prawdopodobnie wirus.

[helpmen]

Witam. Ostatnio mój komputer został zainfekowany wirusami. Używam programu AntVir, który usunął te wirusy, ponieważ teraz juz nie wyswietlają się komunikaty o ich aktywności. Jednak ten program ma tak, że jeśli jest zagrożenie systemu (jest zainfekowany) to tapęte zmienia na czerwony napis (informacja w języku angileskim o zagrożeniu).
Mimo usunięcia tapeta dalej nie zmienia się. Nie wiem jak sprawdzic, czy mój system jest juz "czysty", dlatego zamieszczam loga i prosze o jego sprawdzenie (będe ogromnie wdzięczny):

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\crauto.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\IMountSRV.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\usr\MYSQL\bin\mysqld.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\SLEE401.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
C:\WINDOWS\PowerS.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
E:\Colins\Watch.exe
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Encrypted Disk Auto Mount] rundll32.exe edshell.dll,MountAll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office2000\Office\OSA9.EXE
O4 - Global Startup: Aktywacja Testera.lnk = E:\Colins\Watch.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - E:\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A43A0ED-8027-43AF-800C-2D8D1081A955}: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: crauto - Unknown owner - C:\WINDOWS\system32\drivers\crauto.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: IMountSRV - Unknown owner - C:\WINDOWS\system32\drivers\IMountSRV.exe
O23 - Service: MySql - Unknown owner - c:\usr/MYSQL/bin/mysqld.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] (SLEE_401_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE401.exe

Autor postu otrzymał pochwałę

[Fenek2]

Kod: Zaznacz wszystko

O23 - Service: IMountSRV - Unknown owner -

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKLM\..\Run: [Encrypted Disk Auto Mount] rundll32.exe edshell.dll,MountAll



te usuń recznie w awaryjnym

Kod: Zaznacz wszystko

C:\WINDOWS\system32\drivers\IMountSRV.exe
C:\WINDOWS\system32\drivers\crauto.exe

[Red]

log jest niepelny ale stawiam na system xp
z loga za pomocą fix usun:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank

twoja tapeta ma zwiazek z tym wpisem:

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

jednak warto bys podesłał screna z wygladu pulpitu z tą czerwoną tapetką
ps
masz jakies wiadomosci na temat tego wpisu:

C:\WINDOWS\system32\drivers\crauto.exe

?

[helpmen]

Mimo, że usunąłem wpis

Kod: Zaznacz wszystko

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

tapeta nadal się nie zmieniła.
Na tapecie pisze:

"CRITICAL WARNING!
System has been stopped due to a serious malfunction. Spyware activity has been detected. It is recommeded to use spyware remowall toll to prevent data loss. Do not use the computer before all spyware removed"

Tak się dzieje, od sytuacji z wirusami. Mimo, że przeskanowałem komputer programem Ad-Aware, który usunął mi jakieś "niechciane" pliki. Nie wiem co dalej robić. Antywirus już nie wykrywa nic podjerzanego.

[Magik]

tapeta nadal się nie zmieniła.

Jedziemy z tym numerem

instrukcja usuwania tego trojana

SCIĄGNIJ PROGRAMY:
>_________________
>HIJACKTHIS,
>http://www.bleepingcomputer.com/files/hijackthis.php
>CLEANUP!
>http://www.stevengould.org/downloads/cleanup/CleanUp40.exe
>SMITHFRAUD.REG <- plik rejestru
>http://www.bleepingcomputer.com/files/reg/smitfraud.reg
>EWIDO SECURITY SUITE
>http://www.ewido.net/en/download/
>
>NASTPNIE:
>1. zainstaluj CLEANUP(NIE URUCHAMIAJ PO ZAINSTALOWANIU)
>2. zainstaluj i uruchom EWIDO SECURITY SUITE
>3. updatuj EWIDO SECURITY SUITE po zainstalowaniu(kliknij UPDATE i potem START)
>4. wyjdź z EWIDO
>5. uruchom pownie komputer i wejdź w tryb bezpieczny(zaraz po starcie komputera
>naciskaj F8 i potem wybierz SAFEMODE/TRYB BEZPIECZNY)
>W BEZPIECZNYM TRYBIE:
>1. uruchom CLEANUP! i naciśnij na CUSTOM CLEANUP(tłum. użycie manualne)
>2. wejdz do OPTIONS(opcje) i zaznacz:
>-Empty Recycle Bins
>-Delete Cookies
>-Delete Prefetch files
>-Scan local drives for temporary files
>-Cleanup! All Users
> Naciśnij OK i naciśnij przycisk CLEANUP! żeby zacząć działanie programu.
>3. wyjdź z CleanUP
>4. uruchom EWIDO SECURITY SUITE i włącz SCANNER(skanowanie)
>5. sprawdź(ewentualnie zaznacz opcje):
>-Binder
>-Crypter
>-Archives
> Rozpocznij skanowanie(Start Scan)
> W momencie gdy program będzie skanował i znajdzie zainfekowany plik naciśnij CLEAN i
>zaznacz opcje Perform action on all infections.
>6. po skanowaniu zamknij program i uruchom Windows w normalnym trybie(po prostu
>restart)
>TRYB NORMALNY:
>1. Wejdz do PANELU STEROWANIA/DODAJ USUŃ PROGRAMY i odinstaluj SPYSHERIFF.
>2. W mój komputer znajdź takie katalogi i usuń je wraz z zawartością:
>C:\Documents and Settings\user account\Start Menu\Programs\SpySheriff
>C:\Documents and Settings\user account\Application Data\Install.dat
>C:\Program Files\SpySheriff
>C:\Windows\Desktop.html
>C:\winstall.exe
>C:\Program Files\Daily Weather Forecast\
>(Documents and Settings w polskim Windowsie to Dokumenty i Ustawienia itp itd)
>3. Ściągnij HiJackThis do katalogu głównego na dysku C:.
>4. Zamknij wszystkie uruchomione programy i odłacz się od internetu i uruchom
>HIJACKTHIS
>5. Naciśnij przycisk SCAN(skanuj). Zaznacz to jeśli się pojawi:
>O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
>O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
>O4 - HKLM\..\Run: [Daily Weather Forecast] C:\Program Files\Daily Weather
>Forecast\weather.exe
> I naciśnij FIX CHECKED(napraw zaznaczone)
>6. Zamknij HIJACKTHIS.
>7. Uruchom plik rejestru SMITHFRAUD.REG. Pojawi się informacja Czy chcesz dodać to
do
>rejestru? Wybierz TAK.
>8. Przejdź za pomocą Mój Komputer do katalogu C:\WINDOWS\PREFETCH i skasuj jego
>zawartość. Jeśli katalog będzie pusty lub będzie go brakowało w katalogu WINDOWS to
>spróbuj naciśnąć w Mój komputer w pasku u góry NARZDZIA następnie OPCJE
>FOLDERÓW i następnie naciśnij zakładke WIDOK potem znajdź i zaznacz opcje POKAŻ
>UKRYTE PLIKI I FOLDERY. Zatwierdź naciskając OK i jeszcze raz sprawdź czy zawartośc
>folderu C:\WINDOWS\PREFETCH jest pusta jeśli tak to zrestartuj komputer i już
>powinieneś móć zmienić tapete na normalną
>WŁAŚNIE USUNĄŁEŚ SPYSHERIFA.

[helpmen]

Wielkie dzięki - pomogło.

[hob]

WItam...
mam ten sam problem co "HELPMEN", usunołem virusy juz tylko zostala ta tapeta zmieniająca sie. staram sie postępować tak jak to napisał D!eselek 1.9T, jednakże przy pkt. 5 uruchamiam ponownie komputer, naciskam F8 i niestety nie widze zadnego TRYBU BEZPIECZNEGO... mam windowsa xp. co z tym zrobić .. pomóżcie

z góry wielkie dzięki

Hob

[jeff]

tylko zostala ta tapeta zmieniająca sie

spróbuj
Desktop Recovery Kit

[hob]

ale to jakis program jest?[/quote]

[jeff]

ale to jakis program jest?

tak... w powyższym linku co dałem ze spisu odszukujesz:

Desktop Recovery Kit -> czytasz INFO lodorusa i jedziesz...

[hob]

Ok postaram sie;] dzieki bedziemy w kontakcie

[ Dodano: Dzisiaj o 7:51 ]
tylko tkóry z tych programów jest do xp... bo uzylem teraz Desktop Recovery Kit i niestety nie pomogło...