Miałem poważny problem z komputerem.

[Jagla]

A więc tak. Raz gdy podczas odpalania combofixa komputer mi sie zawiesił to go zresetowałem... I jak miał sie windows wczytywać ujżałem napis coś tam plik x/windows/system jest uszkodzony lub go nie ma i nie można dalej włączyć komputera czy coś takiego, więc wgrałem system od nowa. Wgrywałem sterowniki itd. gdy musiałem zresetować 2 raz komputer znowu ujżałem ten napis, i tam pisało że rozwiązać ten problem może włożyć płyte z windowsem i nacisnąc repair, więc zrobiłem tak ale nic nie wiedziałem co mam robić wiec nic nie zrobiłem i zresetowałem komputer, co sie okazało weszedł. I do teraz sie trzeyma, i raz popatrzyłem w procesy to zobaczyłem USERINI.exe (czy coś takiego) i to znikło a na googlach wyczytałem że to wirus. Więc nie wiem, wogóle mam wrażenie że wolniej troszke sie włącza komputer.... Co ja mam teraz zrobić?? Log z combo fixa

Kod: Zaznacz wszystko

ComboFix 08-06-16.3 - Maciekk 2008-06-17 16:08:19.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.1673 [GMT 2:00]
Running from: C:\Documents and Settings\Maciekk\Pulpit\ComboFix.exe
 * Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((   Files Created from 2008-05-17 to 2008-06-17  )))))))))))))))))))))))))))))))
.

2008-06-17 16:06 . 2008-06-17 16:06   <DIR>   d--------   C:\Program Files\Ulead Systems
2008-06-17 16:06 . 2008-06-17 16:06   <DIR>   d--------   C:\Program Files\Common Files\Ulead Systems
2008-06-17 16:06 . 2001-05-11 13:18   420,240   --a------   C:\WINDOWS\system32\mpg4c32.dll
2008-06-17 16:06 . 2001-05-16 17:54   309,616   --a------   C:\WINDOWS\system32\wmv8dmod.dll
2008-06-17 16:06 . 2001-03-26 04:41   245,760   --a------   C:\WINDOWS\system32\mp4sds32.ax
2008-06-17 16:05 . 2008-06-17 16:06   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Ulead Systems
2008-06-17 16:05 . 2001-12-19 15:47   49,152   ---------   C:\WINDOWS\system32\TempDel.EXE
2008-06-17 16:05 . 2005-01-06 16:55   9,446   --a------   C:\WINDOWS\system32\drivers\WFIOCTL.sys
2008-06-17 16:05 . 2002-06-03 23:01   8,734   --a------   C:\WINDOWS\system32\WFSch.ICO
2008-06-17 16:01 . 2008-06-17 16:01   <DIR>   d--------   C:\WINDOWS\system32\WinFox
2008-06-17 16:01 . 2008-06-17 16:01   <DIR>   d--------   C:\WINDOWS\system32\WinFast
2008-06-17 16:01 . 2008-06-17 16:02   <DIR>   d--------   C:\WINDOWS\system32\DX9
2008-06-17 16:01 . 2004-10-18 11:25   208,851   --a------   C:\WINDOWS\system32\drivers\wf88vcap.sys
2008-06-17 16:01 . 2004-10-18 11:25   34,789   --a------   C:\WINDOWS\system32\drivers\wf88tune.sys
2008-06-17 16:01 . 2004-10-18 11:25   10,324   --a------   C:\WINDOWS\system32\drivers\WF88XBAR.sys
2008-06-17 16:01 . 2003-09-05 09:57   9,469   --a------   C:\WINDOWS\system32\drivers\WINFOXIO.sys
2008-06-17 16:01 . 2002-06-03 22:52   2,238   --a------   C:\WINDOWS\system32\WFDRV.ico

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-17 13:59   ---------   d-----w   C:\Program Files\Lexmark 3300 Series
2008-06-17 13:57   ---------   d-----w   C:\Program Files\Common Files\LightScribe
2008-06-17 13:56   ---------   d-----w   C:\Documents and Settings\Maciekk\Dane aplikacji\Ahead
2008-06-17 13:56   ---------   d-----w   C:\Documents and Settings\All Users\Dane aplikacji\Ahead
2008-06-17 13:54   ---------   d-----w   C:\Program Files\Nero
2008-06-17 13:54   ---------   d-----w   C:\Program Files\Common Files\Ahead
2008-06-17 13:54   ---------   d-----w   C:\Documents and Settings\All Users\Dane aplikacji\Nero
2008-06-17 13:36   315,392   ----a-w   C:\WINDOWS\HideWin.exe
2008-06-17 13:36   ---------   d--h--w   C:\Program Files\InstallShield Installation Information
2008-06-17 13:36   ---------   d-----w   C:\Program Files\Realtek
2008-06-17 13:35   ---------   d-----w   C:\Program Files\DIFX
2008-06-17 13:33   15,600   ----a-w   C:\WINDOWS\gdrv.sys
2008-06-17 13:32   ---------   d-----w   C:\Documents and Settings\Maciekk\Dane aplikacji\InstallShield
2008-06-17 13:31   ---------   d-----w   C:\Program Files\Yahoo!
2008-06-17 13:27   ---------   d-----w   C:\Program Files\Common Files\InstallShield
2008-06-17 13:26   ---------   d-----w   C:\Program Files\VDOTool
2008-06-17 13:18   ---------   d-----w   C:\Program Files\microsoft frontpage
2008-06-17 13:17   ---------   d-----w   C:\Program Files\Usługi online
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 10:21 153136]
"LightScribe Control Panel"="C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-07-18 17:55 451872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="C:\Program Files\VDOTool\TBPanel.exe" [2007-11-01 13:25 2165272]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-16 19:07 8491008]
"nwiz"="nwiz.exe" [2007-09-16 19:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-16 19:07 81920]
"DriverCD"="F:\Run.exe" [ ]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 10:08 16380416 C:\WINDOWS\RTHDCPL.exe]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"WinFast Schedule"="d:\TV\WFWIZ.exe" [2005-03-02 13:21 278528]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;C:\WINDOWS\system32\drivers\wf88vcap.sys [2004-10-18 11:25]
R2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;C:\WINDOWS\system32\drivers\WF88XBAR.sys [2004-10-18 11:25]
R2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;C:\WINDOWS\system32\drivers\WF88TUNE.sys [2004-10-18 11:25]
R3 WFIOCTL;WFIOCTL;d:\TV\WFIOCTL.SYS [2005-01-06 16:55]
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2008-06-17 15:33]

*Newly Created Service* - CATCHME
*Newly Created Service* - UMWDF
*Newly Created Service* - WFIOCTL

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-17 16:08:49
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-17 16:09:01
ComboFix-quarantined-files.txt  2008-06-17 14:09:00

Pre-Run: 21,053,456,384 bajtów wolnych
Post-Run: 21,260,009,472 bajtów wolnych

95


PS Zaraz biore sie do instalowania Aviry.



Właśnie mi Antyvir coś znalazjduje jakieś gówna

[huber2t]

W logu nic nie widze

Daj log z HijackThis

[Jagla]

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:45:10, on 2008-06-20
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\VDOTool\TBPanel.exe
C:\WINDOWS\System32\svchost.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Gadu-Gadu\gg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DriverCD] F:\Run.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinFast Schedule] d:\TV\WFWIZ.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Gadu-Gadu\gg.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4347 bytes


[huber2t]

W log nic nie widzę

[Jagla]

To mój kmputer jest czysty?? Jak mieć 100% pewności że czysty komp jest bo mam wątpliwości. Teraz np Włączyłęm komputer, poszłem zjeść obiad, jak wróciłem był wyłączony. Teraz patrze wszystkie zakładki w mozzili usunięte i dodatki powyłączane były. Teraz skanuje komputer Avirą a potem może ad-aware ściągne bo to może jakieś spyware co ty na to?

[huber2t]

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

Sprawdź w panelu sterwowania w zasilaniu czy nie masz włączonej hibernacji lub opcji że po pewnym czasie komp się wyłączy, moze w firefixie masz tak jak ja, popróbuj inaczej dodac zakładki

[Jagla]

Ok, zrobione. Ten dr.web nic nie znalazł.


A mam takie pytanko... jak nauczyć sie sprawdzać logi np z combofixa ??

[Jagla]

Teraz uruchomiłem CHKDSK to usuneło b.dużo jakiś indeksów, segmentów itd. Sciągłem sobie Kasperkiego 2009 i podczas skanowania sie zawiesza nie wiem czy to wina mojego kompa czy wina antyvira. Jakiego AntyVira polecasz żeby sciągąnać żeby byłby dobry?? Narazie nie widze żeby nic złego się z kompem działo ale mam wrażenie, że nie chodzi tak jak powinien.

[Jagla]

Powyłączałem prawie wszystkie procesy w tym msconfig nie potrzebne ale nie wiem tylko co daje run.exe. Słuchaj bo ja mam proces nvcpl.exe a przeczytałem coś takiego....

nvcpl.exe jest procesem, który jest zarejestrowany jako robak W32.SpyBot.S. Przyjmuje do korzystania z usługi LSASS systemu Windows, luka która powoduje przepełnienie bufora i instigates (moja intuicja podpowiada instigates=zmusza) komputer do zamknięcia. Wejdź aby zobaczyć więcej informacji na temat tej luki: http://www.microsoft.com/technet/securi ... 4-011.mspx .Ten proces jest zagrożeniem bezpieczeństwa i powinien być usunięty z systemu. Proszę zobaczyć dodatkowe informacje dotyczące tego procesu.

Szkodliwość: 4/5


Więc jak to mam wywalić z kompa ??!!

[huber2t]

Lepiej usuń ale daj screen z msconfig

[Jagla]

A jak mam usunąć ten plik??


A poprawy w szybkości włączaniu internetu nie widze. Teraz skanuje komputer Avastem 4.8 Professional i jak ten nic nie znaidzie to już daje sobie spokój bo już nic sie nie zrobi...


Wybacz, że takie małe ale idzie przeczytać

[huber2t]

Rozwiń kolumnę Polecenie tam masz scieżke dostępu do tego pliku ale podaj mi na forum jaka to jest ścieżka dla bezpieczeństwa

[Jagla]

RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup


O to chodziło??

[huber2t]

Ja bardzo dużo logów sprawdzam nie tylko na tym forum ale tez na jeszcze większym i w niektórych logahc są te wpisy ale sie z nimi nic nie robi, coś mi się zdaje że to ma powiązania z grafiką ale nie jestem pewien, jeśli antywirusy nie wykryły tam wirusa to plik jest czysty ale przeskanuj ten plik jeszcze na http://virusscan.jotti.org/

[Jagla]

Nic w tym tam nie znalazło.... Czyli mój komputer na 10000% działa poprawnie?? I nie ma tu ani jednego świństwa?