wania89
7 Luty 2009 09:05
#1
Witam i proszę o pomoc.
Komputer w trybie normalnym po włączeniu nie dochodzi do logowania, wyłącza monitor i śpi
ComboFix:
ComboFix 09-02-06.02 - uzytkownik1 2009-02-07 9:58:18.3 - NTFSx86 NETWORK Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1023.703 [GMT 1:00] Uruchomiony z: c:\documents and settings\uzytkownik1\Pulpit\ComboFix.exe AV: ESET Smart Security 3.0 *On-access scanning enabled* (Outdated) FW: Zapora osobista *disabled* . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf C:\MS32DLL.dll.vbs c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013 c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\xop32.exe c:\windows\MS32DLL.dll.vbs D:\Autorun.inf D:\MS32DLL.dll.vbs . ((((((((((((((((((((((((( Pliki utworzone od 2009-01-07 do 2009-02-07 ))))))))))))))))))))))))))))))) . Nie utworzono żadnych nowych plików w tym okresie . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-07 08:46 --------- d-----w c:\program files\cFosSpeed 2009-02-02 05:32 --------- d-----w c:\documents and settings\uzytkownik1\Dane aplikacji\uTorrent 2009-02-01 21:47 --------- d-----w c:\documents and settings\uzytkownik1\Dane aplikacji\Tlen.pl 2009-01-16 18:43 --------- d-----w c:\program files\AIMP2 2009-01-06 10:40 --------- d-----w c:\program files\EA Sports 2009-01-05 21:33 --------- d-----w c:\documents and settings\uzytkownik1\Dane aplikacji\Creative 2009-01-05 21:31 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Creative 2009-01-05 21:28 --------- d–h--w c:\program files\InstallShield Installation Information 2009-01-05 21:27 --------- d-----w c:\program files\Creative 2008-12-30 12:13 28,140,808 ----a-w c:\windows\system32\xa8395031.exe 2008-12-30 12:13 28,140,808 ----a-w c:\windows\system32\xa8391625.exe 2008-12-30 12:11 28,140,808 ----a-w c:\windows\system32\xa8307781.exe 2008-12-30 12:11 28,140,808 ----a-w c:\windows\system32\xa8306390.exe 2008-12-30 12:11 28,140,808 ----a-w c:\windows\system32\xa8299296.exe 2008-12-30 12:11 28,140,808 ----a-w c:\windows\system32\xa8296765.exe 2008-12-30 12:11 176,128 ----a-w c:\windows\system32\xwr56597.dll 2008-12-30 12:11 176,128 ----a-w c:\windows\system32\wr56597.dll 2008-12-30 12:06 31,800 ----a-w c:\windows\system32\xa7977640.exe 2008-12-30 12:06 31,800 ----a-w c:\windows\system32\xa7977375.exe 2008-12-30 12:06 176,128 ----a-w c:\windows\system32\wr33588.dll 2008-12-30 12:04 --------- d-----w c:\documents and settings\uzytkownik1\Dane aplikacji\Sports Interactive 2008-12-30 10:38 --------- d—a-w c:\documents and settings\All Users\Dane aplikacji\Sports Interactive 2008-12-29 10:24 984,859,358 ----a-w c:\program files\Football Manager 2009.7z 2008-12-13 23:04 --------- d-----w c:\documents and settings\uzytkownik1\Dane aplikacji\gtk-2.0 2008-12-13 22:54 --------- d-----w c:\program files\Avidemux 2.4 2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys 2008-12-08 13:19 --------- d-----w c:\documents and settings\uzytkownik1\Dane aplikacji\avidemux 2008-12-08 13:16 --------- d-----w c:\program files\Xvid 2008-12-08 13:16 --------- d-----w c:\program files\Gabest 2008-12-08 13:16 --------- d-----w c:\program files\AviSynth 2.5 2008-12-08 13:16 --------- d-----w c:\program files\AVI ReComp 2008-12-08 13:16 --------- d-----w c:\documents and settings\uzytkownik1\Dane aplikacji\AVI ReComp 2008-12-08 13:14 --------- d-----w c:\program files\KC Softwares 2008-12-07 20:41 --------- d-----w c:\documents and settings\uzytkownik1\Dane aplikacji\Winamp 2008-12-07 20:29 --------- d-----w c:\program files\Winamp 2008-12-07 13:03 --------- d-----w c:\documents and settings\uzytkownik1\Dane aplikacji\LimeWire 2008-12-06 14:06 86,016 ----a-w c:\windows\system32\OpenAL32.dll 2008-12-06 14:06 262,144 ----a-w c:\windows\system32\wrap_oal.dll 2008-11-25 20:12 48,396 ----a-w c:\windows\UninstVeetleTVPlayer.exe 2008-09-05 12:35 262,144 ----a-w c:\program files\Uninstall Ask Toolbar.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2004-08-03 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2007-11-12 8523776] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] “msacm.avis”= ff_acm.acm [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\iexplore.exe] “Debugger”=c:\windows\system32\ropfnqz.exe [HKLM~\startupfolder\C:^Documents and Settings^Michał^Menu Start^Programy^Autostart^hamachi.lnk] path=c:\documents and settings\Michał\Menu Start\Programy\Autostart\hamachi.lnk backup=c:\windows\pss\hamachi.lnkStartup [HKLM~\startupfolder\C:^Documents and Settings^uzytkownik1^Menu Start^Programy^Autostart^hamachi.lnk] path=c:\documents and settings\uzytkownik1\Menu Start\Programy\Autostart\hamachi.lnk backup=c:\windows\pss\hamachi.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load] ??? [?] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run] ??? [?] HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C: HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\WINDOWS HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\windows\system32 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] c:\windows\system32\dumprep 0 -k [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BrMfcWnd] --------- 2007-03-23 13:14 663552 c:\program files\Brother\Brmfcmon\BrMfcWnd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\c:\windows\system32\V0420Cvw.dll] -ra------ 2007-05-14 02:00 262144 c:\windows\system32\V0420CVW.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Creative Live! Cam Manager] --------- 2007-06-07 14:01 155648 c:\program files\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 2004-08-03 23:44 15360 c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2006-11-12 11:48 157592 c:\program files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] --a------ 2007-11-14 11:54 2131392 c:\program files\Gadu-Gadu\gg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-10-13 17:24 1694208 c:\program files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mssadv.exe] --a------ 2007-11-12 06:51 8523776 c:\windows\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] --a------ 2007-11-12 06:51 8523776 c:\windows\system32\nvcpl.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] --a------ 2007-11-12 06:51 81920 c:\windows\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-11-04 10:30 413696 c:\program files\QuickTime Alternative\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] -ra------ 2008-08-12 17:19 21741864 c:\program files\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snp2std] --a------ 2007-05-10 15:58 344064 c:\windows\vsnp2std.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2007-12-14 02:42 144784 c:\program files\Java\jre1.6.0_04\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tsnp2std] --a------ 2007-05-12 10:19 270336 c:\windows\tsnp2std.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\V0420Mon.exe] -ra------ 2007-04-30 02:00 32768 c:\windows\V0420Mon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] --a------ 2008-09-12 17:45 36352 c:\program files\Winamp\winampa.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager] --a------ 2007-08-30 16:43 4670704 c:\program files\Yahoo!\Messenger\YahooMessenger.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] -r------- 2005-05-03 11:43 69632 c:\windows\Alcmtr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] --a------ 2007-11-12 06:51 1626112 c:\windows\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] -r------- 2006-07-21 09:56 16261632 c:\windows\RTHDCPL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] -r------- 2006-05-16 11:04 2879488 c:\windows\SkyTel.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] “AresChatServer”=3 (0x3) “idsvc”=3 (0x3) [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusOverride”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “c:\Program Files\Gadu-Gadu\gg.exe”= “%windir%\Network Diagnostic\xpnetdiag.exe”= “c:\Program Files\SopCast\adv\SopAdver.exe”= “c:\Program Files\SopCast\SopCast.exe”= “c:\totalcmd\TOTALCMD.EXE”= “c:\Program Files\Graphisoft\ArchiCAD 11\ArchiCAD.exe”= “c:\apache\Apache.exe”= “c:\Program Files\Mozilla Firefox\firefox.exe”= “c:\Program Files\Yahoo!\Messenger\YServer.exe”= “c:\Program Files\Yahoo!\Messenger\YahooMessenger.exe”= “c:\Program Files\Autodesk\Backburner\monitor.exe”= “c:\Program Files\Autodesk\Backburner\manager.exe”= “c:\Program Files\Autodesk\Backburner\server.exe”= “c:\Documents and Settings\uzytkownik1\Program Files\uTorrent\uTorrent.exe”= “c:\Program Files\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe”= “c:\Program Files\Messenger\msmsgs.exe”= “d:\Michał\Gry\AOE II\age2_x1.exe”= “d:\Michał\Gry\AOE II\empires2.exe”= “c:\WINDOWS\system32\dplaysvr.exe”= “c:\Program Files\LimeWire\LimeWire.exe”= “c:\Program Files\Tlen.pl\tlen.exe”= “c:\Program Files\Hamachi\hamachi.exe”= “c:\Program Files\Bonjour\mDNSResponder.exe”= “c:\Program Files\Skype\Phone\Skype.exe”= S2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2008-03-13 472320] S2 mi-raysat_VIZ2008_32;mental ray 3.5 Satellite for Autodesk VIZ 2008;“c:\program files\Autodesk\VIZ2008\mentalray\satellite\raysat_VIZ2008_32server.exe” --> c:\program files\Autodesk\VIZ2008\mentalray\satellite\raysat_VIZ2008_32server.exe [?] S2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336] S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};??\c:\windows\TEMP\47D.tmp --> c:\windows\TEMP\47D.tmp [?] S3 V0420VID;Live! Cam Vista IM (VF0420);c:\windows\system32\drivers\V0420Vid.sys [2009-01-05 99648] S3 ZDCndis5;ZDCndis5 Protocol Driver;??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?] S4 PHPGeekUtil;PHPGeekUtil;c:\apache\Apache.exe [2002-01-25 20480] . Zawartość folderu ‘Zaplanowane zadania’ 2008-12-06 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34] . - - - - USUNIĘTO PUSTE WPISY - - - - MSConfigStartUp-MS32DLL - c:\windows\MS32DLL.dll.vbs . ------- Skan uzupełniający ------- . FF - ProfilePath - c:\documents and settings\uzytkownik1\Dane aplikacji\Mozilla\Firefox\Profiles\3b46d1ct.default\ FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/sli … ie7&query= FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/sli … pab&query= FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll FF - plugin: c:\program files\Veetle\plugins\npVeetle.dll FF - plugin: c:\program files\Veetle\VLC\npvlc.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-07 10:01:18 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services{DEF85C80-216A-43ab-AF70-1665EDBE2780}] “ImagePath”="??\c:\windows\TEMP\47D.tmp" . Czas ukończenia: 2009-02-07 10:03:36 ComboFix-quarantined-files.txt 2009-02-07 09:03:35 ComboFix2.txt 2008-12-09 20:36:31 Przed: 1 395 847 168 bajtów wolnych Po: 1,531,469,824 bajtów wolnych 209 — E O F — 2009-01-15 07:25:03
HijackThis:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:56:39, on 2009-02-07 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Czyszczenie Komputera\HijackThis v2.0.2\HijackThis.exe O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: mental ray 3.5 Satellite for Autodesk VIZ 2008 (mi-raysat_VIZ2008_32) - Unknown owner - C:\Program Files\Autodesk\VIZ2008\mentalray\satellite\raysat_VIZ2008_32server.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe – End of file - 1558 bytes
huber2t
7 Luty 2009 09:18
#2
Do wyleczenia pendrive z wirusów użyj tych programów
Wklej do notatnika:
File::
c:\windows\system32\xa8395031.exe
c:\windows\system32\xa8391625.exe
c:\windows\system32\xa8307781.exe
c:\windows\system32\xa8306390.exe
c:\windows\system32\xa8299296.exe
c:\windows\system32\xa8296765.exe
c:\windows\system32\xwr56597.dll
c:\windows\system32\wr56597.dll
c:\windows\system32\xa7977640.exe
c:\windows\system32\xa7977375.exe
c:\windows\system32\wr33588.dll
c:\windows\system32\ropfnqz.exe
Driver::
ZDCndis5
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\iexplore.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Run]
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
system
7 Luty 2009 10:52
#3
W logu widoczny jeszcze rootkit MBR
Użyj MBR.exe
Następnie wykonaj pełny (nie szybki) skan przez Dr.WEB CureIt!
Na koniec wklej do Notatnika:
Folder::
C:\WINDOWS\TEMP
Driver::
{DEF85C80-216A-43ab-AF70-1665EDBE2780}
Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.
wania89
7 Luty 2009 11:42
#4
Problem na chwile został usunięty, ale powrócił po jakiś 3 godzinach…
http://wklej.eu/index.php?id=d11e9eb064
– Dodane 07.02.2009 (So) 12:42 –
Problem na chwile został usunięty, ale powrócił po jakiś 3 godzinach…
http://wklej.eu/index.php?id=d11e9eb064
djarta
7 Luty 2009 11:49
#5
Zrób to, co napisał @ Barnaba .
============
K.
wania89
7 Luty 2009 12:07
#6
Wykonaj czyszczenie MBR i daj nowy log po czyszczeniu
Pełna instrukcja tutaj http://www.searchengines.pl/Kolekcja-na … 936.html#1
wania89
7 Luty 2009 13:42
#8
Z 10 razy próbowałem zrobić to z MBR tak jak jest napisane, ale z tym -f efekt jest taki sam jak po zwykłym kliknięciu, tylko że takiego samego loga mam wyświetlanego pod konsolą - tak jakby nie widziało tego parametru…Bardzo wię proszę o ponowne sprawdzenie loga, może dalej jest tam jakiś blokujący syf? I czym może być spowodowany ten problem z MBR.exe? Z góry dzięki i przepraszam za kłopot…
http://wklej.eu/index.php?id=cc0c5d504b
Jeśli zrobiłeś wszystko zgodnie z instrukcją i nic to nie dało to Przeskanuj system Dr.WEB CureIt! Barnaba ,
Następnie
Wszystko o konsoli tutaj http://www.searchengines.pl/Konsola-Odz … 14270.html
system
7 Luty 2009 14:26
#10
Chyba instrukcji nie przeczytałeś dokładnie, chociaż była linkowana 2 razy
W celu wykonania czyszczenia MBR należy zastartować do trybu awaryjnego z obsługą linii komend, a w linii komend wpisać polecenie C:\mbr.exe -f (spacja między mbr.exe a -f) i ENTER. C:\Documents and settings\Administrator>C:\mbr.exe -f Restartujemy komputer już normalnie. Uruchamiamy narzędzie mbr.exe ponownie z dwukliku, by uzyskać kolejny log potwierdzający naprawę.
Brak loga z mbr.exe, chyba był użyty Dr.WEB CureIt! i on mógł usunąć rootkita, bo w logu ComboFix go nie widać.
wania89
9 Luty 2009 22:42
#11
Powiem szczerze że jestem załamany totalnie…problem powraca nawet po reinstalacji systemu
Powinno być widać czarne pasy przez środek ekranu i bardzo kiepską grafikę, bardzo duże ikony. Log z Combofix poniżej, z góry dzięki za pomoc…
http://wklej.org/id/50901/
Ps. W tej chwili zniknęły mi w trybie awaryjnym pasy i lekko poprawiła się grafika - tak sama z siebie po prostu - to przed zrobieniem loga.
– Dodane 10.02.2009 (Wt) 8:31 –
Byłbym wdzięczny jeśli bym sie chociaż dowiedział jak się nazywa ten syf, bo przynajmniej mógłbym użyć google i poszukać analogicznych przypadków…Pewne jest że to nie jest wina tego że syfa znowu czymś zainstalowałem, bo po trzecim reinstalu z kolei i zostawieniu komputera w bezczynności zaraz po nim po jakimś czasie wirus wrócił i swoje zrobił…Więc z pewnością siedzi na dysku D (nie ma tam żadnych exe), teraz chciałbym się po prostu dowiedzieć czy muszę kasować wszystkie dane czy da się jakoś tego uniknąć;) Z góry dzięki ogromne za pomoc
Nie bardzo wiem nawet jak to ugryźć, w trybie awaryjnym mam przez środek ekranu przerywane czarne linie, dokładnie 36, równo podzielonych po cztery blisko siebie 
Daję logi z ComboFix, HijackThis - oba oczywiście robione pod trybem awaryjnym, z góry dzięki za pomoc:
Być może dlatego, że pewne dane zostały zachowane na innej partycji, jednak są to głównie pliki ze zdjęciami artystycznymi i nie mogą zostać one skasowane…Poza tym zaraz po reinstalacji przeskanowałem dysk (w tym przypadku “D:”) programem antywirusowym i nic nie wykazał…Ogólnie wszystko zaczyna się od tego że po przy poprawnym stanie działania komputera wirus (?) zaczyna zmieniać wszelkiego rodzaju kolory, zamiast białego tła stron w firefox pojawiają się dziwne kolory, napis “start” się rozmazuje, znikają ikony i pojawiają się na ich miejscu czarne plamy, również zmienia się wygląd kursora i po pewnym momencie wyłącza mi sie monitor. Po resecie przy ładowaniu się systemu już widać dziwne zmiany graficzne (paski, kropki) na ikonce ładowania “Microsoft Windows”. Następnie zamiast pojawienia się okna logowania “wyłącza się” monitor - (pojawia się na środku “power saving mode” itd). Trudno mi powiedzieć czy u Was poniższy wygląd mojego pulpitu w trybie awaryjnym będzie taki jak u mnie, bo nie wiem czy PrintScreen wywoła porządanym efekt, w każdym razie zrobiłem zrzut ekranu i umieściłem go poniżej:
