Nie mogę wejść w windows

[Gazprom]

Gdy komputer się załaduje, pokazuje się okno logowania, którego wcześniej nie było. Daję OK i czekam, aż się załaduje system. Po chwili pokazuje się tepeta i komunikat Userinit Logon. Próbowałem wejść w Menadżer zadań, ale nie da rady, bo też krzyczy. W trybie awaryjnym udało mi się zrobic pełne skanowanie Malware Bytes i wyszły 22 zainfekowane obiekty, ale spora część miała zostać usunięta po rozruchu. Ni ch**a nic nie usunięto, bo znowu zrobiłem skanowanie i prawie tyle samo. Co zrobić z tym fantem?

Kod: Zaznacz wszystko

   1.  Logfile of Trend Micro HijackThis v2.0.2
   2. Scan saved at 22:30:58, on 2009-08-22
   3. Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
   4. MSIE: Internet Explorer v8.00 (8.00.6001.18702)
   5. Boot mode: Safe mode with network support
   6. 
   7. Running processes:
   8. C:\WINDOWS\System32\smss.exe
   9. C:\WINDOWS\system32\csrss.exe
  10. C:\WINDOWS\system32\winlogon.exe
  11. C:\WINDOWS\system32\services.exe
  12. C:\WINDOWS\system32\lsass.exe
  13. C:\WINDOWS\system32\svchost.exe
  14. C:\WINDOWS\system32\svchost.exe
  15. C:\WINDOWS\System32\svchost.exe
  16. C:\WINDOWS\System32\svchost.exe
  17. C:\WINDOWS\System32\svchost.exe
  18. C:\WINDOWS\Explorer.EXE
  19. C:\WINDOWS\system32\svchost.exe
  20. C:\WINDOWS\system32\3.tmp
  21. C:\Program Files\Internet Explorer\iexplore.exe
  22. C:\Program Files\Internet Explorer\iexplore.exe
  23. C:\WINDOWS\system32\ctfmon.exe
  24. C:\WINDOWS\system32\cmd.exe
  25. C:\WINDOWS\services.exe
  26. C:\WINDOWS\system32\cmd.exe
  27. C:\WINDOWS\services.exe
  28. C:\WINDOWS\services.exe
  29. C:\WINDOWS\system32\cmd.exe
  30. C:\WINDOWS\system32\cmd.exe
  31. C:\WINDOWS\services.exe
  32. C:\WINDOWS\services.exe
  33. C:\WINDOWS\system32\cmd.exe
  34. C:\WINDOWS\system32\cmd.exe
  35. C:\WINDOWS\msdrive32.exe
  36. C:\WINDOWS\services.exe
  37. C:\WINDOWS\services.exe
  38. C:\WINDOWS\system32\cmd.exe
  39. C:\WINDOWS\system32\cmd.exe
  40. C:\WINDOWS\services.exe
  41. C:\WINDOWS\services.exe
  42. C:\WINDOWS\system32\cmd.exe
  43. C:\WINDOWS\system32\cmd.exe
  44. C:\WINDOWS\services.exe
  45. C:\WINDOWS\services.exe
  46. C:\WINDOWS\system32\cmd.exe
  47. C:\WINDOWS\system32\cmd.exe
  48. C:\WINDOWS\services.exe
  49. C:\WINDOWS\services.exe
  50. C:\WINDOWS\System32\svchost.exe
  51. C:\WINDOWS\System32\svchost.exe
  52. C:\WINDOWS\System32\svchost.exe
  53. C:\WINDOWS\System32\svchost.exe
  54. C:\Program Files\Internet Explorer\iexplore.exe
  55. C:\Program Files\Internet Explorer\iexplore.exe
  56. C:\Program Files\HijackThis\HijackThis.exe
  57. C:\WINDOWS\system32\wbem\wmiprvse.exe
  58. 
  59. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
  60. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
  61. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
  62. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
  63. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
  64. O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
  65. O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  66. O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
  67. O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
  68. O4 - HKLM\..\Run: [30591] C:\WINDOWS\system32\4.tmp.exe
  69. O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
  70. O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\msdrive32.exe
  71. O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
  72. O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
  73. O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
  74. O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
  75. O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
  76. O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
  77. O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
  78. O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
  79. O4 - HKCU\..\Run: [12CFG214-K641-11SF-N33P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1077\vslmq.exe
  80. O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msdrive32.exe
  81. O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA')
  82. O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
  83. O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe (User 'SYSTEM')
  84. O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\Administrator\reader_s.exe (User 'Default user')
  85. O4 - Startup: RTHDCPL.exe
  86. O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
  87. O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
  88. O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  89. O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
  90. O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  91. O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
  92. O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  93. O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
  94. O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
  95. O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
  96. O23 - Service: Usługa inteligentnego transferu w tle (BITS) - Unknown owner - C:\WINDOWS\
  97. O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\BlueSoleil\BTNtService.exe
  98. O23 - Service: Aktualizacje automatyczne (wuauserv) - Unknown owner - C:\WINDOWS\
  99. 
100. --
101. End of file - 5829 bytes



[wojtas]

zastosuj:

http://www.symantec.com/security_response/writeup.jsp?docid=2009-022016-4444-99

potem to:

http://www.norman.com/support/support_tools/68989/en-us

potem wejdz tu i zastosuj sie do porad pod :

Usuwanie infekcji plików wykonywalnych bez formatu (czyli skan webem )

potem :
Daj loga z combofixa ale zainstaluj wraz z nim konsolę odzyskiwania ( instrukcja programu )