Neostrada 512 problem komputer ciagle wysyla dane ! :/


(Cairalan) #1

Witam. Jestem uzytkownikiem NEO 512 (Alcatel SpeedTouch 330). Problem polega na tym, ze po sformatowaniu dysku i instalacji windowsa komputer dziala 3-4 dni i zaczynaja sie problemy. podczas korzystania z internetu komputer ciagle wysyla dane (upload jest na maxa), download tez prawie caly zapchany, aktualki sa wylaczone p2p tez. Robilem scan ComboFixem ale nic nie pomoglo. Podczas otwierania dysku klikajac prawym przyciskkiem myszy zamiast Otworz bylo Open(0), ale ComboFix to naprawil. Nie moge jednak uporac sie z problemem wysylania i pobierania danych. Wystarczy, ze wlacze IE lub Firefoxa i moment i lacze jest cale zapchane. Robilem juz chyba 10 razy formatowanie i nadal to samo :confused: Czasami bywalo tak, ze zapora wylaczala sie sama, ale ComboFix to naprawial. Nie wiem co robic, czy to wina dysku, czy neostrady. Prosze o pomoc dziekuje z gory i zalaczam LOG z Hijacka.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:04:53, on 2008-10-23

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

C:\WINDOWS\System32\rs32net.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\rs32net.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe

O4 - HKLM..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe

O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip..{5DFC02CC-7D0D-47AA-A306-0FF7E3B07752}: NameServer = 194.204.159.1 217.98.63.164

--

End of file - 3100 bytes


(Nodmax22) #2

Sfixuj te wpisy :

C:\WINDOWS\System32\rs32net.exe

C:\WINDOWS\System32\rs32net.exe

O4 - HKLM..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe

>>>>WAŻNE!<<<<

1.Wyłączyć Przywracanie Systemu - PPM na Mój Komputer=>Właściwości=> Przywracanie Systemu i tam odhaczyć odpowiedni kwadracik.

  1. Włączyć Pokaż ukryte pliki i foldery oraz wyłączyć Ukryj chronione pliki systemu operacyjnego (zalecane) - Narzędzia=>Opcje folderów=>Widok.

  2. Zrestartować komputer i przejść do Trybu Awaryjnego - Przy bootowaniu systemu wciskamy klawisz F8 .

  3. Logujemy się na konto Administrator. Jeżeli z poziomu konta Administrator nie widać wpisów, które były widoczne w normalnym trybie, to należy się zalogować na swoje własne konto!

  4. Odpalamy program HJT i haczykujemy wcześniej znalezione nieprawidłowe wpisy, po czym klikamy na Fix Checked.

Przeskanuj też system programem Malwarebytes Anti-Malware :

http://www.programosy.pl/program,malwar ... lware.html

Przed skanowaniem wykonaj aktualizacje po czym wybierz skanowanie pełne.

To co znajdzie usuń.

Z tego co zauważyłem to , że nie posiadasz dobrej zapory ! , która jest bardzo istotna.

Firewall systemowy to żadna ochrona , ponieważ nie zabezpiecza cię pod każdym względem.

Polecam Comodo firewall :

http://dobreprogramy.pl/index.php?dz=2& ... 3.0.25.378

Tu znajdziesz opis, konfiguracje programu :

http://comodo.andgird.webd.pl/

Ranking ,test firewalli :

http://www.matousec.com/projects/firewa ... esults.php

Pozdrawiam.


(Cairalan) #3

Sfixowalem wpisy, zrobilem skan Malwarebytes Anti-Malware, usunalem wszystko co program znalazl, ale nadal wystepuje ten sam problem....


(Cairalan) #4

Zainstalowalem COMODO i pokazuje mi, ze caly czas svchost otwiera polaczenia, ktorych jest juz ponad 100...


(huber2t) #5

Podaj log z Combofix


(Gutek) #6

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350


(Cairalan) #7

ComboFix 08-10-21.06 - XP 2008-10-23 0:34:56.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.644 [GMT 2:00]

Uruchomiony z: C:\Documents and Settings\XP\Pulpit\ComboFix.exe

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA!!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

C:\Documents and Settings\XP\Menu Start\Programy\Autostart\ctfmon.exe

C:\Recycled\Recycled

C:\Recycled\Recycled\ctfmon.exe

C:\WINDOWS\system32\3.tmp

C:\WINDOWS\system32\drivers\TPRVRNPT.sys

C:\WINDOWS\system32\drivers\Winou38.sys

C:\WINDOWS\system32\rcsoft32.dll

C:\WINDOWS\system32\rs32net.exe

C:\WINDOWS\system32\WinCtrl32.dll

D:\Autorun.inf

E:\Autorun.inf

F:\Autorun.inf

G:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_TCPSR

-------\Legacy_TPRVRNPT

-------\Service_tcpsr

-------\Service_TPRVRNPT

-------\Service_Winou38

((((((((((((((((((((((((( Pliki utworzone od 2008-09-22 do 2008-10-22 )))))))))))))))))))))))))))))))

.

2008-10-23 00:27 . 2008-10-23 00:27 18 --a------ C:\WINDOWS\system32\A.tmp

2008-10-23 00:26 . 2008-10-23 00:26 92 --a------ C:\WINDOWS\system32\5.tmp

2008-10-22 14:48 . 2008-10-22 14:48 29 --a------ C:\WINDOWS\system32\guputdrd.tmp

2008-10-22 14:47 . 2008-10-22 14:47 92 --a------ C:\WINDOWS\system32\4.tmp

2008-10-22 14:47 . 2008-10-22 14:47 18 --a------ C:\WINDOWS\system32\8.tmp

2008-10-22 09:20 . 2008-10-22 09:20

2008-10-22 09:20 . 2008-10-22 09:20 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav

2008-10-22 09:20 . 2008-10-22 09:20 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav

2008-10-21 15:04 . 2008-10-23 00:27 32,768 --a------ C:\WINDOWS\system32\drivers\ati7flxx.sys

2008-10-21 15:04 . 2008-10-21 15:04 128 --a------ C:\WINDOWS\system32\2.tmp

2008-10-21 15:04 . 2008-10-21 15:04 18 --a------ C:\WINDOWS\system32\6.tmp

2008-10-21 14:55 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2008-10-21 14:45 . 2008-10-21 14:45

2008-10-21 14:45 . 2008-10-21 14:45

2008-10-21 14:45 . 2006-01-30 18:00 454,656 -ra------ C:\WINDOWS\system32\ZSHP1018.EXE

2008-10-21 14:45 . 2006-01-30 18:00 155,648 -ra------ C:\WINDOWS\apptune1018.exe

2008-10-21 14:45 . 2006-01-30 18:00 129,092 -ra------ C:\WINDOWS\system32\hp1018.img

2008-10-21 14:45 . 2006-01-30 18:00 106,496 -ra------ C:\WINDOWS\system32\vshp1018.dll

2008-10-21 14:45 . 2006-01-30 18:00 102,400 --a------ C:\WINDOWS\system32\zlhp1018.dll

2008-10-21 14:45 . 2006-01-30 18:00 86,016 --a------ C:\WINDOWS\system32\ZSPOOL.DLL

2008-10-21 14:45 . 2006-01-30 18:00 28,672 --a------ C:\WINDOWS\system32\zlm.dll

2008-10-21 14:45 . 2006-01-30 18:00 28,672 --a------ C:\WINDOWS\system32\IMF32.DLL

2008-10-21 14:45 . 2006-01-30 18:00 24,576 --a------ C:\WINDOWS\system32\ZTAG32.DLL

2008-10-21 14:45 . 2006-01-30 18:00 7,564 -ra------ C:\WINDOWS\system32\ZSHP1018.HLP

2008-10-20 21:54 . 2008-10-23 00:35

2008-10-20 21:25 . 2008-10-20 21:25

2008-10-20 21:25 . 2008-10-21 19:57

2008-10-19 23:32 . 2008-10-19 23:32

2008-10-19 22:02 . 2004-08-04 02:35 58,624 --a------ C:\WINDOWS\system32\drivers\redbook.sys

2008-10-19 22:02 . 2001-08-17 23:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys

2008-10-19 22:01 . 2004-08-04 02:44 77,312 --a------ C:\WINDOWS\system32\usbui.dll

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-19 18:41 --------- d-----w C:\Program Files\PhotoFiltre Studio

2008-10-19 18:24 --------- d-----w C:\Program Files\Gadu-Gadu

2008-10-19 18:21 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-10-19 18:21 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-10-19 18:21 --------- d-----w C:\Program Files\Alcatel

2008-10-19 18:19 --------- d-----w C:\Program Files\Realtek Sound Manager

2008-10-19 18:19 --------- d-----w C:\Program Files\Realtek AC97

2008-10-19 18:19 --------- d-----w C:\Program Files\AvRack

2008-10-19 18:10 --------- d-----w C:\Program Files\microsoft frontpage

2008-10-19 18:08 --------- d-----w C:\Program Files\Usługi online

.

------- Sigcheck -------

2004-08-04 11:44 1078272 26f77ffd95946baf495995e807140318 C:\WINDOWS\explorer.exe

2004-08-04 11:44 1044992 b6ecff949f5487344fb3da0badc7f1be C:\WINDOWS\system32\dllcache\explorer.exe

2004-08-04 11:44 26624 2f66d4e9e86abb357ba37f40394bb333 C:\WINDOWS\system32\ctfmon.exe

2004-08-04 11:44 26624 5977428e8fd1aa023f2957a96898b677 C:\WINDOWS\system32\dllcache\ctfmon.exe

2004-08-04 11:44 69120 babf0d22de41b1a6a8dbfa8834a3690a C:\WINDOWS\system32\spoolsv.exe

2004-08-04 11:44 69120 0c91d968834754d28cb05045094583cc C:\WINDOWS\system32\dllcache\spoolsv.exe

2004-08-04 11:44 254976 dfd554a329e3cc50c19d6b58613ae572 C:\WINDOWS\system32\wuauclt.exe

2004-08-04 11:44 123392 7627ee032d03c4fa7736cd7a0a49a9dc C:\WINDOWS\system32\dllcache\wuauclt.exe

2004-08-04 11:44 36352 b70082d3bfc2408f1fc45d941831fecf C:\WINDOWS\system32\userinit.exe

2004-08-04 11:44 36352 7464577d0efbb9a6e17fdcd79709df10 C:\WINDOWS\system32\dllcache\userinit.exe

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 26624]

"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [X]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-09 7561216]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-03-09 86016]

"SpeedTouch USB Diagnostics"="C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" [2002-06-06 905216]

"OrderReminder"="C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2006-01-30 110592]

"SoundMan"="SOUNDMAN.EXE" [2006-08-03 C:\WINDOWS\soundman.exe]

"nwiz"="nwiz.exe" [2006-03-09 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 26624]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7flxx.sys]

@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\uTorrent\utorrent.exe"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

R0 ati7flxx;ati7flxx;C:\WINDOWS\system32\Drivers\ati7flxx.sys [2008-10-23 32768]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\Recycled\ctfmon.exe

\Shell\Open(O)\command - C:\Recycled\Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

\Shell\Open(0)\command - D:\Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

\Shell\Open(0)\command - E:\Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

\Shell\Open(0)\command - F:\Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

\Shell\Open(0)\command - G:\Recycled\ctfmon.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

\Shell\AutoRun\command - H:\autorun.exe

*Newly Created Service* - WRNSRMRU

.

  • USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-irqaejfn - C:\WINDOWS\irqaejfn.exe

.

------- Skan uzupełniający -------

.

FireFox -: Profile - C:\Documents and Settings\XP\Dane aplikacji\Mozilla\Firefox\Profiles\wmvfzfs4.default\

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-23 00:37:19

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

detected NTDLL code modification:

ZwOpenFile

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

C:\WINDOWS\system32\drivers\WRNSRMRU.sys 181248 bytes executable

skanowanie pomyślnie ukończone

ukryte pliki: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Abiosdsk]

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WinSock2]

--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\WRNSRMRU]

"ImagePath"="\??\C:\WINDOWS\system32\drivers\WRNSRMRU.sys"

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\rundll32.exe

.

**************************************************************************

.

Czas ukończenia: 2008-10-23 0:38:16 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2008-10-22 22:38:11

Przed: 34 472 845 312 bajtów wolnych

Po: 34,473,914,368 bajtów wolnych

171


(Spandau) #8

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Gutek) #9

Prosiłem o coś to nie jest takie trudne - Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350