Cos blokuej Opere i mozille.

[rafal]

Mam nastepuj�cy problem;
Dzisiaj rano komputer dziwnie zacz�� sie zachowywa� (zawiesza� sie i nie dzia�a�a opera ). Przeskanowa�em go AVG anti-Spyware, wykry� jakies 3 trojany i usun�� bez problemu. Nastepnie zrobi�em skan Kasperskim. Wykry� jakis trojan w katalogu system32, po czym sie zawiesi�. Musia�em go odinstalowa�, poniewa� po ponownym w�aczeniu komputera zawiesza� go po up�uwie ok. 50 sekund. Odintalowa�em go, zaintalowalem avasta 4.8 proffesional. W�aczy�em aktualizacje avast'a, skan i znalaz� takie co�:
http://img512.imageshack.us/my.php?i...eztytuuvq5.jpg
Po czym tak�e sie zawiesi�. Odistanowa�em avasta, usuno�em plik r�cznie. I niby wszystko dzia�a teraz w po��dku oprucz opery.. ( google mog� w�aczy�, ale niedzia�a wyszukiwarka, po wpisaniu szukanego s�owa i nacisnieciu "SZUKAJ" nie dzieje sie kompletnie nic, To samo dzieje sie z firefox'em). Co mo�e by� tego przyczyn� ? Ni�ej skan z HijackThis:

Kod:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:49:29, on 2008-07-22
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20627)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\LANczat\LANczat.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [a0cf0db8] rundll32.exe "C:\WINDOWS\system32\lvtadakb.dll",b
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [BMa3fc3e24] Rundll32.exe "C:\WINDOWS\system32\hqifsgsh.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LANczat] C:\Program Files\LANczat\LANczat.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'US�UGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'US�UGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'US�UGA SIECIOWA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'US�UGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &�ci�gnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &�ci�gnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Dodaj do blokowanych baner�w - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6268 bytes

ps. Internet Explorer dzia�a bez problemu.

[R2D2]

O4 - HKLM..Run: [a0cf0db8] rundll32.exe "C:WINDOWSsystem32lvtadakb.dll",b
O4 - HKLM..Run: [BMa3fc3e24] Rundll32.exe "C:WINDOWSsystem32hqifsgsh.dll",s

Te 2 wpisy w logu, pasuja mi do trojana Vundo.On właśnie generuje przypadkowe dll-ki. Tyle, że nie wiem co i gdzie było juz kasowane. Pokaż log z Combofix, zobaczymy czy się przedstawi jak należy:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Aha i najważniejsze. Sam już nie wiem jaki masz w tej chwili program AV, ale jaki by nie był to na czas pobierania i działania Combofix ma być wyłączony. Inaczej może zabić w narzędziu to co najcenniejsze, dlatego że budową i działaniem przypomina wirusa .

[rafal]

Te 2 wpisy w logu, pasuja mi do trojana Vundo.On w�a�nie generuje przypadkowe dll-ki. Tyle, �e nie wiem co i gdzie by�o juz kasowane. Poka� log z Combofix, zobaczymy czy si� przedstawi jak nale�y:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Aha i najwa�niejsze. Sam ju� nie wiem jaki masz w tej chwili program AV, ale jaki by nie by� to na czas pobierania i dzia�ania Combofix ma by� wy��czony. Inaczej mo�e zabi� w narz�dziu to co najcenniejsze, dlatego �e budow� i dzia�aniem przypomina wirusa .

Przeskanowa�em komputer chyba 10 programami (adware, spyware , i zwyk�e avasty itd. :wink. Niestety bez skutku, ka�dy z nich znajdowa� te 2 trojany + od 20 do 28 innych �mieci. Ka�dy z nich przy pr�bie skasowania, wyleczenia, zawiesza� komputer. Pr�bowa�em ju� chyba wszystkiego (��cznie z formatem c: ). Jednak i to nie pomog�o, gdy� po �wie�ej instalcje windows'a, mia�em ten sam problem. P�niej okaza�o sie �e "to co�" mia�o swoj� hmm.. Wko�cu pom�g� format ca�ego dysku. Nawet internetu nie mog�em w�aczy�. Teraz jak sie ju� pewnie domy�lasz problemu nie ma. ( po raz kolejny poszed�em na "�atwizne" ). Dzieki za kolejn� ju� pr�be pomocy R2D2.