Internet i komputer chodzą wolno. log prosze o sprawdzenie

Dla specjalistów Bezpieczeństwo
#1 
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:04:05, on 2007-11-07

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal


Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\ESET\ESET Smart Security\ekrn.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\Program Files\Virtual CD v9\System\vc9secs.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe

C:\Program Files\Lexmark 2300 Series\ezprint.exe

C:\Program Files\Softwin\BitDefender10\bdmcon.exe

C:\Program Files\Softwin\BitDefender10\bdagent.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\WINNT\system32\winIogon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINNT\system32\nvsvc86.exe

C:\Program Files\Virtual CD v9\System\VC9Tray.exe

C:\Program Files\Virtual CD v9\System\VC9Play.exe

C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe

C:\PROGRA~1\Wanadoo\ComComp.exe

C:\PROGRA~1\Wanadoo\Watch.exe

C:\WINNT\system32\cmd.exe

C:\WINNT\system32\mdm.exe

C:\Program Files\uTorrent\uTorrent.exe

C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe

C:\Program Files\Softwin\BitDefender10\vsserv.exe

C:\Program Files\Softwin\BitDefender10\bdlite.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts: 217.153.219.170 L2authd.lineage2.com

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe

O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY

O4 - HKLM\..\Run: [VC9Player] C:\Program Files\Virtual CD v9\System\VC9Play.exe

O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINNT\system32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"

O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"

O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender10\bdmcon.exe" /reg

O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\Softwin\BitDefender10\bdagent.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINNT\system32\Isass.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\system32\winIogon.exe

O4 - HKLM\..\Run: [Network Security XP] C:\WINNT\system32\nvsvc86.exe

O4 - HKLM\..\Run: [Microsoft Office] C:\WINNT\system32\mdm.exe

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [WMI Standard Event Consumer - Scripting] C:\WINNT\system32\scrcons32.exe

O4 - HKCU\..\Run: [Network Security XP] C:\WINNT\system32\nvsvc86.exe

O4 - HKCU\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINNT\system32\scrcons32.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [Network Security XP] C:\WINNT\system32\nvsvc86.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\Run: [Microsoft Office] C:\WINNT\system32\mdm.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINNT\system32\scrcons32.exe (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{B7EBA5D7-17F4-45DC-9CBA-E5E344FB5355}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe

O23 - Service: lxcg_device - Unknown owner - C:\WINNT\system32\lxcgcoms.exe (file missing)

O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Program Files\Virtual CD v9\System\vc9secs.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Program Files\Softwin\BitDefender10\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe


--

End of file - 6713 bytes


Wirusy znalezione przez bit defender

=>C:\WINNT\system32\winIogon.exe (memory dump)	Infected: Packer.Krunchy.B
=>C:\WINNT\system32\winIogon.exe (disk)	Infected: Packer.Krunchy.B
=>C:\WINNT\system32\winIogon.exe (full dump)	Infected: Packer.Krunchy.B
=>C:\WINNT\system32\nvsvc86.exe (memory dump)	Infected: DeepScan:Generic.Malware.G!SI!!Wprng.4BB16991
=>C:\WINNT\system32\nvsvc86.exe (full dump)	Infected: DeepScan:Generic.Malware.G!SI!!Wprng.2797CBEE
=>C:\WINNT\system32\mdm.exe (memory dump)	Infected: Backdoor.Rbot.XBN
=>C:\WINNT\system32\mdm.exe (full dump)	Infected: Backdoor.Rbot.XBN
=>HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\Windows Logon Application=>C:\WINNT\SYSTEM32\WINIOGON.EXE	Detected: Packer.Krunchy.B

prosze o sprawdzenie loga… komp i internet wolno mi chodza

#2

Magnum045

Ważny komunikat dotyczący tytułowania tematów

Popraw temat zgodnie z zaleceniami podanymi we wskazanym temacie - konkretnie tytułując temat, opisując problem oraz poprawnie wklejając log, logi - należy je objąć tagami

#3

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem:

Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner

Ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Potem:

Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Potem:

Daj tu:

  1. raport SDFix

  2. log z ComboFix

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

EDIT:

Nie zapomnij spełnić prośby Moderatora (post powyżej). :slight_smile:

jessi

#4

Magnum045

Jesteś nowym Userem, stąd wyjątkowo ponowię…

Zalecenie zaczynało się od poprawy tytułu tematu na konkretny, mówiący o problemie - popraw, więcej uwag nie będzie.

#5

http://up.wklej.org/download.php?id=c5d … 53de62ea04

http://up.wklej.org/download.php?id=6ef … 00e1255907

#6

Nie wiem, dlaczego SDFix tego nie usunął - sprawdzałam przed chwilą w jego module usuwającym - ma zaplanowane samoczynne usuwanie tego pliku.

Musimy poradzić sobie inaczej:

Wklej do Notatnika :

File::

C:\WINNT\system32\mdm.exe

C:\WINNT\system32\fsgr.exe


Registry::

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

"WMI Standard Event Consumer - Scripting"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj ten log.

jessi

#7

http://up.wklej.org/download.php?id=0d7 … e4e97c4d49

#8

Wg mnie - jest czysto.

jessi