Nie odpala się pulpit :(

konripl · 4 Maj 2009 11:33

Witam,

nie odpala mi sie system. widzę tylko tapete pulpitu :(. System działa tylko w trybie awaryjnym. Czy może ktoś pomóc?

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:27:42, on 2009-05-04 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE c:\program Files\ThunMail\testabd.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\reader_s.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\3361\SVCHOST.exe C:\WINDOWS\system32\w.exe C:\WINDOWS\system32\dncyool64.sys C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\TEMP\BNB.tmp C:\WINDOWS\System32\svchost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll O4 - HKLM…\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM…\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM…\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM…\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM…\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe O4 - HKLM…\Run: [svchost.exe] “C:\WINDOWS\system32\3361\SVCHOST.exe” O4 - HKLM…\RunOnce: [svchost.exe] “C:\WINDOWS\system32\3361\SVCHOST.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll O20 - AppInit_DLLs: c:\progra~1\ThunMail\testabd.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Dhcp server (DhcpSrv) - Unknown owner - C:\WINDOWS\dhcp\svchost.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe O23 - Service: sopidkc Service (sopidkc) - 5.232.121.233 - C:\WINDOWS\system32\sopidkc.exe O23 - Service: USBest Service Zero (UTSCSI) - Unknown owner - C:\WINDOWS\system32\UTSCSI.EXE – End of file - 5064 bytes

ciemnowidz · 4 Maj 2009 11:39

Możliwe najgorsze. Pobierz ComboFix i uruchom

viewtopic.php?p=1170959#p1170959

Log z niego wklej na www.wklej.org a tutaj link.

Uruchom jak poprzednio - w awaryjnym.

konripl · 4 Maj 2009 11:54

Combofix nie odpala się w trybie awaryjnym (dostaje informację ze najprawdopodobniej jest wirus :().

skrzek · 4 Maj 2009 11:54

możesz też spróbować doraźnie uruchomić explorera w trybie normalnym

alt+ctrl+del => nowe zadanie => c:\windows\explorer.exe

a później dalej walczyć

ciemnowidz · 4 Maj 2009 12:03

Wygląda na wirusa czepiajacego się exe. Możesz niby zmienić mu rozszerzenie ale chyba na niewiele się w tym przypadku zda.

Pobierasz na zdrowym kompie i wypalasz na płycie

http://dobreprogramy.pl/index.php?dz=2& … k+8.8.1.29

Bootujesz z tej płyty i skanujesz wszystko dokładnie i usuwasz co znajdzie. Skanujesz tyle razy aż nic nie znajdzie.

Robisz instalację nakładkową (bez utraty danych) Windows (odłącz kompa od sieci). Po instalacji systemu wyłączasz i włączasz przywracanie systemu. O wszelkich exe z zainfekowanego dysku zapomnij. Programy podmieniasz świeżymi kopiami.

deFco247 · 4 Maj 2009 12:41

Bardzo możliwe, że trafiłeś na Viruta albo Sality lub podobne (to są takie najgorsze wirusy). :boje:

Zrób dokładnie to co radzi ciemnowidz , tutaj parę instrukcji, jakby co:

Aby ustawić komputer na uruchamianie z płytki,wejdź do BIOSu i wyszukaj opcję First Boot Device i zmień ją na CD/DVD ,

po skanowaniu antywirusem ustaw tę opcję w BIOSie z powrotem na HDD.

Jak zrobić instalację nakładkową Windows.

Wyłączanie i włączanie Przywracania Systemu.

Po skanowaniu antywirusem z płytki i ewentualnej instalacji nakładkowej dla pewności daj log z Combofix.

Dopiero po poście Leona$ zauważyłem log z HJT. #-o

Takie wpisy wskazują jednoznacznie na Viruta.

Leon1 · 4 Maj 2009 16:42

zrób w trybie awaryjnym

usuń HijackThisem >> Fix checked

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń zaznaczone - pokaż log