Problem przedstawia się następująco. Co około 30 sekund wyskakuje mi błąd aplikacji svchost.exe W internecie wyczytałem że to wirus niestety ale usunięcie go nie przyniosło żadnej zmiany. Do tego przy kursorze widnieje klepsydra a gdy otwieram program pojawia się on w procesach ale nie otwiera się.
Log z HijackThis: http://www.wklejto.pl/56867
Proszę o jakąś pomoc
Jest tutaj kilka infekcji, lecz HijackThis to za mało…
Pokaż logi z narzędzi:
Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :
Klikasz Run Scan.
Będzie ciężko… Tyle infekcji to ja widuję w ciągu całego tygodnia, ale na kilkunastu komputerach… :shock:
Uruchom system w trybie awaryjnym.
Pobierz Combofix, ale nie uruchamiaj.
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.
Otwórz Notatnik i wklej do niego bez frazy Code:
File::
C:\ecjew.exe
C:\WINDOWS\updated7.exe
C:\WINDOWS\system32\app_dll.dll
C:\WINDOWS\system32\cwmrq.dll
C:\WINDOWS\system32\drivers\KGootkit.sys
C:\WINDOWS\system\winsma32.exe
C:\WINDOWS\System32\drivers\yhcnky.sys
C:\WINDOWS\tasks\At23.job
C:\WINDOWS\tasks\At22.job
C:\lsass.exe
C:\WINDOWS\MEMORY.DMP
C:\WINDOWS\tasks\At9.job
C:\WINDOWS\tasks\At8.job
C:\WINDOWS\tasks\At7.job
C:\WINDOWS\tasks\At6.job
C:\WINDOWS\tasks\At5.job
C:\WINDOWS\tasks\At4.job
C:\WINDOWS\tasks\At3.job
C:\WINDOWS\tasks\At24.job
C:\WINDOWS\tasks\At21.job
C:\WINDOWS\tasks\At20.job
C:\WINDOWS\tasks\At2.job
C:\WINDOWS\tasks\At19.job
C:\WINDOWS\tasks\At18.job
C:\WINDOWS\tasks\At17.job
C:\WINDOWS\tasks\At16.job
C:\WINDOWS\tasks\At15.job
C:\WINDOWS\tasks\At14.job
C:\WINDOWS\tasks\At13.job
C:\WINDOWS\tasks\At12.job
C:\WINDOWS\tasks\At11.job
C:\WINDOWS\tasks\At10.job
C:\WINDOWS\tasks\At1.job
C:\WINDOWS\System32\driversx.exe
C:\rkfo.exe
C:\Documents and Settings\Ekri\oashdihasidhasuidhiasdhiashdiuasdhasd
C:\WINDOWS\System32\imPlayok.exe
C:\Documents and Settings\Ekri\imPlayok.exe
C:\abuhg.exe
C:\WINDOWS\System\winsma32.exe
C:\brhpxf.exe
C:\uipcafn.exe
C:\lhnttkix.exe
C:\xksbjacq.exe
C:\ainu.exe
C:\nkorf.exe
C:\tpywb.exe
C:\rhgnlg.exe
C:\ecjew .exe
C:\Documents and Settings\Ekri\rthdcpl.exe
C:\Documents and Settings\Ekri\rundll32.exe
C:\Documents and Settings\Ekri\nwiz.exe
C:\Documents and Settings\Ekri\rundll32 .exe
C:\WINDOWS\tbpanel.exe
C:\WINDOWS\System32\xraidsetup.exe
C:\WINDOWS\msa.exe
Folder::
C:\WINDOWS\Temp
C:\RECYCLER
Driver::
sxlndv
KGootkit
yhcnky
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
"Shell"="Explorer.EXE"
"UserInit"="C:\WINDOWS\system32\userinit.exe,"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
Miałeś:
Nie zrobiłeś tego i teraz mam w logu niejednoznaczne informacje. Nie wiem, czy masz kolejnego rootkita, czy nie.
Koniecznie usuń wszystko co związane z Daemon Toolsem i usuń sterownik SPTD.
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
Nie mogę odinstalować Demon Tools Lite i nie wiem co zrobić.
Na kasację pójdą niektóre programy niestety…
Otwórz Notatnik i wklej do niego bez frazy Code:
File::
c:\program files\Adobe\Reader 9.0\Reader\reader_sl .exe
c:\program files\Common Files\Ahead\Lib\nerocheck .exe
c:\program files\Common Files\Ahead\Lib\nmbgmonitor .exe
c:\program files\Common Files\LightScribe\lightscribecontrolpanel .exe
c:\program files\Common Files\Real\Update_OB\realsched .exe
c:\program files\DAEMON Tools Lite\daemon .exe
c:\program files\GIGABYTE\GEST\run .exe
c:\program files\HP\HP Software Update\hpwuschd2 .exe
c:\program files\Java\jre6\bin\jusched .exe
c:\program files\Nokia\Nokia PC Suite 7\pcsuite .exe
c:\program files\Nowe Gadu-Gadu\gg .exe
c:\program files\Steam\steam .exe
c:\windows\RaidTool\xinside .exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe_Reader"=-
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
W logu już nie widać niczego po Vundo.
Uruchom OTL i kliknij w nim CleanUp.
Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP.
Wykonaj pełny skan Dr.Web CureIt.
Gdy będą wirusy, pokaż raport.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
No i zaktualizuj system do stanu Service Pack 3.
Reinstalacja niedziałających/uszkodzonych programów również do wykonania.
Skala infekcji była duża i do tego nie Vundo.
W każdym razie obiekty zostały wyleczone/usunięte i powinno być czysto.
Dzięki wielkie za pomoc 
Pozdrawiam 