Problem z robakami-wyskakujące okienka po restarcie

Witam, miałem wirusa spy sheriff i z nim się uporałem ale cały czas po restarcie kompa wyskakują na dysku c jakieś pliki.exe i w program files paytime.exe , a z rejestru nie moge wyrzucić czegoś takiego iexplrer.exe.



Logfile of HijackThis v1.99.1
Scan saved at 22:45:38, on 15-05-2006
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\programy\daemon\daemon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\spoolsv.exe
C:\programy\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\programy\acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\programy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\programy\daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ZPoint] C:\WINDOWS\system32\winmuse.exe
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKLM\..\Run: [msmsn] c:\windows\system32\msmsn.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A169C615-65D1-49CB-9674-6AA0646AD6CB}: NameServer = 85.255.115.35,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5BBA79B-222E-4BA7-B14B-A1777CE0CDDE}: NameServer = 85.255.115.35,85.255.112.73
O20 - Winlogon Notify: gdwxp3 - C:\WINDOWS\SYSTEM32\gdwxp3.dll
O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Unknown owner - C:\Program Files\Norton Internet Security\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\xxx\Pulpit\Michał\inne\ewido anti-malware\ewidoctrl.exe
O23 - Service: FanSpeedNT Service - Unknown owner - C:\Documents and Settings\xxx\Pulpit\Michał\programy\FanSpeed-1.2.0\fanspeedNT.exe" (file missing)
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Common Files\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: Usługa Norton Protection Center (NSCService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)


Prosze o pomoc

Wygląda na to, że zjadło Ci prawie cały system. Instalacja jakiegokolwiek antywirusa (wg. mnie) nie da efektu, gdyż zostanie in zainfekowany podczas instalacji. Zalecam format i instalację Norton Antyvirus na czystym systemie, po czym przeskanuj całą zawartość HDD...
Powodzenia
Pozdrawaim P@WEŁ

Witam
Ale nie masz żadnego pmysłu żeby sprubować jakoś to usunąć, cokolwiek zawsze warto sprubować?

Nic nie trzeba formatowac.

Usun w hjt:
O2 - BHO: (no name) - {196B9CB5-4C83-46F7-9B06-9672ECD9D99B} - C:\WINDOWS\system32\winbrume.dll <- usun plik z dysku.
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll (file missing)
O4 - HKLM\..\Run: [ZPoint] C:\WINDOWS\system32\winmuse.exe <- usun plik z dysku.
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe <- usun plik z dysku.
O4 - HKLM\..\Run: [msmsn] c:\windows\system32\msmsn.exe
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00005.exe" <- usun plik z dysku.

Podmienione dnsy, usun i ustaw takie jak zaleca Twoj dostawca netu:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A169C615-65D1-49CB-9674-6AA0646AD6CB}: NameServer = 85.255.115.35,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5BBA79B-222E-4BA7-B14B-A1777CE0CDDE}: NameServer = 85.255.115.35,85.255.112.73

O20 - Winlogon Notify: gdwxp3 - C:\WINDOWS\SYSTEM32\gdwxp3.dll <- usun plik z dysku.
O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll <- usun plik z dysku.
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

Usun te wszystkie zbedne uslugi:
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Unknown owner - C:\Program Files\Norton Internet Security\ccPwdSvc.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: FanSpeedNT Service - Unknown owner - C:\Documents and Settings\xxx\Pulpit\Michał\programy\FanSpeed-1.2.0\fanspeedNT.exe" (file missing)
O23 - Service: Usługa Norton Protection Center (NSCService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)

Robisz to tak: Start->Uruchom->cmd i tam:
sc stop SNDSrvc
sc delete SNDSrvc
nastepnie tak samo usuwasz reszte usluga, ktore wymienilem.

Zainstaluj antyvirus np. Avast i przeskanuj caly system.

Witam, zrobiłem część tego co napisałeś lecz nie których rzeczy niemogłem wyrzucić z dysku u hijack, tych związanych z iexplorer poniewasz on chyba jest zawirusowany,bo wogule niechce się włączać ale cały czas istnieje proces.Po każdym resecie kompa ponowiają się te same pliki (na zdjęciu).

wkleje jeszcze raz loga po pousuwaniu nie których rzecz ,te które umiałem i morzna było zrobić


Logfile of HijackThis v1.99.1
Scan saved at 19:29:12, on 16-05-2006
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Documents and Settings\xxx\Pulpit\Michał\inne\ewido anti-malware\ewidoctrl.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\programy\daemon\daemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\programy\emule\emule.exe
C:\Program Files\Opera\Opera.exe
C:\programy\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\programy\acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\programy\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\programy\daemon\daemon.exe" -lang 1033
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EFB6591-9C91-4EB4-98BF-DF49A9F63992}: NameServer = 85.255.115.35,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{A169C615-65D1-49CB-9674-6AA0646AD6CB}: NameServer = 85.255.115.35,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5BBA79B-222E-4BA7-B14B-A1777CE0CDDE}: NameServer = 85.255.115.35,85.255.112.73
O20 - Winlogon Notify: gdwxp3 - C:\WINDOWS\SYSTEM32\gdwxp3.dll
O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Documents and Settings\xxx\Pulpit\Michał\inne\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program Files\Common Files\InstallShield Shared\Service\InstallShield Licensing Service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Wiec zakoncz w menadzerze zdan:
C:\Program Files\Internet Explorer\iexplore.exe

W hjt usun:
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\system32\0mcamcap.exe
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

Do tego miales usunac dnsy i ustawic takie jakie podaje dostawca:
O17 - HKLM\System\CCS\Services\Tcpip\..\{6EFB6591-9C91-4EB4-98BF-DF49A9F63992}: NameServer = 85.255.115.35,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{A169C615-65D1-49CB-9674-6AA0646AD6CB}: NameServer = 85.255.115.35,85.255.112.73
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5BBA79B-222E-4BA7-B14B-A1777CE0CDDE}: NameServer = 85.255.115.35,85.255.112.73

Adresy dns'ow znajdziesz na stronie twojego dostawcy netu, a ustawiasz je w opcjach tcp/ip ktore znajduja sie w opcjach polaczenia internetowego.

O20 - Winlogon Notify: gdwxp3 - C:\WINDOWS\SYSTEM32\gdwxp3.dll
O20 - Winlogon Notify: polymorphreg - C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll
Te dwa usuwasz tak:
Start->Uruchom->cmd i tam:
regsvr32.exe /u "C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll"
del "C:\Documents and Settings\All Users\Dokumenty\Settings\polymorph.dll"
regsvr32.exe /u C:\WINDOWS\SYSTEM32\gdwxp3.dll
del C:\WINDOWS\SYSTEM32\gdwxp3.dll

Miales tez zainstalowac antyvirus, czemu tego nie zrobiles?
Zainstaluj np:
http://www.free-av.com/
lub Avast:
http://www.avast.com/eng/avast_4_home.html

Niestety gdy zamykam procec iexplorer on od razu znowu sie pojawia ,a w tym czasie nie moge usunąć pliku

Lineusz napisał:

Niestety gdy zamykam procec iexplorer on od razu znowu sie pojawia ,a w tym czasie nie moge usunąć pliku

a jak uruchomisz kompa w trybie awaryjnym to jest to samo???

przeskanuj jeszcze tym:
http://download.ewido.net/ewido-setup.exe

po zainstalowaniu zrób update a po skanowaniu odinstaluj

Powinieneś dysk przeskanować na innym systemie z dobrym antywirusem np. kaspersky , potem walczyć dalej ,przeskanowac spyboot S&D ,werboot spysweeper , oczewiście znów antywirusem gdy jest aktywny system i sieć wtedy znowu coś znajdzie , potem mozna dokonac naprawy windowsa jesli coś nie będzie pracowało tak jak trzeba .pozdr

Tak w trybie awaryjnym jest to samo, i nie mam pojęcia jak zamknąć ten proces

Wyłącz przywracanie systemu , ściągnij spyboot s&d , zaktualizuj go ,nastepnie znowu hijackthis w awaryjnym,albo od razu skanuj spybootem,on jesli nie da rady zrobić porządku od razu , to zrobi to po restarcie zanim odpalą się procesy w systemie . pozdr