WIRUS niemoge wlaczyc wiekszosc instalek

Dla specjalistów Bezpieczeństwo
#1

Witam od jakiegos czasu gdy wlaczam kompa niemam ikonek na pulpicie zeby sie pojawily musze zakonczyc proces explorer.exe i na nowo go wlaczyc … nastepnie gdy wlaczam firefoxa otwiera mi sie 20 okien i do tego jakies readme cos tam… do tego jeszcze nie moge zainstalowac prawie zadnego programu … ;/ daje log z hijackthis :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:27:20, on 2009-10-02

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\runouce.exe

C:\WINDOWS\System32\reader_s.exe

C:\WINDOWS\system32\restorer32_a.exe

C:\Documents and Settings\nO\reader_s.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM…\Run: [15531] C:\WINDOWS\system32\11.tmp.exe

O4 - HKLM…\Run: [Runonce] C:\WINDOWS\system32\runouce.exe

O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe

O4 - HKLM…\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe

O4 - HKLM…\Run: [restorer32_a] C:\WINDOWS\system32\restorer32_a.exe

O4 - HKCU…\Run: [reader_s] C:\Documents and Settings\nO\reader_s.exe

O4 - HKCU…\Run: [servises] C:\WINDOWS\system32\servises.exe

O4 - HKCU…\Run: [restorer32_a] C:\Documents and Settings\nO\restorer32_a.exe

O4 - HKLM…\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe

O4 - HKCU…\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_01] cmd.exe /c md “%USERPROFILE%\Ustawienia lokalne\Temp” (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_03] cmd.exe /c md “%SystemRoot%\System32\dllcache” (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_04] cmd.exe /C move /Y “%SystemRoot%\System32\syssetub.dll” “%SystemRoot%\System32\syssetup.dll” (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_05] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\RunOnce: [nlpo_06] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-20…\RunOnce: [nlpo_01] cmd.exe /c md “%USERPROFILE%\Ustawienia lokalne\Temp” (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [restorer32_a] C:\Documents and Settings\nO\restorer32_a.exe (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [restorer32_a] C:\Documents and Settings\nO\restorer32_a.exe (User ‘Default user’)

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\svchost.exe:ext.exe

End of file - 3917 bytes

#2

Niestety masz viruta.

Przeczytaj temat : http://www.searchengines.pl/index.php?s … pic=122692

Pózniej wybierz jedna z możliwych metod walczenia z infekcją.

#3

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Niestety masz Viruta.

Wyłącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP.

Zastosuj szczepionkę FixVirut.com.

Pobierz DR WEB CureIt, kliknij na link do pobrania PPM -> Zapisz element docelowy jako -> zapisz jako typ wszystkie pliki pod nazwą 123.com.

Wykonaj pełny skan, lecz co się da, reszta do usunięcia.

Następnie pobierz Kaspersky Virus Removal Tool, również pełny skan, usuwa co znajdzie.

Po usuwaniu system się może nie uruchomić, w takim przypadku wykonaj instalację nakładkową Windows bez utraty danych.

Po ewentualnej instalacji wyłącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP.

Potem pokaż log z Combofix.

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Po skanie Combofix ponownie wyłącz przywracanie systemu włączone przez Combofixa.

#4

Dzieki wam serdeczne za pomoc a szczegulnie tobie deFco247 DR WEB CureIt mi pomogl!! wszystko wyleczyl narazie komp dziala niektorych instalek niemoge wlaczyc ale najwazniejsze ze sie normalnie wlacza :smiley: dzieki i pozdrowienia! :slight_smile:

#5

Wykonaj wszystkie moje zalecenie, bo objawów nie ma, ale Virut może dalej być na dysku.