Prosze o pomoc ;( ---> wirus , Antivirus 2009


(Konagundzia10) #1

,,Witam

Mam problem. Nie mogę odinstalować antivirusa 2009. System polecił mi,żebym go sciągnęła, więc tak zrobilam.Po zainstalowaniu wyskoczyło mi,że mam dużo wirusów, miedzy innymi trojany. Co chwile mi wyskakują jakieś błędy związane z tym antywirusem i komputer mi się wyłącza, tzn. pojawiają się napisy w języku angielskim na niebieskim tle[coś jak bios,tyle,ze nic nie mozna przestawic] potem wyskakuje taki obraz jakby się włączał komputer od nowa tyle,że z napisem "your antivirus 2009 copy ..."dalej nie pamiętam, wiem,że coś związane z ochroną. po czym wszystko wraca do normy, mam wszystko tak jak było.

W panelu sterowania w "dodaj usun programy" w ogole tego nie ma, a na dysku lokalnym C w program files jest ale nie moge tego usunac bo wyskakuje blad.

prosze o pomoc!'' ----> Pallyna

Mam taki sam problem tylko inne dane sie wyswietlaja w programie HijackThis a mianowicie ,, Moje informacje z tego programu

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:55:02, on 2010-01-16

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AhnRpta.exe

C:\WINDOWS\system32\LXSUPMON.EXE

C:\WINDOWS\system32\ldmgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Skype\Phone\Skype.exe

D:\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Antivirus 2009\av2009.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\ivona\UniSpiker-2.6\uni_spiker-2.6.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Skype\Plugin Manager\skypePM.exe

D:\opera\opera.exe

D:\gg\Gadu-Gadu\gg.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: &Research - {0B014B81-4E12-46F9-806F-55867AF8FD3C} - C:\WINDOWS\system32\winsystems.dll

O2 - BHO: UrlHelper Class - {6D023EBF-70B8-45A6-9ED5-556515FA0FE4} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - (no file)

O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BSMediaBar.dll

O4 - HKLM..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe

O4 - HKLM..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN

O4 - HKLM..\Run: [ldmgr] C:\WINDOWS\system32\ldmgr.exe

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "D:\adbeRdr812\Reader\Reader_sl.exe"

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM..\Run: [PCTAVApp] "C:\Program Files\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU..\Run: [Miro] C:\Program Files\Participatory Culture Foundation\Miro\Miro.exe

O4 - HKCU..\Run: [Picasa Media Detector] D:\Picasa2\PicasaMediaDetector.exe

O4 - HKCU..\Run: [ares] "C:\ares\Ares.exe" -h

O4 - HKCU..\Run: [kamsoft] C:\WINDOWS\system32\kamsoft.exe

O4 - HKCU..\Run: [vamsoft] C:\WINDOWS\system32\vamsoft.exe

O4 - HKCU..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKCU..\Run: [99544994084371265236991548813956] C:\Program Files\Antivirus 2009\av2009.exe

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: UniSpiker-2.6.lnk = ?

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program Files\Java\jre6\bin\jqs.exe (file missing)

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - C:\Program Files\PC Tools AntiVirus\PCTAVSvc.exe

--

End of file - 5704 bytes

Co mam zrobić ?? prosze o szybką pomoc ..


(Michaelp128) #2

Pobierz i uruchom Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.

Podaj log z Combofix. Instrukcja :arrow: viewtopic.php?f=16&t=36654

Logi dajesz na wklej.org lub wklej.eu a w poście Podajesz tylko link.


(Konagundzia10) #3

Malwarebytes' Anti-Malware:

http://www.wklej.eu/index.php?id=c568606f4c

Combofix:

http://www.wklej.eu/index.php?id=2c3a0d1db7

Coś jeszcze trzeba zrobić ? ?


(jessica) #4

Daję też do usuwania dwie usługi Avasta, bo chyba zmieniłeś Antivirusa na "PC Tools".

Wklej do Notatnika :

File::

C:\iqe68o.bat 

C:\uvsqfgwd.cmd 

C:\w98.com 

C:\gy.exe 

D:\j60osk9.cmd

D:\iqe68o.bat 

D:\uvsqfgwd.cmd 

D:\w98.com 

D:\gy.exe 

D:\j60osk9.cmd

c:\windows\system32\winsystems.dll.tmp 

c:\windows\isRS-000.tmp 

c:\windows\system32\nmdfgds1.dll 

c:\windows\AhnRpta.exe  

c:\windows\system32\nmdfgds0.dll

c:\windows\system32\vbsdfe1.dll

d:\gfqgq.cmd 

d:\nq0cq.cmd 

d:\rcukd.cmd 

d:\yannh.cmd 

d:\p1y2.cmd

d:\xih9.cmd 


Driver::

aswSP

aswFsBlk


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{42af0920-97d1-11dd-943f-00195bfe13be}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4b1aceb0-9a10-11dd-944a-00195bfe13be}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{611f5856-9d5a-11dd-9462-00195bfe13be}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{99b0f5b0-c066-11dc-bf9c-00195bfe13be}] 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{99b0f5b1-c066-11dc-bf9c-00195bfe13be}]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] 

"c:\WINDOWS\system32\wintime.exe"=-

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->cfscript10gm1.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log.

jessi


(Konagundzia10) #5

http://wklej.eu/index.php?id=be59d82cec


(huber2t) #6

Do wyleczenia pendrive z wirusów użyj tych programów

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\j60osk9.cmd

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(jessica) #7

Wykonaj jeszcze raz moje poprzednie zalecenie, bo się nie wykonało.

@ Huber2t - pliki infekcji "pendrivowej", które są na "C", trzeba także usuwać ze wszystkich innych partycji, choć ich nie widać w logu.

jessi


(Konagundzia10) #8

http://www.wklej.eu/index.php?id=ccb05eec38

-- Dodane 26.01.2009 (Pn) 15:38 --

http://www.wklej.eu/index.php?id=aa254a0ffb

-- Dodane 26.01.2009 (Pn) 16:53 --

Czy coś jeszcze mam zrobić ??