System jest kilka dni po formacie, ale ciagle jakies polaczenia w netstacie nieznane, jakies robaki ktore sie rozprzestrzeniaja po systemie… sam nie potrafie juz sobie poradzic. Prosze o sprawdzenie loga i w miare dobre wytlumaczenie jak to pousuwac. Dzieki.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:00:23, on 2007-11-30 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\System32\dllcache\windmns.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\dllcache\msfav32.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\igfxtray.exe C:\WINDOWS\System32\hkcmd.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://onet.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM…\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM…\Run: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKLM…\Run: [Windows Secure Update] load.exe O4 - HKLM…\Run: [ZoneAlarm Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe” O4 - HKLM…\RunServices: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKLM…\RunServices: [Windows Secure Update] load.exe O4 - HKLM…\RunOnce: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKLM…\RunOnce: [Windows Secure Update] load.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKCU…\Run: [Windows Secure Update] load.exe O4 - HKCU…\RunOnce: [Windows Secure Update] load.exe O4 - HKCU…\RunOnce: [MicroSoft ssadsadas3s1] eXtream.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\Run: [Windows Secure Update] load.exe (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\RunOnce: [MicroSoft ssadsadas3s1] eXtream.exe (User ‘SYSTEM’) O4 - HKUS\S-1-5-18…\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - HKUS.DEFAULT…\RunOnce: [MicroSoft ssadsadas3s1] eXtream.exe (User ‘Default user’) O4 - HKUS.DEFAULT…\RunServices: [Auto File System Conversion Utility] C:\WINDOWS\System32\wbem\scricon.exe (User ‘Default user’) O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip…{2326F945-D834-4786-8700-024745E87EAC}: NameServer = 83.238.255.76 213.241.79.37 O23 - Service: Microsoft Windows DNS Manager - Unknown owner - C:\WINDOWS\System32\dllcache\windmns.exe O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe O23 - Service: Windows Internet Connection Sharing Service (Windows Internet Connection Sharing) - Unknown owner - C:\WINDOWS\system32\dllcache\msfav32.exe – End of file - 4115 bytes
Kaka2
(Kaka_117827603)
30 Listopad 2007 20:35
#2
EMBERXXX proszę nie podczepiać się pod tematy innych userów. Jak masz problem, załóż własny temat.
Gutek
(Gutek)
30 Listopad 2007 23:01
#4
Dodatkowo - Daj log z ComboFix
Witam ponownie.
Przy tych syfach z pierwszego postu padl mi system wiec pomogl format.
Teraz mam problem, bo te robaki probuja sie laczyc na mojego kompa, tylko firewall je blokuje. Wylaczajac fw bede mial znow smietnik na dysku… W alertach od fw pisalo ze chca sie laczyc przez netbios, powylaczalem go, teraz sa alerty ze chca sie laczyc przez tcp. :F Chcialbym prosic o pomoc, jak uniemzliwisc dostep robalom. System z zainstalowanym ServicePackiem2.
Zamieszczam kilka screenow:
http://img215.imageshack.us/img215/9873/alertfe2.jpg
http://img86.imageshack.us/img86/5823/alert2og6.jpg
http://img231.imageshack.us/img231/7145/alert3tz2.jpg
Ze screenami przesadziłeś
Pozdrawiam Gutek2222