Znikł Avast i SpyBot!

Witam.

Parę godzin temu samoczynnie zrestartował mi się komputer, po ponownym włączeniu zauważyłem że na pasku zadań niema ikon z avasta i spybota. Oba programy nie chcą się także uruchomić, w menu start nie widać ich ikonek. beztytuues5.jpg

Gdy wszedłem do głównych folderów tych programów na plikach programów także ukazały się te ikony, a po kliknięciu odśwież pliku po prostu znikły. Reinstalacja nie pomaga.:?

Proszę o pomoc.

Log z HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 03:03:23, on 2007-12-29

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Program Files\Beniamin\tguard.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DAEMON Tools Pro\DTProAgent.exe

C:\Program Files\Portrait Displays\forteManager\dthtml.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\Portrait Displays\forteManager\dtsslsrv.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Portrait Displays\forteManager\DTSRVC.exe

C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.nvidia.com/content/drivers/redirect.asp?language=PLKpage=sysutility

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-SD IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r

O4 - HKLM\..\Run: [P17Helper] Rundll32 SPIRun.dll,RunDLLEntry

O4 - HKLM\..\Run: [tguard] C:\Program Files\Beniamin\tguard.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O4 - Global Startup: forteManager.lnk = C:\Program Files\Portrait Displays\forteManager\dthtml.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\bnmndrv.dll

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Asset Management Daemon - Unknown owner - C:\Program Files\Portrait Displays\forteManager\dtsslsrv.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Portrait Displays\forteManager\DTSRVC.exe

O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - C:\Program Files\Electronic Arts\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe


--

End of file - 7936 bytes

musisz jeszcze raz sciagnac avasta i go zainstalowac powodzenia

Musisz jeszcze raz przeczytać posta. Powodzenia

Czy przywrócenie systemu o jeden dzień wstecz pomoże?

W logu nie widać abyś instalowł avasta. Masz zapchany autostart.

Daj log z ComboFix

Z autostartem tak powinno być. Co do logów to po “zniknięciu” avasta i spybota zainstalowałem CCleaner i przeczyściłem rejestr, więc prawdopodobnie CCleaner je usunął niewidząc plików tych programów.

Log z ComboFixa:

ComboFix 07-12-21.4 - DOM 2007-12-29 21:05:59.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.1577 [GMT 1:00]

Running from: C:\Documents and Settings\DOM\Pulpit\ComboFix.exe

 * Created a new restore point

.


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\WINDOWS\system32\drivers\srosa.sys


.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


.

-------\LEGACY_SROSA

-------\srosa



((((((((((((((((((((((((( Files Created from 2007-11-28 to 2007-12-29 )))))))))))))))))))))))))))))))

.


2007-12-29 05:14 . 2007-12-29 05:14	


Avast nadal nie działa. :-| Już wiem co może być tego przyczyną, przed restartem zainstalowałem program All That Chords! i ściągnąłem do niego obejście rejestracji, które wgrałem chwilę potem zrestartował się komputer. Plik usunąłem, lecz jeszcze jeden siedzi w C:\WINDOWS\system32\drivers, "hldrrr.exe" poznaje po ikonie, przeskanowałem go przez http://www.virustotal.com i wykryło takie coś:

[code]Antywirus Wersja Ostatnia aktualizacja Wynik AhnLab-V3 2007.12.29.11 2007.12.29 - AntiVir 7.6.0.46 2007.12.29 TR/Agent.526755 Authentium 4.93.8 2007.12.29 - Avast 4.7.1098.0 2007.12.29 - AVG 7.5.0.516 2007.12.29 IRC/BackDoor.SdBot3.XTZ BitDefender 7.2 2007.12.29 DeepScan:Generic.Malware.SP!VPkWkg.BA067053 CAT-QuickHeal 9.00 2007.12.29 - ClamAV 0.91.2 2007.12.29 PUA.Packed.Themida DrWeb 4.44.0.09170 2007.12.29 Win32.HLLM.Beagle eSafe 7.0.15.0 2007.12.27 - eTrust-Vet 31.3.5412 2007.12.29 - Ewido 4.0 2007.12.29 - FileAdvisor 1 2007.12.29 - Fortinet 3.14.0.0 2007.12.29 W32/Bagle.HE!tr.dldr F-Prot 4.4.2.54 2007.12.29 - F-Secure 6.70.13030.0 2007.12.28 SDBot.gen8 Ikarus T3.1.1.15 2007.12.29 - Kaspersky 7.0.0.125 2007.12.29 Trojan-Downloader.Win32.Bagle.he McAfee 5195 2007.12.28 - Microsoft 1.3109 2007.12.29 - NOD32v2 2755 2007.12.29 - Norman 5.80.02 2007.12.28 SDBot.gen8 Panda 9.0.0.4 2007.12.29 - Prevx1 V2 2007.12.29 Backdoor.SdBot.gen Rising 20.24.52.00 2007.12.29 - Sophos 4.24.0 2007.12.29 - Sunbelt 2.2.907.0 2007.12.28 VIPRE.Suspicious Symantec 10 2007.12.29 - TheHacker 6.2.9.175 2007.12.29 W32/Behav-Heuristic-064 VBA32 3.12.2.5 2007.12.29 - VirusBuster 4.3.26:9 2007.12.29 - Webwasher-Gateway 6.6.2 2007.12.29 Trojan.Agent.526755 Dodatkowe informacje File size: 526755 bytes MD5: be9cdb60afb2f5dbe2085b90a9b881d3 SHA1: f51a1559d8c9256a50ed93424888962f02b73c76 PEiD: Themida/WinLicense V1.8.0.2 + -> Oreans Technologies packers: Themida Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=812D626CA3DD4C51091408F953D52C00D3C02DAF Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Co mam robić dalej? :?

EDIT: Poczytałem też o tym: http://www.wiruspc.pl/wykaz/details.php?virus=7402 W folderze driver jest też folder o nazwie “down” z takimi plikami: http://img156.imageshack.us/img156/9701/beztytuuhl6.jpg Prawdopodobnie to ten szkodnik. :expressionless:

Wklej do Notatnika:

File::

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\Zonhsp32.dll

C:\WINDOWS\graeq22.ini


Folder::

C:\Program Files\All That Chords!

C:\WINDOWS\system32\drivers\down

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

Zastosuj też - Pobierz program SDFix

Dzięki, ale sam sobie poradziłem. :stuck_out_tongue: Zrobiłem mniej więcej tak jak napisałeś, usunąłem C:\WINDOWS\system32\drivers\hldrrr.exe, C:\Program Files\All That Chords!, C:\WINDOWS\system32\drivers\down, przeczyściłem rejestr, przeskanowałem ComboFixem, naprawiłem tryb awaryjny bo nie działał, zainstalowałem Avasta i SpyBota i przeskanowałem kompa Avastem przy rozruchu. Komp czysty wszystko działa. :smiley: Plik C:\WINDOWS\graeq22.ini otworzyłem notatnikiem i rzeczywiście jest zbędny, ale co do C:\WINDOWS\system32\Zonhsp32.dll to nie wiem czy go usuwać, czy lepiej zostawić, skanery online nic nie wykrywają. :idea:

Dziwię się, skoro wszystko wiesz po co prosisz o pomoc.