Logi, net muli

Dla specjalistów Bezpieczeństwo
#1

Witam, Jestem nowy u Was i za bardzo nie wiedzialem gdzie umiescic ten temat i jak go nazwac.Jesli cos pomylilem to z gory sorki.

Wiec tak mam neostrade 1mb i strasznie mi muli w tescie na stronie speedtest.pl notorycznie mi wychodzi 256kb/s. Cos jest nie tak.

Postanowilem zadzwonic do neostrady, koles powiedzial zebym wziol start>uruchom>cmd> i wpisal netstat -a tak tez zrobilem, powiedzial mi ze powinno byc kilka programow wlaczonych z 6 a ja mialem z 200, wtedy konsultat powiedzial ze nalezy to usunac ale ja nie za bardzo wiem jak. Prosze oto zdjecie wyniku tego z konsoli http://img121.imageshack.us/img121/9258/cmd.jpg

A tutaj prosze cos dla Was ekspertow czyli LOg z HijackThis.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:51:09, on 2009-09-21

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\WINDOWS\Explorer.EXE

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\system32\svchost.exe

F:\Program Files\Java\jre6\bin\jqs.exe

F:\WINDOWS\system32\sofatnet.exe

F:\WINDOWS\system32\eva.exe

F:\WINDOWS\System32\reader_s.exe

F:\WINDOWS\system32\sys64_nov.exe

F:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe

F:\WINDOWS\system32\svchost.exe

F:\Documents and Settings\Karol\reader_s.exe

F:\WINDOWS\system32\ctfmon.exe

F:\WINDOWS\System32\svchost.exe

F:\Documents and Settings\Karol\sys64_nov.exe

F:\WINDOWS\system32\servises.exe

F:\Program Files\MagicDisc\MagicDisc.exe

F:\WINDOWS\System32\svchost.exe

F:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe

F:\WINDOWS\system32\servises.exe

F:\WINDOWS\system32\servises.exe

F:\WINDOWS\system32\servises.exe

F:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

F:\WINDOWS\system32\wbem\wmiapsrv.exe

F:\Documents and Settings\Karol\Pulpit\ArcaSetup2009IS.exe

F:\WINDOWS\system32\MSIEXEC.exe

F:\WINDOWS\system32\msiexec.exe

F:\WINDOWS\system32\MsiExec.exe

F:\WINDOWS\2DC8B66DCFE1470A9B1AA6047A7E085F.TMP\WiseCustomCalla21.exe

F:\Documents and Settings\Karol\Pulpit\ArcaSetup2009IS.exe

F:\WINDOWS\system32\MSIEXEC.exe

F:\WINDOWS\system32\MsiExec.exe

F:\WINDOWS\2DC8B66DCFE1470A9B1AA6047A7E085F.TMP\WiseCustomCalla21.exe

F:\Program Files\Mozilla Firefox\firefox.exe

F:\WINDOWS\system32\wpabaln.exe

F:\Program Files\Neostrada TP\NeostradaTP.exe

F:\Program Files\Neostrada TP\ComComp.exe

F:\Program Files\Neostrada TP\Watch.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\system32\DF.tmp

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\E4.tmp

F:\WINDOWS\system32\E5.tmp

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\TEMP\BNE6.tmp

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\temp\eva.exe

F:\WINDOWS\system32\svchost.exe

F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - F:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

F3 - REG:win.ini: load=F:\WINDOWS\fonts\services.exe

F3 - REG:win.ini: run=F:\WINDOWS\fonts\services.exe

O1 - Hosts: 210.249.144.166 we9stun.winning-eleven.net

O1 - Hosts: 217.112.88.118 pes6gate-ec.winning-eleven.net

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - F:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - F:\Program Files\Ask.com\GenericAskToolbar.dll

O4 - HKLM…\Run: [19232] F:\WINDOWS\system32\E4.tmp.exe

O4 - HKLM…\Run: [bobodibes] Rundll32.exe “f:\windows\system32\ludelire.dll”,a

O4 - HKLM…\Run: [servises] F:\WINDOWS\system32\servises.exe

O4 - HKLM…\Run: [reader_s] F:\WINDOWS\System32\reader_s.exe

O4 - HKLM…\Run: [sys64_nov] F:\WINDOWS\system32\sys64_nov.exe

O4 - HKLM…\Run: [mssysbr] F:\WINDOWS\system32\eva.exe

O4 - HKLM…\Run: [Regedit32] F:\WINDOWS\system32\regedit.exe

O4 - HKLM…\Run: [mssysfs] F:\WINDOWS\system32\312.exe

O4 - HKCU…\Run: [Gadu-Gadu] “F:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [PcSync] F:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU…\Run: [autochk] rundll32.exe F:\DOCUME~1\Karol\protect.dll,_IWMPEvents@16

O4 - HKCU…\Run: [cdoosoft] F:\WINDOWS\system32\olhrwef.exe

O4 - HKCU…\Run: [reader_s] F:\Documents and Settings\Karol\reader_s.exe

O4 - HKCU…\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [servises] F:\WINDOWS\system32\servises.exe

O4 - HKCU…\Run: [sys64_nov] F:\Documents and Settings\Karol\sys64_nov.exe

O4 - HKLM…\Policies\Explorer\Run: [exec] F:\WINDOWS\fonts\services.exe

O4 - HKLM…\Policies\Explorer\Run: [servises] F:\WINDOWS\system32\servises.exe

O4 - HKCU…\Policies\Explorer\Run: [servises] F:\WINDOWS\system32\servises.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [servises] F:\WINDOWS\system32\servises.exe (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\Policies\Explorer\Run: [servises] F:\WINDOWS\system32\servises.exe (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [servises] F:\WINDOWS\system32\servises.exe (User ‘Default user’)

O4 - HKUS.DEFAULT…\Policies\Explorer\Run: [servises] F:\WINDOWS\system32\servises.exe (User ‘Default user’)

O4 - Startup: ChkDisk.dll

O4 - Startup: ChkDisk.lnk = ?

O4 - Startup: MagicDisc.lnk = F:\Program Files\MagicDisc\MagicDisc.exe

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip…{6E270680-2EF5-4196-B1E9-8FC7B9C33EF0}: NameServer = 194.204.159.1 217.98.63.164

O20 - AppInit_DLLs: kitehevu.dll f:\windows\system32\ludelire.dll

O21 - SSODL: timurojes - {0f605ffb-cb7a-4c2a-b83f-502bcc60a506} - (no file)

O21 - SSODL: vayehusar - {6a089907-2a89-4df3-997e-7e823522de9e} - f:\windows\system32\ludelire.dll

O22 - SharedTaskScheduler: tokatiluy - {6a089907-2a89-4df3-997e-7e823522de9e} - f:\windows\system32\ludelire.dll

O23 - Service: FCI - Unknown owner - F:\WINDOWS\system32\svchost.exe:ext.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: ServiceLayer - Nokia. - F:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe

O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - F:\WINDOWS\system32\sofatnet.exe

End of file - 6957 bytes

Dziekuje z gory za pomoc.

#2

Masz Viruta.Metody postępowania opisane w tym poradniku: http://helpc.eu/usuwanie-virut-t1674.html

#3

Ktora z metod okazuje sie najbardziej skuteczna??Sklaniam sie do absolutnego formatu,bo nie da sie nic robic na necie neo 1mb chodzi jak 256:/

Dodane 21.09.2009 (Pn) 12:53

Prosze oto Logi z programu HijackThis po formacie:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:51:13, on 2009-09-21

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\LSI SoftModem\agrsmsvc.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM…\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM…\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM…\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM…\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM…\Run: [soundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Program Files\LSI SoftModem\agrsmsvc.exe

Oraz mam pytanko jaki polecacie antywirus ktory moglby mnie ustrzec przed kolejnym takim zagrozeniem,oraz innymi dziadostawami ktore moga mi ,zamulac’’ komputer jak i internet.

#4

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Formatowałeś wszystkie partycje?

Pokaż logi OTL, GMER

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj ,

oraz SREng.

#5

Tak zrobilem format wszystkich partycji.

Prosze a tutaj skany z programow ktore w/w.

OTL -> http://wklej.to/2OAM

GMER -> http://wklej.to/fJzO

SREng -> http://wklej.to/i5tV

#6

Jest czysto.

#7

Dzieki wielkie ybu oraz wielkie dzieki dla Ciebie deFco :smiley:

Mozna zamknac :slight_smile: