Złośnik czy posypany Windows? [log gratis!]

Witam.

Na początek krotki opis problemu, gdyż nie jest dla mnie oczywiste iż mam do czynienia z jakimś złośliwcem.

Pewnego dnia, po uruchomieniu komputera (laptop, służy rodzinie do różnych rzeczy), Avast stwierdził w moim svchost.exe jakiegoś trojana (!!!), a ja zamiast "Spadaj na bambus" kliknąłem w "skasuj i zmasakruj".
Reset, a Avast znów kombinuje - tym razem wydało mu się że cdaaccess.exe jest trojanem, ale nie dałem mu go skasować.
W tym czasie zauważyłem następujący szereg niepokojących objawów:
Po zminimalizowaniu okienka, nie ładuje ono na pasku zadań, tylko pod nim w formie zminimalizowanej.
Dźwięk zniknął (głośniczek – takoż)- pomimo ze w menadżerze urządzeń znajduje się karta dźwiękowa.
Połączenia sieciowe również puste - pomimo iż w menadżerze sieciówka egzystuje.
Po odpaleniu Worda, ten pluje "Ten dokument może nie być zarejestrowany" i otwiera, ale słownika niet.
Nie mogę także przeciągać plików w explorerze - wiec bez TC ani rusz.
Avast nie uruchamia się.

Przywróciłem svchost.exe z płyty XP, ale nic to nie zmieniło.

Jakieś inne pomysły?

Poniżej wklejam zawartość skanu hijack'a:

Logfile of HijackThis v1.99.1
Scan saved at 21:22:00, on 2008-06-03
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\atievxx.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\niSvcLoc.exe
C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\SpeedswitchXP\SpeedswitchXP.exe
C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\WlanCU.exe
C:\Documents and Settings\Adak\Pulpit\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [SpeedswitchXP] C:\SpeedswitchXP\SpeedswitchXP.exe
O4 - Global Startup: Wireless Configuration Utility HW.32.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: NILM License manager - Macrovision Corporation - C:\Program Files\National Instruments\shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments - C:\WINDOWS\System32\niSvcLoc.exe
O23 - Service: SiS WirelessLan Service (SiSWLSvc) - Unknown owner - C:\Program Files\802.11 Wireless LAN\802.11g Pen Size Wireless USB 2.0 Adapter HW.32 V1.10\SiSWLSvc.exe

Z góry dziękuję.

Pokaż log z Combofix

Służę:

ComboFix 08-06-01.6 - Adak 2008-06-04 18:41:38.1 - NTFSx86
Running from: C:\Documents and Settings\Adak\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2008-05-04 to 2008-06-04 )))))))))))))))))))))))))))))))
.

2008-06-03 17:03 . 2001-10-26 19:30 12,800 --a------ C:\WINDOWS\system32\svchost.exe
2008-06-03 13:29 . 2001-08-17 20:19 136,960 --a------ C:\WINDOWS\system32\drivers\essm2e.sys
2008-06-03 13:29 . 2001-08-18 06:24 135,040 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-06-03 13:29 . 2001-08-18 06:24 134,144 --a------ C:\WINDOWS\system32\drivers\ks.sys
2008-06-03 13:29 . 2001-10-26 17:30 117,248 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-06-03 13:29 . 2001-08-17 22:01 57,344 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-06-03 13:29 . 2001-08-17 22:01 42,752 --a------ C:\WINDOWS\system32\drivers\stream.sys
2008-06-03 13:29 . 2001-10-26 17:30 22,016 --a------ C:\WINDOWS\system32\wdmaud.drv
2008-06-03 13:29 . 2001-08-17 21:48 5,120 --a------ C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2008-06-03 13:29 . 2001-10-26 17:27 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-06-02 19:58 . 2008-06-02 19:59 <DIR> d-------- C:\Program Files\Luxor
2008-06-02 19:57 . 2008-06-02 19:57 <DIR> d-------- C:\Program Files\ReflexiveArcade
2008-05-29 21:34 . 2008-05-29 21:38 <DIR> d-------- C:\Documents and Settings\Adak\Dane aplikacji\ICQ
2008-05-29 21:32 . 2008-05-29 21:42 <DIR> d-------- C:\Program Files\ICQLite
2008-05-29 21:32 . 2008-05-29 21:42 <DIR> d-------- C:\Documents and Settings\Adak\Dane aplikacji\ICQLite
2008-05-29 10:59 . 2008-05-29 10:59 <DIR> d-------- C:\Program Files\Tlen.pl
2008-05-29 10:15 . 2008-05-29 10:15 <DIR> d-------- C:\Documents and Settings\Adak\Dane aplikacji\Tlen.pl
2008-05-07 11:25 . 2008-05-07 11:25 0 --a------ C:\WINDOWS\system32\swunilog.ini
2008-05-07 11:11 . 2008-05-07 11:11 <DIR> d-------- C:\Program Files\802.11 Wireless LAN

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2003-05-01 08:36 114,688 ----a-w C:\Program Files\internet explorer\plugins\LV7ActiveXControl.dll
.

------- Sigcheck -------

2001-10-26 19:30 12800 b3c95bfeef6781a82a1c429f466a3a11 C:\WINDOWS\system32\svchost.exe

2004-06-17 19:58 530432 160a69cf24a426b2bd22b2b8cb7950c8 C:\WINDOWS\system32\user32.dll
2004-06-17 19:58 530432 160a69cf24a426b2bd22b2b8cb7950c8 C:\WINDOWS\system32\dllcache\user32.dll

2001-10-26 19:29 75264 9b7d1c56cc12d806314b853bf52ecb4c C:\WINDOWS\system32\ws2_32.dll
2001-10-26 19:29 75264 9b7d1c56cc12d806314b853bf52ecb4c C:\WINDOWS\system32\dllcache\ws2_32.dll

2004-08-23 19:18 587776 33e3501fbe09d90c57ca9831f38a3e09 C:\WINDOWS\system32\WININET.DLL
2004-08-23 19:18 587776 33e3501fbe09d90c57ca9831f38a3e09 C:\WINDOWS\system32\dllcache\WININET.DLL

2001-08-18 08:24 327168 e7774698bb0d14b0710a9a31e209f9b6 C:\WINDOWS\system32\dllcache\tcpip.sys
2001-08-18 08:24 327168 e7774698bb0d14b0710a9a31e209f9b6 C:\WINDOWS\system32\drivers\tcpip.sys

2004-06-17 02:21 433152 3b7db268f4962c1f6061c77fddcedd26 C:\WINDOWS\system32\winlogon.exe
2004-06-17 02:21 433152 3b7db268f4962c1f6061c77fddcedd26 C:\WINDOWS\system32\dllcache\winlogon.exe

2001-08-18 08:24 161536 3efd4f59ba0a340de0a3ab984001dbf7 C:\WINDOWS\system32\dllcache\ndis.sys
2001-08-18 08:24 161536 3efd4f59ba0a340de0a3ab984001dbf7 C:\WINDOWS\system32\drivers\ndis.sys


2004-06-17 19:53 1905152 95e107cc318d3197f00d0bdddf99f952 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2004-06-17 19:53 1905152 95e107cc318d3197f00d0bdddf99f952 C:\WINDOWS\system32\ntkrnlpa.exe

2004-06-17 19:54 1883136 cb6c56d0f5b0de01ab74158427d42d2b C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2004-06-17 19:54 1883136 cb6c56d0f5b0de01ab74158427d42d2b C:\WINDOWS\system32\ntoskrnl.exe

2001-10-26 19:29 1002496 0b6cb4abb3166e1717bda7895f2029d8 C:\WINDOWS\explorer.exe
2001-10-26 19:29 1002496 0b6cb4abb3166e1717bda7895f2029d8 C:\WINDOWS\system32\dllcache\explorer.exe

2001-10-26 19:30 101888 bf4cbefdce42a699389791647cb95ca2 C:\WINDOWS\system32\services.exe
2001-10-26 19:30 101888 bf4cbefdce42a699389791647cb95ca2 C:\WINDOWS\system32\dllcache\services.exe

2001-10-26 19:29 11776 5cc79cfe660dd720739fb9adb03f2275 C:\WINDOWS\system32\lsass.exe
2001-10-26 19:29 11776 5cc79cfe660dd720739fb9adb03f2275 C:\WINDOWS\system32\dllcache\lsass.exe

2001-10-26 19:29 13312 106e93e7eead4f0797fc1a30bd53fa3d C:\WINDOWS\system32\ctfmon.exe
2001-10-26 19:29 13312 106e93e7eead4f0797fc1a30bd53fa3d C:\WINDOWS\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedswitchXP"="C:\SpeedswitchXP\SpeedswitchXP.exe" [2004-05-14 03:30 491520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 12:06 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 19:29 13312]

[HKLM\~\startupfolder\C:^Documents and Settings^Adak^Menu Start^Programy^Autostart^H3 The Shadow of Death(TM).lnk]
path=C:\Documents and Settings\Adak\Menu Start\Programy\Autostart\H3 The Shadow of Death(TM).lnk
backup=C:\WINDOWS\pss\H3 The Shadow of Death(TM).lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^NkvMon.exe.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Auto CD-ROM Startup]


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2003-10-26 23:53 57344 C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2001-10-26 19:29 13312 C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:06 3144800 C:\Program Files\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunUtility]
--a------ 2006-01-20 19:29 17895424 C:\Program Files\Cisco-Linksys LLC\Wireless-G Notebook Adapter with SRX400\WPC54GX4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-03-14 03:43 83608 C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\DP.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-04 18:51:45
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-06-04 18:53:27
ComboFix-quarantined-files.txt 2008-06-04 16:53:20

Pre-Run: 464,842,752 bajtów wolnych
Post-Run: 1,445,974,016 bajtów wolnych

107

W logu czysto

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

Nie mogę - nie działa żadne połączenie sieciowe.

Przeskanuj komputer programem ArcaMicroscan lub Dr. Web Cure It

Przeskanuj komputer programem ArcaMicroscan lub Dr. Web Cure It

ArcaMicroscan nie potrafi zeskanowac, bo nie moze dopchnac sie do Instalatora Windows, a Web Cure It nie wykryl nic sensownego (VNC, Combofixa i takie tam dyrdymaly).

Co dalej?

Jeśli tak jest to powinno byc ok:)

Czyli posypany Windows, a nie szkodnik?

tak masz coś w windowsie wysypanego

Ok, dziekuje, moze cos na alt.pl.comp.os.windowsxp poradza, ale choc wiadomo, ze to nie bug.

Pozdrawiam!