Witam

Mam problem z komputerem. Przy starcie windowsa Anvira włącza się i po chwili wyłącza, potem nie da się jej uruchomić. Nie włączają się też inne programy. Komputera nie da się uruchomić w trybie awaryjnym, restartuje się.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:34:08, on 2008-04-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programy\ScrLock.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

C:\Programy\Unlocker\UnlockerAssistant.exe

C:\Program Files\Softick\PPP\Bin\PPPGate.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programy\FSCapture\FSCapture.exe

C:\Program Files\Palm\HOTSYNC.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll

O4 - HKLM…\Run: [scrLock] C:\Programy\ScrLock.exe

O4 - HKLM…\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM…\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [unlockerAssistant] “C:\Programy\Unlocker\UnlockerAssistant.exe”

O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” /min

O4 - HKLM…\Run: [softickPPP] “C:\Program Files\Softick\PPP\Bin\PPPGate.exe”

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [HuaWeiEVDO.exe] “C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe”

O4 - HKCU…\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)

O4 - Startup: FastStone Capture.lnk = C:\Programy\FSCapture\FSCapture.exe

O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE

O9 - Extra button: RedFish - konwertuj stronę - {10954C80-4F0F-11d3-B17C-00C0DFE39736}} - C:\Program Files\RedFish\RedFish.exe

O9 - Extra ‘Tools’ menuitem: RedFish - konwertuj stronę - {10954C80-4F0F-11d3-B17C-00C0DFE39736}} - C:\Program Files\RedFish\RedFish.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\SolidPdfService.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

–

End of file - 4396 bytes

Pozdrawiam

marmul

Zarówno ten powyższy wpis, jak i opisane objawy, wskazują jednoznacznie, że masz Rootkita BAGLE.

Czeka Cię ciężka przeprawa.

1. Napraw chwilowo Tryb Awaryjny:

2. Wejdź w ten Tryb z obsługą sieci (klawisz F-8 przed startem Systemu)

3. ściągnij —> Kaspersky Virus Removal Tool >>http://www.searchengines.pl/index.php?showtopic=18695&pid=457742

Uwaga: Od razu zapisz go pod inną nazwą (np. “koza”) !

Przeskanuj nim System - (skanowanie trwa od 5 godzin do kilkudziesięciu godzin).

Daj tu tylko górną część Raportu z niego (do napisu “Events”).

4. Ściągnij >>ComboFix

Uwaga: Od razu zapisz go pod inną nazwą (np. “cyrk”) !

Daj z niego log.

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi

marmul ,

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów w tym dziale, przeczytaj i zastosuj się do Tematu

Oto logi o które prosiliście

http://wklej.org/id/5613f753bd

http://wklej.org/id/f4124d4da1

to chyba też jest na temat

http://wklej.org/id/63f72895db

Wklej do Notatnika:

File::

H:\gy.cmd


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

http://www.brothersoft.com/prt-(perlovga-removal-tool)-60877.html - przeskanuj system.