witam

jest to moja pierwsza wizyta na forum

uruchomilem jakiegos wirusa i mam problem z systemem,

po usunieciu wszystkich wirusow arcavir’em nie moge uruchomic avast antivir - pojawia sie komunikat nieprawidlowa aplikacja systemu win32, nie moge przywrocic systemu do poprzedniego stanu - komunikat, ze nie ma zadnych zmian, a dodatkowo wylaczone jest audio, pozostale programy wydaja sie dzialac poprawnie

dolaczam log’a z ktorym nie wiem co zrobic

licze na jakas podpowiedz dla poziomu laika

pozdrawiam

marek

Logfile of Advanced SystemCare 3 Security Analyzer

Scan saved at 20:43:36, on 2009-03-25

Platform: Windows XP (WinNT 5.1)

MSIE: Internet Explorer v7.0 (7.0.5730.13)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRA~1\Wanadoo\taskbaricon.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\Program Files\Multimedia Card Reader\shwicon2k.exe

C:\Program Files\Logitech\QuickCam\Quickcam.exe

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\Program Files\BOINC\boincmgr.exe

C:\Program Files\BOINC\boinctray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\PROGRA~1\Webshots\webshots.scr

C:\Program Files\IncrediMail\bin\IMApp.exe

C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe

C:\Program Files\BOINC\boinc.exe

C:\Documents and Settings\All Users\Application Data\BOINC\projects\setiathome.berkeley.edu\astropulse_5.03_windows_intelx86.exe

C:\Documents and Settings\All Users\Application Data\BOINC\projects\setiathome.berkeley.edu\astropulse_5.03_windows_intelx86.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU…\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU…\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe

O4 - HKCU…\Run: [Advanced SystemCare 3] “C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe” /startup

O4 - HKCU…\RunOnce: [shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SwHelper_1100470.exe -Update -1103470 -“Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; GTB5; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Media Center PC 4.0)” -“http://www.webgames.cz/hraj4.php?id=113&adresa=&width=480&height=480”

O4 - HKLM…\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM…\Run: [skyTel] SkyTel.EXE

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [GBB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM…\Run: [sW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM…\Run: [sW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\taskbaricon.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [sunkist2k] C:\Program Files\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM…\Run: [LogitechQuickCamRibbon] “C:\Program Files\Logitech\QuickCam\Quickcam.exe” /hide

O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

O4 - HKLM…\Run: [boincmgr] “C:\Program Files\BOINC\boincmgr.exe” /a /s

O4 - HKLM…\Run: [boinctray] “C:\Program Files\BOINC\boinctray.exe”

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} -

O9 - Extra button: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix Już w trakcie pobierania zapisz go pod zmienioną nazwą np 123.com uruchom przeskanuj system i daj log na forum

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka

Zobacz ten poradnik http://helpc.eu/viewtopic.php?f=26&t=1440

kolego spandaupol

jestes wielki

zrobilem to co napisales ( z malym wyjatkiem - combofix chcial dostepu do netu - wiec go polaczylem)

i … teraz juz DZIALA…

czy drobna zmaina w czasie uruchamiania systemu (pojawila sie dodatkowa tablica, ale na tak krotko, ze nie moge jej zapisac) ma jakies znaczenie ?

log jest tutaj ( strasznie duzo tej infekcjii)

http://www.wklejto.pl/29852

poki co - masz u mnie longdrinka

dziekuje i pozdrawiam

marek

aviato

Log bez ukośników, wygląda na czysty

usuń ręcznie folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Przeskanuj system daj raport na forum

lub Dr.WEB CureIt!

Daj log z ukośnikami

Twój wygląda tak:

A powinien tak:

witam ponownie

przygotowalem raporty logo, ale nie wiem dlaczego jak je wklejam to wychodza bez ukosnikow - a takich nie che przedstawiac na forum bo…patrz wyzej…

mam logo

dr.web

findkykill

combo

advansetsystemcare

system “chodzi”

moze jutro cos mi sie uda z tym zrobic

pozdrawiam

aviato

Logi dajesz na http://wklej.org a w poście dajesz tylko link

witam

tym razem logi powinny juz byc z ukosnikami

nieco pospieszylem sie i zanim przeczytalem kolejna instrukcje uruchomilem dr.web’a zanim usuniety zostal Qoobox

log

http://wklej.org/id/70345/

po usunieciu Qoobox’a dr.web juz nic nie znalazl, nastepnie uruchomolem FindlyKill

log

http://wklej.org/id/70349/

nastepnie Combo

log

http://wklej.org/id/70350/

na koniec uruchomilem advancet…

log

http://wklej.org/id/70352/

ten ostatni program, przed “awaria” w tej zakladce nie pokazywal nic, a teraz cos sugeruje, ale ja nie wiem co z tym zrobic,

troche tego nawklejalem , ale z kazda chwila wiem coraz wiecej ( a wkazdym razie tak mi sie wydaje

przeczyscilem Ccleaner’em, wylaczylem i wlaczylem przywracanie, ale nie ruszalem autostartu - bo nie wiem co wyrzucic

czy na podstawie tego co widac mozna powiedziec, ze jest juz O.K. ?

pozdrawiam

aviato

W takim razie opróżnij kwarantanne DrWeb’a, powinno być OK

witam

chyle czola przed wiedza i postawa

jeszcze raz wielkie dzieki

pozdrawiam uczestnikow forum

a z tym drinkiem to nie zart, jak bedziesz w okolicach lotniska Modlin - daj znac…

aviato