Nie zawsze laczy sie z netem


(Emosik) #1

Logfile of HijackThis v1.99.1

Scan saved at 16:41:16, on 2007-01-02

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe

C:\WINDOWS\TEMP\VRT5.tmp

D:\instalkii\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU..\Run: [Komunikator] "C:\Program Files\Tlen.pl\tlen.exe" --confdir=home

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip..{0B436A43-C3D2-45BB-8B61-E383ED177A82}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip..{0B436A43-C3D2-45BB-8B61-E383ED177A82}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS2\Services\Tcpip..{0B436A43-C3D2-45BB-8B61-E383ED177A82}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe (file missing)

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe (file missing)

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe

O23 - Service: Kerio WinRoute Firewall (WinRoute) - Unknown owner - C:\Program Files\Kerio\WinRoute Firewall\winroute.exe (file missing)


(Bbieniol) #2

Obawiam się najgorszego, ale bądźmy dobrej myśli...

W trybie awaryjnym z wyłączonym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku):

Po zabiegach nowy log z Hijacka + log z Silent Runners + log z ComboFix


(Emosik) #3

nie wiem co sie dzieeje zrobilem to ale ciagle zeby internet zaskoczyl (zadzialal) musze okolo 50 razy rozlaczyc/wlaczyc polaczenie...Normalnie wlacza sie polaczenie i pisze ze jestem polaczony ale nie dziala internet..jakby firewall blokowal ale specjalnie go wylaczam... log z sillenta:

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:


HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"CTFMON.EXE" = "C:\WINDOWS\System32\ctfmon.exe" [MS]

"Komunikator" = ""C:\Program Files\Tlen.pl\tlen.exe" --confdir=home" ["o2.pl Sp. z o.o."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}

"SoundMan" = "SOUNDMAN.EXE" ["Avance Logic, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"

-> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"

\InProcServer32(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"

-> {HKLM...CLSID} = "HyperTerminal Icon Ext"

\InProcServer32(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

<> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes*\shellex\ContextMenuHandlers\

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\

WinRAR(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"

-> {HKLM...CLSID} = "WinRAR"

\InProcServer32(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:


Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001

{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|

Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:


Active Desktop may be disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:

HKCU\Software\Microsoft\Internet Explorer\Desktop\General\

"Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:

HKCU\Control Panel\Desktop\

"Wallpaper" = "C:\WINDOWS\web\wallpaper\Idylla.bmp"

Enabled Screen Saver:


HKCU\Control Panel\Desktop\

"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "Emosik" & "All Users" startup folders:


C:\Documents and Settings\All Users\Menu Start\Programy\Autostart

"DSLMON" -> shortcut to: "C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe" [empty string]

Winsock2 Service Provider DLLs:


Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]

000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Running Services (Display Name, Service Name, Path {Service DLL}):


Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]

Sunbelt Kerio Personal Firewall 4, KPF4, "C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe" ["Sunbelt Software"]


<>: Suspicious data at a malware launch point.

  • This report excludes default entries except where indicated.

  • To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

  • To search all directories of local fixed drives for DESKTOP.INI

DLL launch points, use the -supp parameter or answer "No" at the

first message box and "Yes" at the second message box.

---------- (total run time: 67 seconds, including 5 seconds for message boxes)


(adam9870) #4

Czysto.

Wrzuć log z ComboFix'a. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C


(Gutek) #5

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE - POPRAW! !!

Pozdrawiam Gutek2222


(Emosik) #6

Złączono Posta : 03.01.2007 (Sro) 22:59

wlasnie zrobilem scana w http://www.bezpieczenstwo.onet.pl i praktycznie w kazdym pliku .exe w C:\WINDOWS\ znajdowalo mi wirusa W32.Virbot.C ...Na poczatku kasowalem wszystkie bo myslaelm ze to wirus ale potem patrze a scciezka C:\WINDOWS\SOUNDMAN.EXE i sie dopiero skapłem ze to nie wirus chyba ;/ i przerwalem skanowanie...

Złączono Posta : 03.01.2007 (Sro) 23:04


(Bbieniol) #7

Tutaj również czysto.

Zrób skan AVG AntySpyware 7.5 po update :slight_smile:


(Emosik) #8

znow mam jakies dziwne procesu typu Vrt3 w menadzerze ....i inne spr loga plz...


(adam9870) #9

Plik usuń ręcznie w trybie awaryjnym, a wpisy w hjt.

Przeskanuj http://www.ewido.net/en/.

Po wykonaniu pokaż komplet nowych logów tj. HijackThis, SilentRunners, ComboFix.


(Emosik) #10

combofix

Złączono Posta : 04.01.2007 (Czw) 23:33

a tym anti spywarem juz robilem scana i znalazl jedynie pare czegos tam na medium risk..

AVG Anti-Spyware - Scan Report


  • Created at: 23:14:04 2007-01-04

  • Scan result:

:mozilla.47:C:\Documents and Settings\Emosik\Dane aplikacji\Mozilla\Firefox\Profiles\qnxe881j.default\cookies.txt -> TrackingCookie.2o7 : Cleaned.

:mozilla.31:C:\Documents and Settings\Emosik\Dane aplikacji\Mozilla\Firefox\Profiles\qnxe881j.default\cookies.txt -> TrackingCookie.Adocean : Cleaned.

:mozilla.33:C:\Documents and Settings\Emosik\Dane aplikacji\Mozilla\Firefox\Profiles\qnxe881j.default\cookies.txt -> TrackingCookie.Adocean : Cleaned.

C:\Documents and Settings\Emosik\Cookies\emosik@gde.adocean[2].txt -> TrackingCookie.Adocean : Cleaned.

C:\Documents and Settings\Emosik\Cookies\emosik@atdmt[1].txt -> TrackingCookie.Atdmt : Cleaned.

:mozilla.44:C:\Documents and Settings\Emosik\Dane aplikacji\Mozilla\Firefox\Profiles\qnxe881j.default\cookies.txt -> TrackingCookie.Googleadservices : Cleaned.

:mozilla.45:C:\Documents and Settings\Emosik\Dane aplikacji\Mozilla\Firefox\Profiles\qnxe881j.default\cookies.txt -> TrackingCookie.Googleadservices : Cleaned.

C:\Documents and Settings\Emosik\Cookies\emosik@tradedoubler[2].txt -> TrackingCookie.Tradedoubler : Cleaned.

:mozilla.38:C:\Documents and Settings\Emosik\Dane aplikacji\Mozilla\Firefox\Profiles\qnxe881j.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.

:mozilla.39:C:\Documents and Settings\Emosik\Dane aplikacji\Mozilla\Firefox\Profiles\qnxe881j.default\cookies.txt -> TrackingCookie.Yieldmanager : Cleaned.

::Report end


(Joan Sunshine) #11

HJT i Silent czyste, AVG wykrył tylko cookie.

Otwórz notatnik i wklej w nim to:

Plik -> zapisz jako -> zmień rozszerzenie na wszystkie pliki -> zapisz pod nazwą FIX.REG

Odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa :slight_smile:

:shock: daj nowy log z combofixa.


(Emosik) #12

hyh ale ja nie moge zrobic tego pliku..bo jak go zaipsze juz pod nazwa FIX.REG i dam na rozszerzenie wszystkie pliki i probuje odpalic to pisze ze nie mozna odnalesc regedit.exe ;D.bo ja go usunalem chyba scanerem bo pokazalo mi to jako wirus...i nie tylko to skasowalem ;X


(Joan Sunshine) #13

Niemożliwe że usunąłeś plik rejestru, bo zwyczajnie system by wtedy nie wstał. Napisz, co konkretnie usunąłeś i wklej nowe logi (Hijack+Silent+Combo), bo wróżyć nie potrafimy :wink: