Od kilku godzin komputer mi wariuje…Poje***o mi gg, skypa wywala mnie z gry i wyskakują jakieś błędy…Nie wiem co sie dzieje juz miałem robic format ale pomyślałem że może Wy coś poradzicie

Zamieszczam loga z hijackthis

AAA i prosze jeszcze o porade co do programu antywirusowego

Logfile of HijackThis v1.99.1

Scan saved at 16:01:52, on 2007-09-04

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Common Files\MicroWorld\Agent\MWASER.EXE

C:\Program Files\Common Files\MicroWorld\Agent\MWAgent.exe

C:\WINDOWS\system\NOTEPAD.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\RunDll32.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\NetMeter\NetMeter.exe

C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Opera\Opera.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\ftp.exe

D:\akcesoria\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.clubbers.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - C:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [C] C:\Program Files\NetMeter\NetMeter.exe

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{A1057B05-7E53-4DA8-9EE8-289D77231E20}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Program Files\Common Files\MicroWorld\Agent\MWASER.EXE

O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Jeżeli coś jeszcze dać to mówcie

Teraz skanuje kompa programem AVG Anti-Spyware 7.5

użyj combofix

a antywir to jak dla mnie najlepszy kaspersky (płatny)

a z darmowych avast!!

Okey zrobiłem loga z cobofix :

ComboFix 07-08-30.3 - "Areecki" 2007-09-04 16:28:20.1 - NTFSx86

Sprawdź, czy masz C:\WINDOWS\NOTEPAD.exe oraz C:\WINDOWS\system32\NOTEPAD.exe.

Jeśli są, to wykonujesz to wszystko poniżej, jeśli któregoś nie ma, to napisz tu, a nic nie wykonuj.

Ściągnij GMER

Uruchom go: >>gmer.zip>>gmer.exe

>rozwiń>>zakładka CMD >>zaznacz: REGEDIT >>w górne czarne pole wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] 

"WMI Standard Event Consumer - Scripting"=-


[-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\Sjsu61]

Kliknij “Uruchom” z prawej.

Potem znów GMER

>>> CMD >>tym razem zaznacz: CMD >>w górne czarne pole wklej:

Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.

Potem daj tu log z ComboFixa oraz log z GMERa na takim ustawieniu:

Ponieważ logi będą długie, więc wklej na http://wklej.org/, a w poście daj tylko link.

jessi

Mam notepady obydwa…

Strasznie doi mi neta nawet jak mam wyłączoną przeglądarke i programy to coś wysyła i nie wiem co …

Pozstaram sie zrobic to co napisałas o ile wczesniej mi sie nei zresetuje komputer!!!Jak możesz napisz na skypa : areecki_18

Zrobiłem wszytko jak trzeba tylko przy tym działaniu :

Kliknij "Uruchom" z prawej. 

Potem znów GMER 

>>>CMD>>tym razem zaznacz: CMD>>w górne czarne pole wklej: Cytat:

gmer -del service "Local Service" 

gmer -del service notepad 

gmer -del file C:\WINDOWS\system32\drivers\symavc32.sys 

gmer -del file C:\WINDOWS\system32\drivers\Sjsu61.sys 

gmer -del file C:\WINDOWS\wuauapl.exe 

gmer -del file C:\WINDOWS\system\NOTEPAD.exe 

gmer -del file C:\WINDOWS\System32\wbem\scrcons32.exe 

gmer -del file C:\Program Files\DaemonTools_WhenUSave_Installer 

gmer -del file C:\WINDOWS\system32\msoft66538.exe 

gmer -del file C:\WINDOWS\system32\msoft82766.exe 

gmer -del file C:\WINDOWS\system32\drivers\Amod61.sys 

gmer -reboot 



Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć

ZAnim zresetował mi sie komputer wyskoczyły 3 błedy/ ostrzeżenia że nie mozna czegos tam usunąc i wiem ze jesden to był notepad na poczatku , potem wziąłem to ok i komp sie resetnął po czym zrobiłem logi które zamieszczam poniżej …

ComboFix

http://wklej.org/id/0371904c9a

&

Gmer

http://wklej.org/id/89d1bb4a91

Złączono Posta : 04.09.2007 (Wto) 18:55

Narazie wszytko ok

Ale ciągle coś mi wysyła do neta i nie mam pojecia co

Nie mam programów P2P wyłącze wszytskie prog i przeglądarke i dalej coś wysyła mi

Uruchom >>GMER

>rozwiń>>zakładka CMD >>zaznacz: REGEDIT >>w górne czarne pole wklej:

Windows Registry Editor Version 5.00 


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mmsass"=-


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"johnj3155"=-


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]

"mmsass"=-

Kliknij “Uruchom” z prawej.

Potem znów GMER

>>> CMD >>tym razem zaznacz: CMD >>w górne czarne pole wklej:

Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.

Potem daj tu log z ComboFixa

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi

Znowu wyskoczyły 3 błedy jak wziąłem uruchom

Każdyu błąd ok a potem komp mi sie zresetował

Zamieszczam loga …

http://wklej.org/id/ce56710ec7

Znów GMER>

>Rozwiń>>>zakładka CMD >>zaznacz CMD —w górne czarne pole wklej to:

Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.

Potem zrób sobie log z ComboFixa i zobacz, czy jest któryś z tych:

Jeśli jest, to spróbuj usunąć ręcznie w Trybie Awaryjnym.

Potem zobacz, czy w logu nie ma:

Jeśli jest, to:

Użyj SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Niezależnie co zrobisz, to daj też nowy log z ComboFixa.

jessi

Znalazłem tylko

C:\Program Files\DaemonTools_WhenUSave_Installer

Ale nie wiem jak sie usuwa to w trybie awaryjnym

Tzn nie wiem jak włączyc tryb awaryjny i jak sie włączy to co normalnie usunąc ???

Przy okazji zamieszczam log:

http://wklej.org/id/bea6cf0fc4

Dobra, daj sobie spokój z tym WhenUSave_Installer , tylko pamiętaj, by go nie uruchomić - ostatecznie akurat ten plik to tylko mały “śmietek”.

W logu nie widzę już nic podejrzanego, ale SDFix możesz, mimo wszystko, użyć.

,

jessi

Nie znalazłem

C:\WINDOWS\system32\dllcache\ivchost.exe

Zamieszczam świeżego loga i czekam na kolejne instrukcje…

http://wklej.org/id/81677c3e86

Pobierz program SDFix

Ok zrobiłem…

SDFix: Version 1.101


Run by Areecki on 2007-09-04 at 20:45


Microsoft Windows XP [Wersja 5.1.2600]


Running From: C:\SDFix


Safe Mode:

Checking Services: 



Restoring Windows Registry Values

Restoring Windows Default Hosts File


Rebooting...



Normal Mode:

Checking Files: 


Trojan Files Found:


C:\WINDOWS\system32\i - Deleted

C:\WINDOWS\system32\mmdmm.exe - Deleted

C:\WINDOWS\system32\o - Deleted

C:\WINDOWS\system32\TFTP1172 - Deleted

C:\WINDOWS\system32\TFTP2192 - Deleted

C:\WINDOWS\system32\TFTP2324 - Deleted

C:\WINDOWS\system32\TFTP2336 - Deleted

C:\WINDOWS\system32\TFTP3068 - Deleted

C:\WINDOWS\system32\TFTP4012 - Deleted




Removing Temp Files...


ADS Check:


C:\WINDOWS

No streams found. 


C:\WINDOWS\system32

No streams found. 


C:\WINDOWS\system32\svchost.exe

No streams found.


C:\WINDOWS\system32\ntoskrnl.exe

No streams found.




                                 Final Check:


Remaining Services:

------------------




Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Remaining Files:

---------------


File Backups: - C:\SDFix\backups\backups.zip


Files with Hidden Attributes:


C:\Documents and Settings\Areecki\Pulpit\I.S.Y.C.2005.PL.DVDRip.RMVB_upload_by_Tajfun23\I.See.You.Com.2005.PL.DVDRip.RMVB\isy.com.pl.rmvb.ini

C:\WINDOWS\LastGood.Tmp\INF\dxbda.inf

C:\WINDOWS\LastGood.Tmp\INF\dxbda.PNF

C:\WINDOWS\LastGood.Tmp\INF\dxdllreg.inf

C:\WINDOWS\LastGood.Tmp\INF\dxdllreg.PNF

C:\WINDOWS\LastGood.Tmp\INF\dxxp.inf

C:\WINDOWS\LastGood.Tmp\INF\dxxp.PNF

C:\WINDOWS\LastGood.Tmp\INF\oem2.inf

C:\WINDOWS\LastGood.Tmp\INF\oem2.PNF

C:\WINDOWS\LastGood.Tmp\INF\oem3.inf

C:\WINDOWS\LastGood.Tmp\INF\oem3.PNF

C:\WINDOWS\LastGood.Tmp\INF\oem4.inf

C:\WINDOWS\LastGood.Tmp\INF\oem4.PNF

C:\WINDOWS\system32\config\SAM.tmp.LOG

C:\WINDOWS\system32\config\SECURITY.tmp.LOG


                                 Finished

tamto usunąłem z demon tolss

Jak coś jeszcze to pisac

Ale już teraz z góry dziekuje wszystkim bardzo serdecznie :****

Pozdro!

Jednak się nie myliłem

Pobierz Gmer

1. Rootkit=>szukaj=>bez zaznaczania pokaż wszystko=> Ctrl + V do posta wklej

2. Rootkit => zaznaczone tylko Pokazuj wszystko + Usługi => Szukaj => Kopiuj => Ctrl + V do posta wklej

1: (chwila)

2: http://wklej.org/id/2746cd9230

Na szybkiego, ale nic nie widzę

Na koniec - http://www.eset.pl/onlinescan

Wielkie dzieki…

Właśnie skanuje nodem