Iexplore.exe ciężki do usunięcia

[KaKa0]

Witam.

Mam wielki problem z wirusami. Używam Ashampoo Antywirus oraz Firewall, teraz doszedł Antispyware, ale mimo to, dostał się jakiś wirus.
Spróbowałem użyć tych wszystkich narzędzi, ale tylko Antispyware znalazł jednego robaka.
Regularnie sprawdzam loga z hijacka i usuwam niepotrzebne rzeczy, czyszcze kompa CCleanerem, oczyszczam rejestr EasyCleanerem.

Posiadam Windows XP Profesional, SP3, 32bity.

Ostatnio w grach zaczeło coś przycinać, myślałem że poprostu z czasem nawaliłem do niego troche syfu, no ale nic. Było coraz gorzej. :| Ogólnie system zaczął przycinać, Winamp potrafi włączać się około minuty.
W Menadżerze zauważyłem pojawianie się procesu iexplore.exe, dwa procesy naraz.

Podaje log z Hijacka.

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:55:05, on 2009-07-29
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\iS3\Anti-Spyware\SZServer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
C:\Program Files\Ashampoo\Ashampoo AntiVirus\GuardGui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
C:\Program Files\Ashampoo\Ashampoo AntiVirus\ashAvSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Opera\Opera.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: SITEguard BHO - {1827766B-9F49-4854-8034-F6EE26FCB1EC} - C:\Program Files\STOPzilla!\SZSG.dll
O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - C:\Program Files\STOPzilla!\SZIEBHO.dll
O3 - Toolbar: STOPzilla - {98828DED-A591-462F-83BA-D2F62A68B8B8} - C:\Program Files\STOPzilla!\SZSG.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: ['Ashampoo AntiSpyWare 2 Guard'] C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ashampoo AntiVirus Service.lnk = C:\Program Files\Ashampoo\Ashampoo AntiVirus\GuardGui.exe
O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe
O23 - Service: avGuard Service (avGuard) - Unknown owner - C:\Program Files\Ashampoo\Ashampoo AntiVirus\ashAvSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STOPzilla Service (szserver) - iS3, Inc. - C:\Program Files\Common Files\iS3\Anti-Spyware\SZServer.exe

--
End of file - 3558 bytes

Niestety na tym logu jest tylko jeden iexplore.exe, ponieważ pracować się nie dało, a zabicie go, pomagało.

Użyłem również STOPzilli, ale po dostaniu wyników, okazało się że musze kupic aby usunąc infekcje.

Dodane:
Teraz nagle komputer sam się wyłączył bez przyczyny.

[Okocza]

KaKa0, daj log z RSIT w tagi code

[KaKa0]

Niestety nie moge spełnic tej prośby, bo RSIT po sciągnięciu odrazu znika. :|
Daje loga z OTS. Są ustawienia domyślne.
Podczas trwania skanu, wystąpił błąd.

Kod: Zaznacz wszystko

Error loading process libriaries

Co jakiś czas pojawia się również (nie podczas skanu, podczas normalnej pracy na komputerze):

Kod: Zaznacz wszystko

Generic host process for win32 services

Poszukałem znów troche i poblokowałem Windows Worms Door porty 135, 445, 137/138/139 (one są znów otwarte po restarcie), 5000, NetBIOS/RPC.

Dodane:
Albo jestem tak zmęczony, albo zbyt późno, ale nie potrafie dodac nigdzie załącznika z OTS. Na pokazywarka.pl nie pojawia się to co dodałem. Do postu przekraczam ilość znaków. Załącznika również nie moge dodac. :|
Zrobiłem również loga z OTL, ale jest taki sam problem jak wyżej.

Dodane: Dałem logi na wklej.org
http://wklej.org/id/127360/ OTL
http://wklej.org/id/127366/ Extras
http://wklej.org/id/127364/ OTS

Próbowałem użyć DDS, ale nie moge nigdzie sciągnąć dds.scr.

Dodane:
Udało mi się zrobic loga DDSe
http://wklej.org/id/127459/ Attacht
http://wklej.org/id/127460/ DSS

[wojtas]

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O33 - MountPoints2\{1c5e1dee-751d-11de-91ff-001fd0080735}\Shell\AutoRun\command - "" = G:\wxcjji.exe -- File not found
O33 - MountPoints2\{1c5e1dee-751d-11de-91ff-001fd0080735}\Shell\explore\Command - "" = G:\wxcjji.exe -- File not found
O33 - MountPoints2\{1c5e1dee-751d-11de-91ff-001fd0080735}\Shell\open\Command - "" = G:\wxcjji.exe -- File not found
O33 - MountPoints2\{1c5e1def-751d-11de-91ff-001fd0080735}\Shell\AutoRun\command - "" = I:\wxcjji.exe -- File not found
O33 - MountPoints2\{1c5e1def-751d-11de-91ff-001fd0080735}\Shell\explore\Command - "" = I:\wxcjji.exe -- File not found
O33 - MountPoints2\{1c5e1def-751d-11de-91ff-001fd0080735}\Shell\open\Command - "" = I:\wxcjji.exe -- File not found

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db1b3e60-05ac-11de-a5d3-00001cd72a97}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[start explorer]
[Reboot]

Kliknij w Run Fix. I potwierdz reset kompa .



1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem]
4. zrób skan Malwarebytes Anti-Malware

[KaKa0]

Witam.

Wkleiłem to co napisałeś, pojawił się błąd, którego zapomniałem przepisać. Odpowiedz była tylko OK, i po jej naciśnieciu, nastąpił reboot.

Po włączeniu kompa, OTL.exe okazał się nieistnieć i nie mógł zostać uruchomiony, musiałem nowego sciągnąc.

Przeskanowałem kompa Malwarebytes' Anti-Malware, oto log
http://wklej.org/id/127883/

Tutaj również log z OTL i Hijacka.
http://wklej.org/id/127887/ OTL
http://wklej.org/id/127889/ Hijack

Przywracania systemu nie używam.

Dodane:
Skany z rana, po kilku resetach, skanowaniach i innych próbach.
http://wklej.org/id/128017/ Hijack
http://wklej.org/id/128018/ Malwarebytes' Anti-Malware

Dodane:
Pod wieczór, doszedł jeszcze jeden wirus. ;]
http://wklej.org/id/128251/ OTL
http://wklej.org/id/128250/ Hijack