Napis koło zegarka "VIRUS ALERT!" pamiątka po Zlob.Downloade

Witajcie. Mam problem, m.in. Napis koło zegarka "VIRUS ALERT!" tzn pozostałość po Zlob.Downloaderze(trojan) jak go usunąć? aha i dodatkowo usunął mi ikonke wylogowania w "Start". Czy HiJackThis naprawi to? a oto log:

Kod:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:46: VIRUS ALERT!, on 2008-10-18
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Documents and Settings\Sebek.DOM-74EE00ADF37\Pulpit\xammp\xampp\apache\bin\apache.exe
D:\WINDOWS\system32\PnkBstrA.exe
D:\Program Files\CyberLink\Shared files\RichVideo.exe
D:\WINDOWS\System32\snmp.exe
D:\WINDOWS\system32\svchost.exe
D:\Documents and Settings\Sebek.DOM-74EE00ADF37\Pulpit\xammp\xampp\apache\bin\apache.exe
D:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\explorer.exe
D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
D:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
D:\programy\Nowe Gadu-Gadu\gg.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Documents and Settings\Karol\Pulpit\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - D:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - D:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: QXK Olive - {343C2D3D-295E-4256-A18F-C0204F026CE5} - D:\WINDOWS\grfxbanofek.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {548DA4C6-8E7F-49AB-B90F-F9A2CAA99EAA} - (no file)
O2 - BHO: (no name) - {758F6D53-DCC7-4CCF-9080-4B6F9389F641} - D:\WINDOWS\system32\fcCSKCrr.dll
O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - D:\programy\pełna wer\Expressivo\IH_iexplore.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Program Files\Free Download Manager\iefdmcks.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - D:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - D:\programy\pełna wer\Expressivo\IH_iexplore.dll
O4 - HKLM\..\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WheelMouse] D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avgnt] "D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [CloneCDTray] "D:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] D:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "D:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "D:\programy\Nowe Gadu-Gadu\gg.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Winamp Search - D:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Pobierz w Free Download Manager - file://D:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Pobierz wszystkie pliki w Free Download Manager - file://D:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Pobierz zaznaczone w Free Download Manager - file://D:\Program Files\Free Download Manager\dlselected.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECE80DB2-7AF2-403B-9012-609E4936DF56}: NameServer = 111.111.111.111,222.222.222.222
O17 - HKLM\System\CCS\Services\Tcpip\..\{FAEE2BEF-599A-4F12-B9CA-AE8C08AF3DAE}: NameServer = 192.168.1.1 194.204.159.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: uzuyxu.dll
O20 - Winlogon Notify: fcCSKCrr - D:\WINDOWS\SYSTEM32\fcCSKCrr.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - D:\Documents and Settings\Sebek.DOM-74EE00ADF37\Pulpit\xammp\xampp\apache\bin\apache.exe
O23 - Service: Ati HotKey Poller - Unknown owner - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - D:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - D:\Program Files\CyberLink\Shared files\RichVideo.exe

--
End of file - 9196 bytes

czy jest tutaj gdzieś jakiś dziwny wpis? jak tak to powiedzcie, a tu jest screen problemu: [obrazek nie jest już dostępny] proszę o pomoc! Z góry dziękuję.

Podaj log z Combofix

Fix w HijackThis.

O2 - BHO: QXK Olive - {343C2D3D-295E-4256-A18F-C0204F026CE5} - D:\WINDOWS\grfxbanofek.dll
O2 - BHO: (no name) - {548DA4C6-8E7F-49AB-B90F-F9A2CAA99EAA} - (no file)
O2 - BHO: (no name) - {758F6D53-DCC7-4CCF-9080-4B6F9389F641} - D:\WINDOWS\system32\fcCSKCrr.dll
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O17 - HKLM\System\CCS\Services\Tcpip\..\{ECE80DB2-7AF2-403B-9012-609E4936DF56}: NameServer = 111.111.111.111,222.222.222.222
O20 - AppInit_DLLs: uzuyxu.dll
O20 - Winlogon Notify: fcCSKCrr - D:\WINDOWS\SYSTEM32\fcCSKCrr.dll

Wrzuć log z [url=https://www.instalki.pl/programy/download/Windows/antyspyware/ComboFix.html]ComboFix wklejto lub WKLEJ.ORG

Ok tutaj jest z ComboFix log:

Kod:

http://www.wklejto.pl/12548

przywrócił mi ikonkę "wyloguj" i nie ma już napisu koło zegarka "Virus Alert!" także zrobił swoją robotę. Dziękuję bardzo za rady i trud:) można zamknąć

To jeszcze nie wszystko

Wklej do notatnika:

Kod:

File::
D:\WINDOWS\lomxeqsn.exe
D:\1.bmp
D:\395.bmp

Folder::
D:\Documents and Settings\All Users\Dane aplikacji\ufevipsv
D:\Documents and Settings\All Users\Dane aplikacji\cnovupap

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"NeroFilterCheck"=-


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu a w poście dajesz tylko link

To jeszcze nie wszystko

Wklej do notatnika:

Kod:

File::
D:\WINDOWS\lomxeqsn.exe
D:\1.bmp
D:\395.bmp

Folder::
D:\Documents and Settings\All Users\Dane aplikacji\ufevipsv
D:\Documents and Settings\All Users\Dane aplikacji\cnovupap

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"NeroFilterCheck"=-


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu a w poście dajesz tylko link

wkleiłem to, zapisałem jak napisałeś, przeciągnąłem na ComboFix, coś tam zrobił, i nagle dysk mi się wyłączył i wywaliło mi niebieski ekran, czyli krótko mówiąc błąd systemu i reset. i logów nie ma...

A system działa? Jeśli tak to uruchom w dwuklikuu combofix i spróbuj dać logi

Pobierz SDFix, https://www.instalki.pl/programy/downlo ... SDFix.html .

Instrukcja obsługi :

* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)
* Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
* Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
* Wciśnij Y nastąpi proces usuwania.
* Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
* Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.
* Pokaż Report.txt znajdujący się w folderze SDFix.


Jak podajesz logi zaznaczaj je tagem code lub quote czyli zaznaczasz caly log z sdfix'a i kilkasz w code lub quote .

Logi dajesz na wklej.eu

mam dobrą wiadomość, otóż jeszcze raz spróbowałem i się udało. A to log:

Kod:

http://www.wklejto.pl/12618

tylko mam jeszcze jedno pytanko. A mianowicie przy rozruchu komputera (przy wyborze systemów) mój system sam się wybiera, nawet nie zdążę wcisnąć enter. Jak zrobić żeby tak się nie działo?

W logu nic nie widzę

Przeskanuj jeszcze sdfixem

Dobra, bo ja już muszę schodzić, więc za jakąś około 1 h będzie.

A mianowicie przy rozruchu komputera (przy wyborze systemów) mój system sam się wybiera, nawet nie zdążę wcisnąć enter. Jak zrobić żeby tak się nie działo?
PPM na mój komp > właściwości > zaawansowane > odzyskiwanie i uruchamianie > ustawienia > czas wyświetlania listy np; 30sek i te 2 też np: 30sek. > ok

Macie tu log z SDFix'a:

Kod:

http://www.wklejto.pl/12820

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera

Kod:

http://www.kaspersky.pl/virusscanner.html

(uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

oto i logi z Dr.Web:

Kod:

http://www.wklejto.pl/13054

powodzenia!