Witam
po zainstalowaniu Windowsa Speed Xp z SP 3 ześwirował mi laptop.
Nie mogę odpalić żadnego antyvirusa, menedżera zadań, edycji rejestru, nawet nie da się odpalić trybu awaryjnego. żadne programy typu anti trojan shield nie sa w stanie ani tego wykryć ani usunąć, jedyne co to widzi to mks online.Format nic nie daje, Niektóre programy po zainstalowaniu odpalają się tylko raz. Co robić? jak sobie z tym poradzić? może ktoś pomóc? Dodam ze w sprawie walki z virusami jestem laikiem...

__________________
Corel Draw X4 - Nowe hobby
BMW - pasja
Ewelina - miłość

Spróbuj odpalić program Combofix:
http://peb.pl/logi-do-sprawdzenia/10...ml#post1146873
i daj loga.
Dodatkowo zastosuj MBR.EXE i log tez tu http://www.searchengines.pl/index.php?showtopic=31936
skoro piszesz, że nawet format nic nie daje - może siedzi coś w mbr.

__________________

ComboFix nie odpala się - wyskakuje komunikat ze wystąpił problem z aplikacją-

dam logo z hijack'a moze on coś podpowie

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:24:48, on 2009-02-23
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\RAM Idle LE\RAM_XP.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Anti Trojan Elite\TJEnder.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\Hubert\USTAWI~1\Temp\winxtyxx.exe
C:\DOCUME~1\Hubert\USTAWI~1\Temp\aixfe.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: IEVkbdBHO Class - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\Audio\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\PL\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=030809 serial=DR12CNC-8322248-nft lang=PL
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Program Files\RAM Idle LE\RAM_XP.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2009] C:\Program Files\Uniblue\RegistryBooster\RegistryBooster.exe /S
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Wyślij do urządzenia &Bluetooth... - C:\Program Files\Lenovo\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Lenovo\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Lenovo\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A91629F4-856D-4749-A063-6F3CBDE6B58B}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5AFCDC1-EDE6-4695-B67A-96154F51C223}: NameServer = 192.168.0.1
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe




I zaraz spróbuję powalczyć z tym MBR

teraz nawet mks wykrywa ze winamp itp to wirusy :/

__________________
Corel Draw X4 - Nowe hobby
BMW - pasja
Ewelina - miłość

Tu prawdopodobnie będzie wirus atakujący pliki .exe
Niezbyt ciekawie jednym słowem, a i walka HJT nie ma zbyt sensu...

Przeskanuj kilka plików exe na www.virustotal.com i daj wyniki.

Mr.n0b0dy jak się zjawi to będzie na pewno potrafił pomóc lepiej z tym ode mnie, więc jak co czekaj...

Edit/
faktycznie przypadkowa literówka w linku

__________________

domyślam się ze chodziło Ci o stronę virustotal? dziwne, bo ani com, ani też pl nie ładują mi się, do virustotal.com lecą pingi ale wejśc się nie da ani przez mozille ani przez internet explorera:/ czym to badziewie zwalczyć?:/

__________________
Corel Draw X4 - Nowe hobby
BMW - pasja
Ewelina - miłość

I ja myślę, że to będzie infekcja plików .exe. Ostatnio kilka osób miało Viruta z podobnymi efektami (włącznie z niedziałającymi stronami virustotal).
Spróbuj jeszcze przeskanować kilka niedziałających plików .exe (np. uruchamiających niedziałające Ci teraz programy - np. Winamp.exe) na stronie --> http://virusscan.jotti.org/
Jak tez nie zadziała ta strona to skopiuj ze trzy takie podejrzane o infekcję pliki .exe do jakiegoś tymczasowego folderu i zmień im rozszerzenie z .exe na .ex_ ) Takie pliki (powiedzmy ze trzy) wrzuć na serwer www.odsiebie.com . Ja je pobiorę i przeskanuję (zmiana rozszerzenia po to żebym przez przypadek nie chwycił tego paskudztwa).

__________________
Nie sprawdzam logów z CF, HJT i podobnych na PW oraz gg

Wiec tak, ściągnełem teraz Trojan Remover i po zeskanowaniu MKS wybieram zarażony plik i przy pomocy tego programu udaję się je usunąc, natomiast jesli usunę jeden plik po restarcie pojawiają się nowe o różnych innych,nowych nazwach

http://virusscan.jotti.org/ - oczywiście nie ładuje się


Dajmy na to plik "uniinstall" od PoweISO jest teraz zarażony -
jak w nim zmienic rozszerzenie? Po zmieniając z exe na ex w nazwie nic się nie dzieje... (powatarzam, laik, stąd też proszę Was o pomoc)

__________________
Corel Draw X4 - Nowe hobby
BMW - pasja
Ewelina - miłość

A co ma się dziać? Masz zmienić rozszerzenie po to żeby nie było .exe tylko .ex_ żeby plik przestał być programem, który jeśli przez przypadek kliknę uruchomi mi się infekując mi kompa. Zmieniaj to rozszerzenie i wrzucaj te pliki na odsiebie.com. Dawaj linki do nich.

MKS coś wykrywa? Jakieś nazwy infekcji? Możesz je podać lub loga pokazać jakiegoś albo chociaż istotne fragmenty?

__________________
Nie sprawdzam logów z CF, HJT i podobnych na PW oraz gg

http://odsiebie.com/pokaz/1651446---d33c.html - nie wiem czemu, rozszerzenie vir


winocgmlx.VIR - tylko to teraz MKS wykrył

__________________
Corel Draw X4 - Nowe hobby
BMW - pasja
Ewelina - miłość

Dwa antyvirusy na http://virusscan.jotti.org/ pokazały Sality ale trchę dziwne że tylko dwa. W przypadku tego syfa zarażającego pliki .exe więcej antywirusów powinno go wykryć. Podrzuć na odsiebie.com jeszcze jakiś plik .exe (ze zmienionym rozszerzeniem), najlepiej jakiś taki, który przedtem Ci działał. Pisałeś o jaki s pliku od PowerIso. Może być też inny od innego programu, który przestał działać.
Możesz jeszcze spróbować takiego myku z Combofixem - pobierasz go na twardziela od razu każąc mu się zapisać pod zmienioną nazwą (np. domek.exe) i natychmiast go odpalić.

Pokaż też nowego loga z HJT.

__________________
Nie sprawdzam logów z CF, HJT i podobnych na PW oraz gg