Nie wykrywa CSRSS.EXE

No i zrobiłem wg tego co powiedziałeś i wywaliło mi neta. Zrobiłem przywracanie systemu
Log z Avengera:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\Documents and Settings\Administrator\Dane aplikacji\xbbe2wmufenpjvefqxgmb1nbpflgwuvp2" deleted successfully.
Folder "C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2" deleted successfully.
Folder "C:\Documents and Settings\Administrator\Dane aplikacji\xw3ppoqujsbdhetswbwl1xu3x1c3r3ns2" deleted successfully.
Folder "C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2" deleted successfully.

Error: folder "C:\Documents and Settings\Administrator\Dane aplikacji\7202.12" not found!
Deletion of folder "C:\Documents and Settings\Administrator\Dane aplikacji\7202.12" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: "C:\Documents and Settings\Administrator\Dane aplikacji\340C.224" is not a folder! It may instead be a file.
Deletion of folder "C:\Documents and Settings\Administrator\Dane aplikacji\340C.224" failed!
Status: 0xc0000103 (STATUS_NOT_A_DIRECTORY)
--> use "Files to delete:" instead of "Folders to delete:" to delete an ordinary file

File "C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\csrss.exe" deleted successfully.
File "C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe" deleted successfully.
File "C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe" deleted successfully.
Program "C:\FIX.reg" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.

wywaliło mi neta

A dokładniej???

Podaj jeszcze nowe logi z OTL, choć skoro robiłeś przywracanie to spodziewam się, że i syf przywróciłeś. No nic zobaczymy.

Po prostu nie otwierało mi stron. Tak jakby nagle wszystko sie poblokowało.Nawet w trybie awaryjnym z obsługą sieci. eh chyba jednak przywróciłem tez ten syf.
http://www.wklej.eu/index.php?id=c7425f4ecf OTL
http://www.wklej.eu/index.php?id=5e2cc065e0 extras

No tak, wszystko się przywróciło. Ale zróbmy to jeszcze inaczej. Powtórz operację z Avengerem. Następnie w OTL wklej taki krótki skrypt:

:OTL
IE - HKU\S-1-5-21-1390067357-1085031214-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-1390067357-1085031214-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:52808
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 173.192.105.217 173.193.227.124

Klikasz Wykonaj skrypt. Zrestartuj kompa. Jeśli jednak po restarcie będzie nadal problem z netem (spróbuj także przez inną przeglądarkę, np. IE) zrób przywracanie i jeszcze zrobimy inaczej.

Najlepiej zapisz sobie od razu ten skrypt z OTL na kompie, gdyż po operacji z Avengerem będzie zapewne problem z netem. Dlatego mam nadzieję, że skrypt w OTL go już naprawi.

Po wykonaniu skryptu w OTL wyskoczyło :

========== OTL ==========
HKU\S-1-5-21-1390067357-1085031214-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
HKU\S-1-5-21-1390067357-1085031214-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer| /E : value set successfully!
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer| /E : value set successfully!

OTL by OldTimer - Version 3.2.21.0 log created on 02242011_202956

Avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: folder "C:\Documents and Settings\Administrator\Dane aplikacji\xbbe2wmufenpjvefqxgmb1nbpflgwuvp2" not found!
Deletion of folder "C:\Documents and Settings\Administrator\Dane aplikacji\xbbe2wmufenpjvefqxgmb1nbpflgwuvp2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2" not found!
Deletion of folder "C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Documents and Settings\Administrator\Dane aplikacji\xw3ppoqujsbdhetswbwl1xu3x1c3r3ns2" not found!
Deletion of folder "C:\Documents and Settings\Administrator\Dane aplikacji\xw3ppoqujsbdhetswbwl1xu3x1c3r3ns2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2" not found!
Deletion of folder "C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Documents and Settings\Administrator\Dane aplikacji\7202.12" not found!
Deletion of folder "C:\Documents and Settings\Administrator\Dane aplikacji\7202.12" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: "C:\Documents and Settings\Administrator\Dane aplikacji\340C.224" is not a folder! It may instead be a file.
Deletion of folder "C:\Documents and Settings\Administrator\Dane aplikacji\340C.224" failed!
Status: 0xc0000103 (STATUS_NOT_A_DIRECTORY)
--> use "Files to delete:" instead of "Folders to delete:" to delete an ordinary file

File "C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\csrss.exe" deleted successfully.
File "C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\conhost.exe" deleted successfully.
File "C:\Documents and Settings\Administrator\Dane aplikacji\dwm.exe" deleted successfully.
Program "C:\FIX.reg" successfully queued to run on reboot.

Completed script processing.

*******************

Finished! Terminate.

Nowy z OTL http://wklej.eu/index.php?id=a2484bdfb8
Na IE teraz jest net na operze nie ma

Jest dobrze.

Opera Menu Ustawienia Preferencje zakładka Zaawansowane Sieć Serwery Proxy odznacz wszystkie fajki Ok.

Później wejdź w Panel sterowania Połączenia sieciowe i internetowe Połączenia sieciowe prawoklik na połączenie i wybierz Właściwości zaznacz Protokół internetowy (TCP/IP) i wybierz Właściwości zaznacz opcję "Uzyskaj adres serwera DNS automatycznie" Ok.

Odinstaluj Ask Toolbar.

Następnie w OTL wklej:

:OTL
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O4 - HKU\S-1-5-21-1390067357-1085031214-1801674531-500..\Run: [mssend] File not found
F3 - HKU\S-1-5-21-1390067357-1085031214-1801674531-500 WinNT: Load - (C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\csrss.exe) - File not found
[2011-02-17 13:53:33 | 000,005,014 | ---- | C] () -- C:\Documents and Settings\Administrator\Dane aplikacji\340C.224
[2011-02-17 12:32:11 | 000,013,672 | ---- | C] () -- C:\Documents and Settings\Administrator\Dane aplikacji\7202.12E

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Ask toolbar odinstalowany. Logi:
http://www.wklej.eu/index.php?id=03c6cb8b3f log z usuwania
http://www.wklej.eu/index.php?id=7b6a9a612d nowy z otla
http://www.wklej.eu/index.php?id=140b84b3ae extras

Zmieniałeś te ustawienia w połączeniu sieciowym??? Bo w logu nadal widzę te szkodliwe DNS-y.

W OTL wklej:

:OTL
O3 - HKU\S-1-5-21-1390067357-1085031214-1801674531-500\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 173.192.105.217 173.193.227.124

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\0.3261719558617614.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\xbbe2wmufenpjvefqxgmb1nbpflgwuvp2\svcnost.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\xw3ppoqujsbdhetswbwl1xu3x1c3r3ns2\svcnost.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\xxn1vhpdtiqpdlfvhne2d1paplmhhzvo2\svcnost.exe"=-
"C:\Documents and Settings\Administrator\Dane aplikacji\ivwjdfbkm3j2vdudzxswdyf1mhyuvxu2\csrss.exe"=-

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zaktualizuj IE do najnowszej wersji (nawet jeśli go nie używasz) http://www.instalki.pl/programy/downloa ... _8_XP.html

Odinstaluj stare wersje Javy:

Java(TM) 6 Update 17
Java(TM) 6 Update 7

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html

Odinstaluj starą wersję czytnika .pdf:

Adobe Reader 9 Lite

i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html

Coś siedzi w operze

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Wersja bazy: 5873

Windows 5.1.2600 Dodatek Service Pack 3
Internet Explorer 7.0.5730.13

2011-02-24 23:02:14
mbam-log-2011-02-24 (23-02-01).txt

Typ skanowania: Pełne skanowanie (C:\|E:\|F:\|)
Przeskanowano obiektów: 227914
Upłynęło: 21 minut(y), 53 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 3
Zainfekowanych wartości rejestru: 2
Zainfekowane informacje rejestru systemowego: 2
Zainfekowanych folderów: 0
Zainfekowanych plików: 5

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) No action taken.
HKEY_CURRENT_USER\SOFTWARE\TOY5KNQ8OC (Trojan.FakeAlert) No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) No action taken.

Zainfekowanych wartości rejestru:
HKEY_CURRENT_USER\Software\Microsoft\setiasworld (Malware.Trace) Value: setiasworld No action taken.
HKEY_CURRENT_USER\Software\Microsoft\bk (Malware.Trace) Value: bk No action taken.

Zainfekowane informacje rejestru systemowego:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) Bad: (0) Good: (1) No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) Bad: (1) Good: (0) No action taken.

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
c:\documents and settings\administrator\moje dokumenty\Paweł\windows.genuine.advantage.validation_wga\sprawdzanie kluczy systemu\produkey 1.01\ProduKey.exe (PUP.PSWTool.ProductKey) No action taken.
c:\documents and settings\administrator\Pulpit\Moje\perfectdisk11_keygen-crd\keygen-crd\kg.exe (Trojan.Agent.CK) No action taken.
c:\program files\Opera\update.exe (Spyware.Passwords.XGen) No action taken.
c:\program files\WinRAR\default_eng.sfx (Trojan.PWS) No action taken.
e:\skarabeusz\skarabeusz 1\skarabeusz_v.2.5_kgn.exe (Riskware.Tool.CK) No action taken.

Te strony, o których pisałem wcześniej, dalej nie ładują się tzn: wykop.pl, chomikuj.pl, opera-slaska.pl DNS jest cały czas ustawiony na automatyczny

No action taken.

Usunąłeś to co znalazł??? Jeśli nie to usuń.

W Operze rozumiem, że wyłączyłeś wszelkie proxy???

Ustaw jeszcze takie DNS-y:

8.8.8.8
8.8.4.4

Korzystasz z routera??? Jeśli tak to sprawdź także w jego konfiguracji, czy są ustawione jakieś DNS-y.

Usunąłem wszystko tak jak trzeba było. W operze odznaczyłem ustawienia proxy. Teraz jak ustawiłem DNS 8.8.8.8 i 8.8.4.4 to zaczęło mi w końcu wchodzić na te stronki, o których pisałem. Wydaje mi się, że wszystko ok. Przeskanuję antymalwarem jeszcze raz

No, wszystko pięknie śmiga Dzięki wielkie za pomoc!