"ograniczenie lub brak łączności" laptop <=> router

dolphin · 28 Styczeń 2009 19:26

Witam,

Wkradło mi się ostatnio parę trojanów na kompa jako ze nie stosowałem antywira ;/ W celu ich usunięcia zainstalowałem antywirusa firmy Avira (AVG).

Usunąłem wirusy i laptop śmiga dużo szybciej i jest wyraźnie stabilniejszy… ALE :

(Przed skanem internet działał prawidłowo, nawet AVG się zupdate’ował)

a po skanie musiałem usunąć coś za dużo, bo przy konfiguracji połączenia z automatycznym pobieraniem IP wyskakuje “ograniczenie lub brak łączności”

Nadałem IP recznie (probowalem z podawaniem bramy i dnsow oraz z pozostawieniem tych pol pustych) i komunikat zniknal, ale internet (www) nie działa.

W routerze mam wlaczone DHCP, probowalem go przy wylaczonych wszystkich zabezpieczeniach i nic… przywrocilem ustawienia firmowe routera i nic.

Odinstalowywałem rowniez antywira zeby sprawdzic czy on czegos nie blokuje (tylko deinstalacja, nie usuwalem zadnych jego wpisow z rejestru bo nei wiem jak ;p )… i nic.

Wyłączałem zapore windowsa… i nic

Próbowałem przywracania systemu, ale przy wszystkich punktach przywracania wyskakuje mi ze nie wykonano zadnych zmian bo costam costam… prawdopodobnie antywir usunal tez jakies pliki z punktow przywracania i to mi sie juz nie uda.

Odinstalowanie i zainstalowanie sterowników karty wifi również nie pomogło ;/

Oprocz tego do routera mam podlczaonego PC z ktoergo pisze i na ktorym net smiga.

Z laptopa pinguje prawidlowo zarowno router jak i PC, ale juz onet.pl i wp.pl nie pinguje.

Pliki po sieci moge wymieniac na linii PC <=> laptop

patrzac na stan polaczenia zauwazylem ze jak probuje wejsc na jakas strone www w przegladarce to pakiety z laptopa sa wysylane, ale nie ma zadnych odbieranych

Mnostwo podobnych postów przeanalizowałem, ale nie znalazłem skutecznego dla siebie rozwiązania, więc postanowiłem tu napisać. Jeśli macie jakies pomysly to prosze o pomoc.

System: Win XP Home Edition SP3

Router: linksys WRT54GL v1.1

adpawl · 29 Styczeń 2009 16:19

Mogą być jakieś pozostałości, dobrze by było gdybyś wrzucił do sprawdzenia logi HijackThis i ComboFix …wyczyść też pliki tymczasowe.

Sprawdzałeś czy w LSP coś nie zostało? http://www.cexx.org/lspfix.htm

Sprawdź jeszcze raz konfig sieciówki ip,brama,dns

Próbowałeś przeinstalować sieciówkę i protokół TCP/IP ? -jeśli nie, zrób to.

Sprawdź tez czy naprawa z płytki cd pomoże: start > uruchom > sfc /scannow

dolphin · 29 Styczeń 2009 18:25

Wow juz traciłem nadzieje, a tu taka pomoc

LSP-fix pomogl … moge sie juz laczyc z netem… automatyczne przydzialanie IP i DNS juz działa

Dzieki wielkie!

Zamieszcze jeszcze logi z HJT i ComboFix bo wydaje mi sie ze nie wszystko jest ok… chocby autorun.ini - juz mi sie wydawalo ze to G wypleniłem z kazdego pendrive’a i kompa a to jednak sie gdzies w logach przewija

No i jeszcze mam jakas pozostalosc po robalu… wylaczyl mi dostep do menadżera zadan, edytora rejestrow, ale na to jakos znalazlem sposob i edytowalem odpowiednie wpisy innym edytorem w rejestrach…

ale nadal mam zablokowane “pomoc i obsluga techniczna”(nie da sie jej wlaczyc anie przez start ani przez F1) oraz opcje “wyszukaj” (ta da sie wlaczyc ale po wlaczeniu zamiast opcji wyszukiwania pojawia sie szary panel w exploratorze)

oprocz tego mam jeszcze gre Warrock ktora sie pieknie zaktualizowala, ale po aktualizacji dalej sie nie wlacza (z tym jakos bede sobie probowal poradzic… przeinstaluje i zoabatrze jakie efekty)

Logi HJT:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:05:12, on 2009-01-29 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\HPQ\IAM\bin\asghost.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programy\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\SearchIndexer.exe C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\HPQ\IAM\Bin\ItIeAddIN.dll O4 - HKLM…\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” /min O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://C:\Programy\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Wyślij do interfejsu Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra ‘Tools’ menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows … 2307706546 O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{E0B24268-1C90-49AC-BD5E-88B45776BE56}: NameServer = 62.179.1.62,62.179.1.63 O20 - Winlogon Notify: OneCard - C:\Program Files\HPQ\IAM\Bin\AsWlnPkg.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programy\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe – End of file - 5369 bytes

ComboFix:

ComboFix 09-01-21.04 - Sebasatian 2009-01-29 18:55:46.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.2551.2061 [GMT 1:00] Uruchomiony z: c:\documents and settings\Sebasatian\Pulpit\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) * Utworzono nowy punkt przywracania . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf c:\recycled\Recycled c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013 c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini c:\windows\IE4 Error Log.txt c:\windows\system32_000006_.tmp.dll D:\Autorun.inf d:\recycler\Desktop.ini d:\recycler\Folder.htt d:\recycler\Protect.ed d:\recycler\Warning.bmp . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_BNDMSS -------\Service_BNDMSS ((((((((((((((((((((((((( Pliki utworzone od 2008-12-28 do 2009-01-29 ))))))))))))))))))))))))))))))) . 2009-01-26 23:25 . 2009-01-26 23:25 2009-01-26 23:25 . 2009-01-26 23:25 2009-01-26 22:46 . 2001-08-17 22:07 56,960 --a–c— c:\windows\system32\dllcache\aic78xx.sys 2009-01-26 22:46 . 2001-08-17 22:07 55,168 --a–c— c:\windows\system32\dllcache\aic78u2.sys 2009-01-26 22:46 . 2001-08-17 20:11 27,678 --a–c— c:\windows\system32\dllcache\ali5261.sys 2009-01-26 22:46 . 2001-08-17 21:49 26,624 --a–c— c:\windows\system32\dllcache\alifir.sys 2009-01-26 22:46 . 2001-10-26 17:30 24,576 --a–c— c:\windows\system32\dllcache\agcgauge.ax 2009-01-26 22:46 . 2001-08-17 20:11 16,969 --a–c— c:\windows\system32\dllcache\amb8002.sys 2009-01-26 22:46 . 2001-08-17 21:52 12,800 --a–c— c:\windows\system32\dllcache\aha154x.sys 2009-01-26 22:46 . 2001-08-17 21:52 12,032 --a–c— c:\windows\system32\dllcache\amsint.sys 2009-01-26 22:46 . 2001-08-17 21:51 5,248 --a–c— c:\windows\system32\dllcache\aliide.sys 2009-01-26 21:56 . 2006-08-28 14:40 1,160,320 --a------ c:\windows\system32\drivers\AGRSM.sys 2009-01-26 21:56 . 2006-08-28 14:40 68,096 --a------ c:\windows\agrsmdel.exe 2009-01-25 23:32 . 2008-11-17 07:23 3,636,864 --a------ c:\windows\system32\drivers\NETw5x32.sys 2009-01-25 23:32 . 2008-06-20 09:33 2,756,608 --a------ c:\windows\system32\NETw5r32.dll 2009-01-25 23:32 . 2008-06-20 09:32 663,552 --a------ c:\windows\system32\NETw5c32.dll 2009-01-25 18:35 . 2009-01-25 18:35 2009-01-24 13:03 . 2009-01-24 13:03 2009-01-24 13:00 . 2009-01-24 13:00 2009-01-24 10:40 . 2009-01-24 10:40 2009-01-23 19:21 . 2009-01-23 19:21 580,096 --a–c— c:\windows\system32\dllcache\user32.dll 2009-01-23 19:18 . 2009-01-23 19:18 2009-01-23 19:15 . 2009-01-23 19:49 2009-01-22 23:11 . 2009-01-22 23:11 2009-01-22 21:37 . 2009-01-22 21:43 2009-01-20 08:50 . 2009-01-20 08:50 2009-01-19 13:07 . 2008-04-14 18:20 82,432 —h---t- c:\windows\system32\2affc.dll 2009-01-19 13:07 . 2008-04-14 18:20 82,432 —h---t- c:\windows\system32\2955ad9e.dll 2009-01-18 21:08 . 2009-01-18 21:08 2009-01-18 20:58 . 2009-01-18 20:58 2009-01-18 20:58 . 2009-01-18 20:58 2009-01-18 20:58 . 2008-03-07 18:02 192,000 -----c— c:\windows\system32\dllcache\offfilt.dll 2009-01-18 20:58 . 2008-03-07 18:02 98,304 -----c— c:\windows\system32\dllcache\nlhtml.dll 2009-01-18 20:58 . 2008-03-07 18:02 29,696 -----c— c:\windows\system32\dllcache\mimefilt.dll 2009-01-18 20:50 . 2008-12-12 18:03 3,088,896 --------- c:\windows\system32\SET32B.tmp 2009-01-18 20:50 . 2008-10-16 02:02 1,499,136 --a------ c:\windows\system32\SET320.tmp 2009-01-18 20:50 . 2008-10-16 02:02 668,672 --------- c:\windows\system32\SET31E.tmp 2009-01-18 20:50 . 2008-10-16 02:02 619,520 --------- c:\windows\system32\SET31F.tmp 2009-01-18 20:50 . 2008-12-11 11:57 333,952 -----c— c:\windows\system32\dllcache\srv.sys 2009-01-18 20:49 . 2008-10-16 02:02 3,088,896 --------- c:\windows\system32\SET321.tmp 2009-01-18 20:49 . 2008-08-14 14:26 2,190,464 --a–c— c:\windows\system32\dllcache\ntoskrnl.exe 2009-01-18 20:49 . 2008-08-14 14:26 2,146,816 --a–c— c:\windows\system32\dllcache\ntkrnlmp.exe 2009-01-18 20:49 . 2008-08-14 14:26 2,067,328 -----c— c:\windows\system32\dllcache\ntkrnlpa.exe 2009-01-18 20:49 . 2008-08-14 14:26 2,025,472 -----c— c:\windows\system32\dllcache\ntkrpamp.exe 2009-01-18 20:49 . 2008-09-04 18:17 1,106,944 --a------ c:\windows\system32\SET300.tmp 2009-01-18 20:49 . 2008-09-04 18:17 1,106,944 -----c— c:\windows\system32\dllcache\msxml3.dll 2009-01-18 20:49 . 2008-10-24 12:21 455,296 -----c— c:\windows\system32\dllcache\mrxsmb.sys 2009-01-18 20:49 . 2008-10-15 17:36 337,408 --a------ c:\windows\system32\SET2FC.tmp 2009-01-18 20:49 . 2008-04-14 18:20 337,408 --a–c— c:\windows\system32\dllcache\netapi32.dll 2009-01-18 20:48 . 2008-09-15 16:27 1,846,656 -----c— c:\windows\system32\dllcache\win32k.sys 2009-01-18 20:47 . 2008-04-11 20:06 691,712 -----c— c:\windows\system32\dllcache\inetcomm.dll 2009-01-18 20:47 . 2008-05-01 15:37 331,776 --a–c— c:\windows\system32\dllcache\msadce.dll 2009-01-18 20:46 . 2008-06-14 18:36 273,024 -----c— c:\windows\system32\dllcache\bthport.sys 2009-01-18 20:46 . 2008-05-08 15:02 203,136 -----c— c:\windows\system32\dllcache\rmcast.sys 2009-01-18 20:42 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui 2009-01-18 15:15 . 2008-04-14 18:20 82,432 —h---t- c:\windows\system32\91056a0.dll 2009-01-18 15:15 . 2008-04-14 18:20 82,432 —h---t- c:\windows\system32\1b6d3089.dll 2009-01-18 13:45 . 2008-04-14 18:20 82,432 —h---t- c:\windows\system32\6e730.dll 2009-01-18 13:45 . 2008-04-14 18:20 82,432 —h---t- c:\windows\system32\10b87030.dll 2009-01-17 00:21 . 2009-01-17 00:21 2009-01-15 21:59 . 2008-04-14 18:21 70,144 --a------ c:\windows\AhnRpta.exe 2009-01-14 18:59 . 2009-01-14 18:59 106 --a------ c:\windows\system32\lp 2009-01-12 18:28 . 2009-01-12 18:29 69 --a------ c:\windows\NeroDigital.ini 2009-01-09 11:45 . 2005-09-01 11:03 127,488 --------- c:\windows\system32\drivers\imagesrv.sys 2009-01-09 11:45 . 2005-09-01 11:03 5,888 --------- c:\windows\system32\drivers\imagedrv.sys 2009-01-09 11:44 . 2009-01-09 11:44 2009-01-09 11:44 . 2009-01-09 11:44 2009-01-09 11:44 . 2004-07-26 16:16 1,568,768 --------- c:\windows\system32\ImagX7.dll 2009-01-09 11:44 . 2004-07-26 16:16 476,320 --------- c:\windows\system32\ImagXpr7.dll 2009-01-09 11:44 . 2004-07-26 16:16 471,040 --------- c:\windows\system32\ImagXRA7.dll 2009-01-09 11:44 . 2004-07-09 08:43 364,544 --------- c:\windows\system32\TwnLib4.dll 2009-01-09 11:44 . 2004-07-26 16:16 262,144 --------- c:\windows\system32\ImagXR7.dll 2009-01-09 11:44 . 2001-07-09 10:50 155,648 --a------ c:\windows\system32\NeroCheck.exe 2009-01-09 11:44 . 2000-06-26 10:45 106,496 --a------ c:\windows\system32\TwnLib20.dll . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-27 07:44 --------- d–h--w c:\program files\InstallShield Installation Information 2009-01-26 22:03 --------- d-----w c:\program files\Common Files\Symantec Shared 2009-01-26 22:02 --------- d-----w c:\program files\The Worlds of Billy 2 Demo 2009-01-26 22:02 --------- d-----w c:\program files\Starcraft 2009-01-26 22:02 --------- d-----w c:\program files\Kangurek KAO 2009-01-25 22:33 --------- d-----w c:\program files\Broadcom 2009-01-24 12:08 --------- d-----w c:\program files\Anno 1701 2009-01-09 10:46 --------- d-----w c:\program files\Common Files\LightScribe 2008-12-26 08:16 --------- d-----w c:\program files\Blue Byte 2008-12-16 19:26 57,536 ----a-w c:\documents and settings\Karolina\Dane aplikacji\GDIPFONTCACHEV1.DAT 2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys 2008-12-04 16:55 --------- d-----w c:\program files\Codemasters 2008-07-23 17:09 56,352 ----a-w c:\documents and settings\Sebasatian\Dane aplikacji\GDIPFONTCACHEV1.DAT 2008-04-24 21:43 59,488 ----a-w c:\documents and settings\Ola\Dane aplikacji\GDIPFONTCACHEV1.DAT 2007-09-09 09:13 102 ----a-w c:\documents and settings\Sebasatian\Dane aplikacji\filterclsid.dat 2008-12-20 11:31 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll 2008-12-20 11:31 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll 2008-12-20 11:31 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll 2008-12-20 11:31 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll 2008-12-20 11:31 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll 2007-01-03 22:10 56 --sh–r c:\windows\system32\BB2C3DA680.sys 2008-05-29 18:24 80 --sha-w c:\windows\system32\indata.dat 2007-01-03 22:11 3,506 --sha-w c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “HP Software Update”=“c:\program files\Hp\HP Software Update\HPWuSchd2.exe” [2007-05-08 54840] “avgnt”=“c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” [2008-06-12 266497] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] “{56F9679E-7826-4C84-81F3-532071A8BCC5}”= “c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll” [2008-05-26 304128] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard] 2005-07-25 19:41 40960 c:\program files\HPQ\IAM\Bin\AsWlnPkg.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] “vidc.ffds”= c:\kodeki\ffdshow.ax [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Notification Packages REG_MULTI_SZ scecli AsWlnPkg [HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^AutoCAD Startup Accelerator.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\AutoCAD Startup Accelerator.lnk backup=c:\windows\pss\AutoCAD Startup Accelerator.lnkCommon Startup [HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BTTray.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\BTTray.lnk backup=c:\windows\pss\BTTray.lnkCommon Startup [HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^DVD Check.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\DVD Check.lnk backup=c:\windows\pss\DVD Check.lnkCommon Startup [HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Windows Search.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Windows Search.lnk backup=c:\windows\pss\Windows Search.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] c:\windows\system32\dumprep 0 -k [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-01-11 21:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CognizanceTS] --a------ 2003-12-22 19:12 17920 c:\progra~1\HPQ\IAM\Bin\AsTsVcc.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cpqset] --a------ 2006-01-26 14:35 172094 c:\program files\HPQ\Default Settings\Cpqset.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DLA] --a------ 2005-08-31 05:20 122940 c:\windows\system32\DLA\DLACTRLW.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update] --a------ 2007-05-08 16:24 54840 c:\program files\Hp\HP Software Update\hpwuSchd2.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpWirelessAssistant] --a------ 2006-02-14 10:49 454656 c:\program files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd] -ra------ 2006-03-23 13:13 77824 c:\windows\system32\hkcmd.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers] -ra------ 2006-03-23 13:17 118784 c:\windows\system32\igfxpers.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray] -ra------ 2006-03-23 13:17 94208 c:\windows\system32\igfxtray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup] --a------ 2005-08-11 16:30 249856 c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler] --a------ 2005-08-11 16:30 81920 c:\program files\Common Files\InstallShield\UpdateService\issch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PTHOSTTR] --a------ 2006-02-14 11:56 122880 c:\program files\HPQ\HP ProtectTools Security Manager\pthosttr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QlbCtrl] --a------ 2006-05-08 09:56 131072 c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2008-09-06 14:09 413696 c:\program files\QuickTime\QTTask.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Recguard] --a------ 2005-12-20 16:51 1187840 c:\windows\SMINST\Recguard.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Reminder] --a------ 2006-03-09 17:38 806912 c:\windows\CREATOR\Remind_XP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Scheduler] --a------ 2006-02-15 15:43 892928 c:\windows\SMINST\Scheduler.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] --a------ 2005-05-06 14:06 716800 c:\program files\Analog Devices\SoundMAX\SMax4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] -ra------ 2005-05-20 09:11 925696 c:\program files\Analog Devices\Core\smax4pnp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2006-12-15 02:23 75520 c:\program files\Java\jre1.5.0_11\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] --a------ 2006-03-03 17:46 761948 c:\program files\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog] --a------ 2005-11-08 11:59 184320 c:\program files\InterVideo\DVD Check\DVDCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG] --------- 2006-12-01 10:46 204288 c:\program files\Windows Media Player\wmpnscfg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] “PnkBstrB”=2 (0x2) “WMPNetworkSvc”=2 (0x2) “UTSCSI”=2 (0x2) “SQLAgent$AUTODESKVAULT”=3 (0x3) “MSSQLServerADHelper”=3 (0x3) “MSSQL$AUTODESKVAULT”=2 (0x2) “matlabserver”=2 (0x2) “LightScribeService”=2 (0x2) “IDriverT”=3 (0x3) “Autodesk Licensing Service”=3 (0x3) “Autodesk EDM Server”=2 (0x2) “Autodesk Data Management Job Dispatch”=2 (0x2) “hpqwmiex”=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusOverride”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= R3 insektxp;insektxp;c:\windows\system32\drivers\InsektXp.sys [2008-12-27 30400] R4 ASChannel;Local Communication Channel;c:\windows\System32\svchost.exe -k Cognizance [2006-03-02 14336] S4 SQLAgent$AUTODESKVAULT;SQLAgent$AUTODESKVAULT;c:\program files\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE [2005-05-03 323584] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Cognizance REG_MULTI_SZ ASChannel [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{73d58746-fdda-11dc-a821-001302c3987a}] \Shell\AutoRun\command - G:\iqe68o.bat \Shell\explore\Command - G:\iqe68o.bat \Shell\open\Command - G:\iqe68o.bat [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}] rundll32 aj32.dll,InitO . - - - - USUNIĘTO PUSTE WPISY - - - - ShellExecuteHooks-{BB4C402F-882A-4526-8C08-51278EA437C1} - c:\windows\system32\afmain1.dll MSConfigStartUp-13CFG914-K641-26SF-N31P - c:\recycler\S-1-5-21-0243336031-4052116379-881863308-0950\vsse33.exe MSConfigStartUp-cdoosoft - c:\windows\system32\olhrwef.exe . ------- Skan uzupełniający ------- . uStart Page = hxxp://www.hp.com/ uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/ IE: Eksport do programu Microsoft Excel - c:\programy\MICROS~1\Office10\EXCEL.EXE/3000 IE: Wyślij do interfejsu Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm TCP: {E0B24268-1C90-49AC-BD5E-88B45776BE56} = 62.179.1.62,62.179.1.63 DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab FF - ProfilePath - c:\documents and settings\Sebasatian\Dane aplikacji\Mozilla\Firefox\Profiles\47aw4qbf.default\ FF - prefs.js: browser.startup.homepage - onet.pl FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll FF - component: c:\program files\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-29 18:59:41 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - ‘winlogon.exe’(824) c:\program files\HPQ\IAM\Bin\AsWlnPkg.dll c:\program files\HPQ\IAM\Bin\ASChnl.dll c:\program files\HPQ\IAM\Bin\ItMsg.dll - - - - - - - ‘lsass.exe’(880) c:\program files\HPQ\IAM\bin\AsWlnPkg.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Avira\AntiVir PersonalEdition Classic\sched.exe c:\windows\system32\dllhost.exe c:\program files\HPQ\IAM\Bin\asghost.exe c:\program files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe c:\windows\system32\PnkBstrA.exe c:\programy\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe c:\windows\system32\searchindexer.exe . ************************************************************************** . Czas ukończenia: 2009-01-29 19:03:51 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2009-01-29 18:03:48 Przed: 7 415 021 568 bajtów wolnych Po: 8,492,015,616 bajtów wolnych WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Home Edition” /noexecute=optin /fastdetect 303

huber2t · 29 Styczeń 2009 18:56

Do wyleczenia pendrive z wirusów użyj tych programów

Wklej do notatnika:

File::

c:\windows\system32\2affc.dll

c:\windows\system32\2955ad9e.dll

c:\windows\system32\SET32B.tmp

c:\windows\system32\SET320.tmp

c:\windows\system32\SET31E.tmp

c:\windows\system32\SET31F.tmp

c:\windows\system32\SET321.tmp

c:\windows\system32\91056a0.dll

c:\windows\system32\1b6d3089.dll

c:\windows\system32\6e730.dll

c:\windows\AhnRpta.exe

c:\windows\system32\lp

c:\windows\system32\10b87030.dll


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{73d58746-fdda-11dc-a821-001302c3987a}]

[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{0EA88F0F-B698-4ab1-8DBC-EBE2CD00927F}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

dolphin · 29 Styczeń 2009 19:23

Dzieki za szybką analizę!

puscilem CFScipt wg zaleceń i otrzymałem takiego loga:

http://wklej.org/id/46201/

huber2t · 29 Styczeń 2009 19:30

Wklej do notatnika:

File::

c:\windows\system32\SET300.tmp

c:\windows\system32\SET2FC.tmp

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

dolphin · 29 Styczeń 2009 19:49

coraz krotsze logi wychodza:

http://wklej.org/id/46208/

huber2t · 29 Styczeń 2009 20:04

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html W razie wirusów pokaż z niego raport na forum

dolphin · 1 Luty 2009 18:53

Dzieki za pomoc. Usunałem Qoobox’a i wiecej dzisiaj nie zrobie, bo pora pomyslec o jutrzejszym egzaminie

Zauwazyłem ze działa mi juz poprawnie “pomoc i obsluga techniczna”, opcja wyszukaj, która była dla mnie b.ważna też już działa, aczkolwiek ma nieco inny wyglad niz wczesniej ( http://images33.fotosik.pl/452/a4de9f7d07087818.jpg )

Jutro posprawdzam resztę. Dzieki i dobranoc.

EDIT:

zastosowałem się do zaleceń i zrobiłem skana Kaspersky’m

log: http://wklej.org/id/47359/

zle to nie wyglada… o ile tego blednie nie wykrywa, to dll’a wolalbym zachowac, natomiast messengera nie potrzebuje i moge usunac… o ile to wszystko potrzebne?

huber2t · 3 Luty 2009 15:19

Myślę ze potrzebne, usuń te pliki

dolphin · 4 Luty 2009 16:59

usunalem, przelecialem jeszcze raz kasperskym i nic nie wykryl, wiec chyba juz powinno byc ok.

dzieki za pomoc

Mam jeszcze pytanie czy jest gdzies instrukcja jak identyfikowac podejrzane pliki w HJT i jak z nimi dalej postepowac? Bo chcialbym taka sama procedure zrobic ze stacjonarnym, a nie chce juz czyjegos czasu marnowac.