Pomocy11
(Pomocy1)
23 Marzec 2009 15:51
#1
Witam.
Mam problem z internetem Dialog 2 mbit.
Od wczoraj net się sypie, nie jest w ogóle stabilny, stronki działają bardzo wolno, nieraz załadują się szybciej…
Mam Windows XP SP2 + Firewall włączony + Eset Smart Security
Dzwoniłem do dialogu i kazali wpisać komendę w wierszu polecenia: “netstat”, pojawiło mi się dużo linijek - co świadczy o virusie według konsultantów (max powinno być 5 linijek tylko) a ja mam ze 100. Skanowałem PC Esetem i nic nie pomaga - nie wykrywa virusa.
lol dziwne teraz wpisałem netstat i pojawiło się tylko 9 linijek, wpisałem znowu i pojawiło się dużo linijek.
Proszę o pomoc pozdrawiam
Hitm3n
(Hitm3n)
23 Marzec 2009 16:12
#2
Daj logi z HijackThis i ComboFix. A co do samej komendy ‘netstat’ u mnie wyświetla ileś tych linijek też, i wg mnie to nie zależy do tego, czy masz virusa, tylko od połączeń aktualnie nawiązanych (gg, internet, skype, p2p itp)
Pomocy11
(Pomocy1)
23 Marzec 2009 16:25
#3
Ok, ściagne pózniej te programy i dam log. Teraz skanuje DrWeb. Odezwe się.
Ok mam LOG z Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:44:51, on 2009-03-23 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\Rundll32.exe D:\Programy\Keyboard\Ikeymain.exe C:\Program Files\ESET\ESET Smart Security\egui.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\CTsvcCDA.exe C:\Program Files\ESET\ESET Smart Security\ekrn.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Mozilla Firefox\firefox.exe D:\Nowy folder\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM…\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM…\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM…\Run: [iKeyWorks] d:\Programy\Keyboard\Ikeymain.exe O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM…\Run: [egui] “C:\Program Files\ESET\ESET Smart Security\egui.exe” /hide /waitservice O4 - HKLM…\Run: [ALiUSBfix] C:\WINDOWS\system32\ALiUSB20.exe O4 - HKLM…\Run: [googletalk] C:\Program Files\Google\Google Talk\googletalk.exe /autostart O4 - HKLM…\Run: [CloneCDTray] “D:\Programy\CloneCD\CloneCDTray.exe” /s O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “D:\Programy\Adobe Reader 8\Reader\Reader_sl.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{6619594A-B4BE-4ACD-AABE-635DBC950515}: NameServer = 217.30.129.149 217.30.137.200 O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe – End of file - 3495 bytes
LOG z COMBO FIX
ComboFix 09-03-22.01 - Xbox360 2009-03-23 18:54:21.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.246 [GMT 1:00] Uruchomiony z: c:\documents and settings\Xbox360\Pulpit\ComboFix.exe AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated) FW: ESET Personal firewall *enabled* * Utworzono nowy punkt przywracania . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\myglobalsearch c:\program files\myglobalsearch\bar\History\search c:\windows\system32\setup.ini . ((((((((((((((((((((((((( Pliki utworzone od 2009-02-23 do 2009-03-23 ))))))))))))))))))))))))))))))) . 2009-03-23 16:58 . 2009-03-23 17:14 2009-03-23 13:46 . 2009-03-23 14:14 2009-03-10 19:08 . 2009-03-10 19:08 2009-03-10 19:07 . 2009-03-10 19:07 2009-03-10 19:01 . 2009-03-10 19:08 2009-03-10 19:00 . 2009-03-10 19:00 2009-03-10 19:00 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll 2009-03-07 13:42 . 2009-03-07 13:42 2009-03-03 14:37 . 2009-03-03 14:37 24 --ahs---- c:\windows\S96ABE4C7.tmp 2009-03-02 19:21 . 2009-03-23 16:24 2009-03-02 19:05 . 2009-03-02 19:05 2009-03-02 18:09 . 2009-03-02 20:27 2009-03-02 18:04 . 2009-03-02 18:04 0 --a------ c:\windows\nsreg.dat 2009-03-02 18:03 . 2009-03-02 18:03 2,296 --a------ c:\windows\mozver.dat . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-03-20 20:37 --------- d-----w c:\documents and settings\Xbox360\Dane aplikacji\foobar2000 2009-02-26 16:23 --------- d-----w c:\documents and settings\Xbox360\Dane aplikacji\TransRender 2009-02-26 16:23 --------- d-----w c:\documents and settings\Xbox360\Dane aplikacji\Temporary 2009-02-18 20:33 --------- d-----w c:\documents and settings\Xbox360\Dane aplikacji\Creative 2009-02-18 20:08 --------- d-----w c:\documents and settings\Xbox360\Dane aplikacji\Samsung 2009-02-18 20:08 --------- d-----w c:\documents and settings\Xbox360\Dane aplikacji\ConvertTemp 2009-02-18 20:04 --------- d–h--w c:\program files\InstallShield Installation Information 2009-02-18 19:58 --------- d-----w c:\program files\VIA Technologies, INC 2009-02-09 16:14 --------- d-----w c:\documents and settings\Xbox360\Dane aplikacji\ESET 2009-02-09 16:13 --------- d-----w c:\program files\ESET 2009-02-09 16:13 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\ESET 2009-02-09 15:59 --------- d-----w c:\program files\hp deskjet 3820 series 2009-02-09 15:57 --------- d-----w c:\program files\Hewlett-Packard 2009-02-09 15:50 --------- d-----w c:\program files\K-Lite Codec Pack 2009-02-09 15:50 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Apple Computer 2009-02-09 15:47 --------- d-----w c:\documents and settings\Xbox360\Dane aplikacji\Ashampoo 2009-02-09 15:46 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\ashampoo 2009-02-09 15:37 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Creative 2009-02-09 15:32 --------- d–h--w c:\program files\Creative Installation Information 2009-02-09 15:31 --------- d-----w c:\program files\Creative 2009-02-09 15:31 --------- d-----w c:\program files\Common Files\Creative 2009-02-09 15:23 --------- d-----w c:\program files\Common Files\InstallShield 2009-02-09 15:01 558,142 ----a-w c:\windows\java\Packages\PFZJJH7N.ZIP 2009-02-09 15:01 155,995 ----a-w c:\windows\java\Packages\2XND77DB.ZIP 2009-02-09 15:01 --------- d-----w c:\program files\microsoft frontpage 2009-02-09 14:59 --------- d-----w c:\program files\Usługi online . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“NvQTwk” [X] “CTSysVol”=“c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe” [2005-10-31 57344] “UpdReg”=“c:\windows\UpdReg.EXE” [2000-05-11 90112] “iKeyWorks”=“d:\programy\Keyboard\Ikeymain.exe” [2006-09-07 65536] “HPDJ Taskbar Utility”=“c:\windows\System32\spool\drivers\w32x86\3\hpztsb05.exe” [2002-03-28 188416] “egui”=“c:\program files\ESET\ESET Smart Security\egui.exe” [2008-03-13 1443072] “ALiUSBfix”=“c:\windows\system32\ALiUSB20.exe” [2002-08-30 84992] “googletalk”=“c:\program files\Google\Google Talk\googletalk.exe” [2007-01-01 3739648] “CloneCDTray”=“d:\programy\CloneCD\CloneCDTray.exe” [2006-09-28 57344] “Adobe Reader Speed Launcher”=“d:\programy\Adobe Reader 8\Reader\Reader_sl.exe” [2007-10-10 39792] “nwiz”=“nwiz.exe” [2002-05-03 c:\windows\system32\nwiz.exe] “P17Helper”=“P17.dll” [2005-05-03 c:\windows\system32\P17.dll] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\System32\CTFMON.EXE” [2004-08-04 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusDisableNotify”=dword:00000001 “UpdatesDisableNotify”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “d:\Programy\Gadu-Gadu\Nowe Gadu-Gadu\gg.exe”= “c:\Program Files\Google\Google Talk\googletalk.exe”= “d:\Programy\Utorrent\uTorrent.exe”= R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2007-12-21 468224] — Inne Usługi/Sterowniki w Pamięci — *Deregistered* - DwShield00002193 . . ------- Skan uzupełniający ------- . uStart Page = hxxp://search.bearshare.com/pl/ TCP: {6619594A-B4BE-4ACD-AABE-635DBC950515} = 217.30.129.149 217.30.137.200 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab FF - ProfilePath - c:\documents and settings\Xbox360\Dane aplikacji\Mozilla\Firefox\Profiles\sysvjqs6.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - google.pl FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll FF - plugin: d:\programy\Adobe Reader 8\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-03-23 18:55:24 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . Czas ukończenia: 2009-03-23 18:57:37 ComboFix-quarantined-files.txt 2009-03-23 17:56:48 Przed: 5 491 589 120 bajtów wolnych Po: 5,500,239,872 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Professional” /fastdetect /NoExecute=OptIn 130
P.S Mogę już usunąć te pliki na partycji C: pliki cmldr, Boot.bak, txt ComboFix, folder Qoobox ???
Teraz wszystko w waszych rękach.
– Dodane 23.03.2009 (Pn) 20:35 –
Więc ktoś pomoże?
huber2t
(huber2t)
24 Marzec 2009 05:01
#4
otwórz notatnik i wklej
Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg
Uruchom ten plik, uruchom ponownie komputer
Skorzystaj z Malwarebytes’ Anti-Malware
Pomocy11
(Pomocy1)
24 Marzec 2009 06:57
#5
hubert, a do czego jest kod co podałeś
Z programów to używam Eset smart security, firewall i dr Webem skanowałem PC 1,5h pełne skanowanie.
Frog
(Frog)
24 Marzec 2009 07:15
#6
Pomocy1 , popraw tytuł tematu, używając przycisku
Hitm3n
(Hitm3n)
24 Marzec 2009 13:02
#7
No napisał przecież, że masz to do notatnika wkleić i zapisać jako plik Fix.reg (zmieniasz format zapisu z Dokument tekstowy na Wszystkie pliki, żeby mógł zapisać jako plik rejestru). Poza tym, logi wkleja się tutaj albo tutaj , żeby nie robić bałaganu.
Pomocy11
(Pomocy1)
24 Marzec 2009 13:46
#8
Wpisałem ten plik do rejestru.
– Dodane 25.03.2009 (Śr) 21:36 –
co dalej?? net nadal zamula