[madcows7]

Na mano klausimas yra gaunu mano avast sakydamas sysrestore.dll yra malaware Any help please? Dėkojame, kad jiems neramu, nes aš turiu naudoti sistemos atkūrimo praėjo, ir jei jis dabar yra virusas im prisukamas

[evilfantasy]

Ne prisukamas.

Rašyti HijackThis, kad mes galime ieškoti.

[madcows7]

Logfile Trend Micro HijackThis v2.0.2
Skaitymo išsaugotas 6:20:16 dėl 4/19/2008
Platforma: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Veikia procesus:
C: \ Windows \ system32 \ taskeng.exe
C: \ Windows \ system32 \ Dwm.exe
C: \ Windows \ explorer.exe
C: \ Program Files \ Alwil Software \ Avast4 \ ashDisp.exe
C: \ Program Files \ Common Files \ Symantec Shared \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe
C: \ Windows \ System32 \ rundll32.exe
C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe
C: \ Windows \ System32 \ rundll32.exe
C: \ Windows \ System32 \ CtHelper.exe
C: \ Windows \ System32 \ CTXFIHLP.EXE
C: \ Users \ Pažymėti JR \ Program Files \ DNA \ btdna.exe
C: \ Windows \ System32 \ CTXFISPI.EXE
C: \ Windows \ system32 \ wbem \ unsecapp.exe
C: \ Program Files \ MSN Messenger \ msnmsgr.exe
C: \ Program Files \ MSN Messenger \ livecall.exe
C: \ Program Files \ Mozilla Firefox \ firefox.exe
C: \ Users \ Pažymėti JR \ Desktop \ dss.exe
C: \ Windows \ system32 \ conime.exe
C: \ PROGRA ~ 1 \ TRENDM ~ 1 \ hijack ~ 1 \ Pažymėti JR.exe
C: \ Windows \ system32 \ SearchFilterHost.exe

R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = aboutšvarūs
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Žiniasklaida ernet Nustatymai, ProxyOverride = *. vietos
R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName =
O1 - Hosts: 72.233.61.2 L2authd.lineage2.com
O1 - Hosts: 72.233.61.2 L2testauthd.lineage2.com
O2 - BHO: RealPlayer Atsisiųsti ir įrašų Įskiepis Internet Explorer - (3049C3E9-B461-4BC5-8870-4C09146192CA) - C: \ Program Files \ Real \ "RealPlayer \ rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O2 - BHO: Windows Live Sign-in Helper - (9030D464-4C02-4ABF-8ECC-5164760863C6) - C: \ Program Files \ Common Files \ Microsoft Shared \ Windows Live \ WindowsLiveLogin.dll
O2 - BHO: MegaIEMn - (bf00e119-21a3-4fd1-B178-3b8537e75c92) - C: \ Program Files \ Megaupload \ Mega Manager \ MegaIEMn.dll
O4 - HKLM \ .. \ Run: [avast!] C: \ PROGRA ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe
O4 - HKLM \ .. \ Run: [Windows Defender]% ProgramFiles% \ Windows Defender \ MSASCui.exe-hide
O4 - HKLM \ .. \ Run: [Tinklelis tarnyba] "C: \ Program Files \ GridService \ peer.exe"-n "Grid
O4 - HKLM \ .. \ Run: [vmware-tray] "C: \ Program Files \ VMware \ VMware Workstation \ vmware-tray.exe"
O4 - HKLM \ .. \ Run: [VMware hqtray] "C: \ Program Files \ VMware \ VMware Workstation \ hqtray.exe"
O4 - HKLM \ .. \ Run: [Symantec PIF AlertEng] "C: \ Program Files \ Common Files \ Symantec Shared \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe" / / M " C: \ Program Files \ Common Files \ Symantec Shared \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ AlertEng.dll "
O4 - HKLM \ .. \ Run: [UpdReg] C: \ Windows \ UpdReg.EXE
O4 - HKLM \ .. \ Run: [NvSvc] RUNDLL32.EXE C: \ Windows \ system32 \ nvsvc.dll, nvsvcStart
O4 - HKLM \ .. \ Run: [NvCplDaemon] RUNDLL32.EXE C: \ Windows \ system32 \ NvCpl.dll, NvStartup
O4 - HKLM \ .. \ Run: [NvMediaCenter] RUNDLL32.EXE C: \ Windows \ system32 \ NvMcTray.dll, NvTaskbarInit
O4 - HKLM \ .. \ Run: [NeroCheck] C: \ Windows \ system32 \ NeroCheck.exe
O4 - HKLM \ .. \ Run: [TkBellExe] "C: \ Program Files \ Common Files \ Real \ Update_OB \ realsched.exe"-osboot
O4 - HKLM \ .. \ Run: [AsioReg] regsvr32.exe / S CTASIO.DLL
O4 - HKLM \ .. \ Run: [CTHelper] CTHELPER.EXE
O4 - HKLM \ .. \ Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM \ .. \ Run: [CTXFIREG] CTxfiReg.exe
O4 - HKCU \ .. \ Run: [BitTorrent DNA] "C: \ Users \ Pažymėti JR \ Program Files \ DNA \ btdna.exe"
O4 - HKCU \ .. \ Run: [igndlm.exe] C: \ Program Files \ Download Manager \ DLM.exe / windowsstart / startifwork
O4 - HKCU \ .. \ Run: [Steam] "C: \ Program Files \ garo \ steam.exe"-silent
O4 - HKCU \ .. \ Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU \ .. \ Run: [SUPERAntiSpyware] C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe
O4 - HKUS \ S-1-5-19 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-19 \ .. \ Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS \ S-1-5-20 \ .. \ Run: [Sidebar]% ProgramFiles% \ Windows Sidebar \ Sidebar.exe / detectMem (User 'NETWORK SERVICE')
O8 - Extra kontekstinio meniu punktą: Download Link Naudojant Mega Manager ... - C: \ Program Files \ Megaupload \ Mega Manager \ mm_file.htm
O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra 'Tools' MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_03 \ bin \ ssv.dll
O9 - Extra button: Yahoo! Paslaugos - (5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897) - (no file)
O10 - Unknown file in Winsock LSP: c: \ windows \ system32 \ prxernsp.dll
O13 - Gopher Prefix:
O16 - DPF: (0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75) (CKAVWebScan Object) -- http://www.kaspersky.com/kos/eng/par...an_unicode.cab
O16 - DPF: (20A60F0D-9AFA-4515-A0FD-83BD84642501) (Checkers Class) -- http://messenger.zone.msn.com/binary...r.cab56986.cab
O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (Installation Support) - C: \ Program Files \ Yahoo! \ Common \ Yinsthelper.dll
O16 - DPF: (48DD0448-9209-4F81-9F6D-D83562940134) (MySpace Uploader Control) -- http://lads.myspace.com/upload/MySpaceUploader1005.cab
O16 - DPF: (69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A) (GameLauncher Control) -- http://www.acclaim.com/cabs/acclaim_v4.cab
O16 - DPF: (A4110378-789B-455F-AE86-3A1BFC402853) (ZPA_SHVL Object) -- http://zone.msn.com/bingame/zpagames...l.cab55579.cab
O16 - DPF: (B8BE5E93-A60C-4D26-A2DC-220313175592) (MSN Games - Installer) -- http://cdn2.zone.msn.com/binFramewor...o.cab56649.cab
O16 - DPF: (C3F79A2B-B9B4-4A66-B012-3EE46475B072) (MessengerStatsClient klasė) -- http://messenger.zone.msn.com/binary...t.cab56907.cab
O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O16 - DPF: (DA2AA6CF-5C7A-4B71-BC3B-C771BB369937) (MSN Games - Žaidimas Communicator) -- http://zone.msn.com/binframework/v10...y.cab55579.cab
O16 - DPF: (FFB3A759-98B1-446F-BDA9-909C6EB18CC7) (PCPitstop egzamino) -- http://utilities.pcpitstop.com/optimize2/pcpitstop2.dll
Ø20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll
Ø20 - Winlogon Notify: GoToAssist - C: \ Program Files \ Citrix \ GoToAssist \ 480 \ G2AWinLogon.dll (file missing)
O23 - Service: avast! iAVS4 kontrolės tarnybos (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe
O23 - Service: # # Id_String1.6844F930_1628_4223_B5CC_5BB94B879762 # # (Bonjour Service) - Apple Computer, Inc - C: \ Program Files \ Bonjour \ mDNSResponder.exe
O23 - Service: Symantec Lic NETCONNECT paslaugos (CLTNetCnService) - Unknown owner - C: \ Program Files \ Common Files \ Symantec Shared \ ccSvcHst.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C: \ Windows \ system32 \ CTsvcCDA.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd - C: \ Program Files \ Common Files \ Macrovision Shared \ FLEXnet Publisher \ FNPLicensingService.exe
O23 - Service: GoToAssist - Citrix Online dėl Citrix Systems Division, Inc - C: \ Program Files \ Citrix \ GoToAssist \ 480 \ g2aservice.exe
O23 - Service: InstallDriver lentelė Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe
O23 - Service: LIVEUPDATE - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE
O23 - Service: LIVEUPDATE Pranešimas tarnyba Ex (LiveUpdate Pranešimo Ex) - Unknown owner - C: \ Program Files \ Common Files \ Symantec Shared \ ccSvcHst.exe (file missing)
O23 - Service: LIVEUPDATE Notice Service - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ PIF \ (B8E1DD85-8582-4c61-B58F-2F227FCA9A08) \ PIFSvc.exe
O23 - Service: MySQL - Unknown owner - C: \ Program.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C: \ Windows \ system32 \ PnkBstrA.exe
O23 - Service: StarWind AA tarnybos (StarWindServiceAE) - Unknown owner - C: \ Program Files \ Alcohol Soft \ Alcohol 120 \ StarWind \ StarWindServiceAE.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C: \ Program Files \ Common Files \ Steam \ SteamService.exe
O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C: \ Program Files \ VMware \ VMware Workstation \ vmware-ufad.exe (file missing)
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc - C: \ Windows \ system32 \ vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - Unknown owner - C: \ Program Files \ Common Files \ VMware \ VMware Virtual Image Editing \ vmount2.exe (file missing)
O23 - Service: VMware NAT Service - VMware, Inc - C: \ Windows \ system32 \ vmnat.exe
O23 - Service: wampapache - Apache Software Foundation - c: \ WAMP \ bin \ apache \ apache2.2.8 \ bin \ httpd.exe
O23 - Service: wampmysqld - Unknown owner - C: \ WAMP \ bin \ mysql \ mysql5.0.51a \ bin \ mysqld-nt.exe

--
End of file - 9.649 baitų

[evilfantasy]

Aš negaliu pasakyti, kiek iš žurnalo.

Atsisiųsti Dr.Web CureIt! Ir išsaugokite jį savo kompiuteryje.

• Dukart spustelėkite cureit.exe pradėti programą. "Express Scan kompiuterio"Pranešimas pasirodys.
• Pagal "Pradėti Express Scan Now", Paspauskite"Gerai"Paleisti. Tai trumpas, kad nuskaitymas bus nuskaityti failus metu veikia atmintį ir kai kas nors yra nustatyta, paspauskite Taip mygtuką, kai jis paklaus, ar norite, kad išgydyti ją.
• Po trumpo skenavimas bus baigtas, spustelėkite Funkcijos > Keisti nustatymus
• Pasirinkite "Skaitymo skirtuką"Ir Nuimkite "Euristinė analizė"
• Grįžti į pagrindinį langą, spauskite mygtuką "Custom Scan", tada spustelėkite "Pasirinkti diskai" ( "red dot parodys, kokie diskai buvo pasirinkta).
• Tada spustelėkite "Start / Stop "Scanning"Mygtukas (žalia rodyklė dešinėje) ir nuskaitymo prasidės.
• Kai baigsite, žinutė bus rodoma apačioje patarti jei virusų nerasta.
• Paspauskite "Taip, visus"Jei jis paklaus, ar norite išgydyti / perkelti failą.
• Kai nuskaitymas bus baigtas, pažiūrėkite, ar galite pamatyti piktogramą šalia failus nerasta. Jei taip, spustelėkite jį, tada spustelėkite piktogramą šalia dešinėje apačioje ir pasirinkite "Perkelti nesustabdomi.
  (Tai bus perkelti jį į C: \ Documents and Settings \ UserProfile \ DoctorWeb \ karantino aplanką, jei jis negali būti išgydoma)
• Pirmyn, į Dr.Web CureIt meniu viršuje, spustelėkite failą ir pasirinkite Prisiminti pranešimą sąrašą.
• Prisiminti DrWeb.csv Pranešimo darbalaukyje.
• Išeitis Dr.Web CureIt, kai baigsite.
• Svarbu! Reboot kompiuterio, nes tai galėtų būti įmanoma, kad failai naudojami bus perkelti / pašalinti per naujo.

Jūs galite naudoti Notepad atidarykite DrWeb.cvs ataskaitą dešiniuoju pelės klavišu ir pasirinkę jį Atidaryti> Užrašinė

----------

Sekantis Pridėti
Dr Web Prisijungti

[madcows7]

Turiu Vista Kaip iget į Documents and Settings? im nenaudojamas Vista naudoti, kad XP


Edit: atrodė NVM

[madcows7]

jo sako savo nuskaitymas 80kbs ... Turiu 130gb nuskaityti, kad bus dienų Any ideas?

[evilfantasy]

Parsisiųsti Combofix iki einantys iš vienos iš žemiau nuorodų.

• Link # 1
• Link # 2

Svarbu! Combofix.exe TURI išsaugota ir bėgo nuo Desktop.

• Uždarykite visus atidarytus interneto naršyklių. (Firefox, Internet Explorer, ir tt) prieš pradedant Combofix.
• Svarbu! Laikinai daryti nepajėgų tavo Antivirus, script blokavimas ir bet Antispyware realaus laiko apsauga prieš atlikti nuskaitymo.
  • Spauskite šį saitą matyti saugumo programų sąrašą, kuris turėtų būti išjungtas ir kaip juos išjungti.
  • Jei Jūsų nėra šiame sąraše, ir jūs nežinote, kaip ją išjungti, kreipkitės.
• Įspėjimas: Combofix atjungia kompiuterį nuo interneto. Ry ¹ ys automati ¹ kai atkurtas iki Combofix baigia paleisti.
• Dukart spustelėkite combofix.exe ir vykdykite ekrane pateikiamas instrukcijas.
  • Pasirinkite Taip, kad sutikti apribojimas.
• Kai bus baigta, bus pateikti žurnalas Jums.
• Skelbti kad Prisijungti kitą atsakymą.

Įspėjimas: Don't mouseclick Combofix lango kol jis veikia. Tai gali sukelti jį gardas

• Jei Combofix eina į sunkumus ir baigiasi anksčiau, ryšys gali būti rankiniu būdu atstatyta iš naujo paleisti kompiuterį.
• Svarbu: Atminkite, kad vėl įjungti antivirusinę ir šnipinėjimo prieš prisijungti prie interneto.

Jei reikia pagalbos, apsilankykite Combofix Tutorial su Screenshots kad bus išsamiai išsamiau atsisiųsti ir veiklos Combofix.

----------

Sekantis Pridėti
Combofix Prisijungti

[madcows7]

I give up combofix doesnt pradėti lol I guess gali tekti performatuoti ir prarasti viską, ką turi

[KanoakaVirus]

Citata:

Originally Posted by madcows7

I give up combofix doesnt pradėti lol I guess gali tekti performatuoti ir prarasti viską, ką turi

Galima visada atsargines savo duomenų pirma ...

[evilfantasy]

Pereiti į Start> Run ir copy / paste taip:

"% USERPROFILE% \ desktop \ combofix.exe" / killall

Paspauskite klavišą Enter ir Combofix pradės veikti.

Kai baigsite, ji gamins failą adresu C: \ ComboFix.txt

Post šio žurnalo turinio kitą atsakymą.

Pastaba Don't mouseclick combofix lango kol jis veikia. Tai gali sukelti jūsų sistema gardas.