#1

Mam problem :twisted: siedziałem sobie normalnie na internecie kiedy na pasku sartu po prawej stronie pojawiła mi sie ikonka (czerwone kółeczko z X w srodku) i wsykoczył komunikat “Your computer is infected!” i tam dalej kontynuacja za duzo przepisywania a dymek pojawia sie na chwile…

Nastepnie znikła mi tapeta i zachwile pojawiłosie czarne tło gdzie pisało “Your computer is danger” ściągnąłem z internetu antivira i zaczałem skanowac zaczeły wyskakiwac wirusy niektóre usuwałem jednak niektóre okna sie zawieszały chcaiłem je pozamykac jednak sie nied ało wiec nacisnął “Ctrl + Alt + Del” i wyskoczyła wiadomosc “Menadżer zadań został wyłaczony przez administratora” ;/wkoncu jakos te wszytkie okna pozamykałem i znikła czarna tapeta ipojawiła sie biała cała biała (nie da sie jej zmienic na inną) i jechałem jeszce raz sakna i tak pare razy wkoncu usunałem chyba wiekszosc wirusów. Zrobiłem restarta jendak jest dalej ten sam problem nie da sie zrobic “Ctrl + Alt + Del” nie da sie tapety zmienic i dalej wysakuje ten dymek na dole co mam zrobić?? ;/

PS. sory za błędy pisałem na szybko…

#2

Na początek daj logi z Hijackthis i Combofix

Złączono Posta : 09.12.2007 (Nie) 20:54

#3

Logfile of HijackThis v1.99.1

Scan saved at 21:46:38, on 2007-12-09

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\WINDOWS\ALCMTR.EXE

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Windows\xpupdate.exe

C:\WINDOWS\ALCFDRTM.EXE

C:\Program Files\BraveSentry\BraveSentry.exe

C:\PROGRA~1\Mozilla Firefox\firefox.exe

C:\Documents and Settings\mati\Pulpit\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM…\Run: [skrót do strony właściwości High Definition Audio] HDAShCut.exe

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe”

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” /min

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU…\Run: [noskrnl] C:\WINDOWS\noskrnl.exe

O4 - HKCU…\Run: [brave-Sentry] C:\Program Files\BraveSentry\BraveSentry.exe

O4 - HKCU…\Run: [WinAble] C:\Program Files\WinAble\winable.exe

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: E404Helper - {3a96d8d9-a5e7-41e9-81bb-9dd428c756d2} - e404d.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Windows Driver Foundation - User-mode Driver Framework WudfSvcDnscache (WudfSvcDnscache) - Unknown owner - C:\WINDOWS\system32\adptifh.exe

O23 - Service: ZZZsvc_lich - Unknown owner - C:\lich.exe (file missing)

przy combofixie pojawia sie bład… ;/ "C:\Document&setings…\combofix.exe nie jest prawidłowąaplikacją systemu Win32

#4 
C:\WINDOWS\ALCMTR.EXE

C:\Windows\xpupdate.exe

C:\Program Files\BraveSentry\BraveSentry.exe

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU\..\Run: [Brave-Sentry] C:\Program Files\BraveSentry\BraveSentry.exe

O4 - HKCU\..\Run: [WinAble] C:\Program Files\WinAble\winable.exe

Zaznacz i daj fix. Przeskanuj kompa jakimś antywirusem np. Kaspersky, a następnie Spybotem. Sprawdź jeszcze czy możesz teraz Combofix uruchomić.

#5

ostatnie ostrzeżenie dashmen

Użyj SmitFraudFix wybierz opcji nr 2 , oczywiście w trybie awaryjnym i po tym - Daj log z ComboFix

#6

To mam to usunąc ??

C:\WINDOWS\ALCMTR.EXE

C:\Windows\xpupdate.exe

C:\Program Files\BraveSentry\BraveSentry.exe

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU…\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU…\Run: [brave-Sentry] C:\Program Files\BraveSentry\BraveSentry.exe

O4 - HKCU…\Run: [WinAble] C:\Program Files\WinAble\winable.exe

przejechałem to SmitFra0udFix ale niestety combofix dalej sie nie otwiera;/

chyba ze zrobiłem cos nie tak…

:?

Złączono Posta : 10.12.2007 (Pon) 16:00

Sorrry ze post pod postem :frowning:

ComboFix 07-12-10.2 - mati 2007-12-10 15:49:19.1 - NTFSx86
#7

Wklej do Notatnika:

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

#8 
ComboFix 07-12-10.2 - mati 2007-12-10 15:49:19.1 - NTFSx86
#9

Zrób to o co Ciebie prosiłem i daj nowy log z Combo