citron3
(Citron3)
16 Listopad 2008 08:56
#1
jeśli można proszę o sprawdzenie loga ponieważ siedzi mi jakiś wirus i nie moge włączyć rejestru i menadżera zadań :evil: mam regalyz ale jak zmieniam klucze z 1 na 0 żeby nie blokowało to pochwili znowu jest 1.
oto log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:57:15, on 2008-11-15
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
D:\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C00BD15-3DBB-47D0-B5BD-C3ED072FD3B8}: NameServer = 150.254.5.4,150.254.5.11
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 2180 bytes
Proszę pomóżcie ![-o<
Usuń ten wpis w HJT (jeśli się da)
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
Pobierz Combofix przeskanuj system i daj log na forum.
Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka
citron3
(Citron3)
16 Listopad 2008 09:46
#4
ok ok już się poprawiam nowy jestem
oto log z combofix:
http://www.wklejto.pl/15186
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html
Następnie pobierz Kaspersky Removal Tool http://www.searchengines.pl/index.php?showtopic=18695 usuń wszystko co znajdzie .
citron3
(Citron3)
16 Listopad 2008 14:30
#6
Leon1
(Leon$)
16 Listopad 2008 14:41
#7
Avanger OK
Otwórz notatnik i wklej
zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart
powstanie plik o takiej ikonie
w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart
przeskanuj Kasperskim
citron3
(Citron3)
16 Listopad 2008 15:07
#8
niestety odmawia dostępu do rejestru
citron3
(Citron3)
16 Listopad 2008 15:12
#9
niestety nie mogę ściągnąć kaspersy removal tools! nawet szukając na google
Leon1
(Leon$)
16 Listopad 2008 15:12
#10
Otwórz notatnik i wklej
[Version] Signature="$Chicago$" Provider=Symantec [DefaultInstall] AddReg=UnhookRegKey [unhookRegKey] HKLM, Software\CLASSES\batfile\shell\open\command,"""%1"" %*" HKLM, Software\CLASSES\comfile\shell\open\command,"""%1"" %*" HKLM, Software\CLASSES\exefile\shell\open\command,"""%1"" %*" HKLM, Software\CLASSES\piffile\shell\open\command,"""%1"" %*" HKLM, Software\CLASSES\regfile\shell\open\command,“regedit.exe “”%1"”" HKLM, Software\CLASSES\scrfile\shell\open\command,"""%1"" %*" HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
zapisz jako plik .inf >> wszystkie pliki >> PPM na plik >> zainstaluj >> restart
potem scal ten plik co podałem poprzednio
citron3
(Citron3)
16 Listopad 2008 15:22
#11
a co to ten ppm?? i jak instalowac?
citron3
(Citron3)
16 Listopad 2008 15:32
#13
ok zrobiłem co trzeba ale nie mogę nawet uruchomić kasperskiego bo od razu sie wyłącza!
mogę dać wynik ad-aware
Leon1
(Leon$)
16 Listopad 2008 15:43
#14
Zastosuj Malwarebytes’ Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pełny skan - jak coś znajdzie to usuń - pokaż log
citron3
(Citron3)
16 Listopad 2008 16:12
#15
http://wklej.org/id/18596/ to log z ad-aware i jak biore kwarantanne to i tak wszystko wraca
Nie dałeś loga z Malwarebytes, dlaczego?
Dodatkowo pobierz Trojan Remover http://dobreprogramy.pl/index.php?dz=2&id=2324&Trojan+Remover+6.7.4+Build+2551 przeskanuj system i usuń co znajdzie
Następnie pobierz System Repair Engineer http://www.cybertrash.pl/images/tata/Sy … ineer.html przeskanuj system i daj log na forum