Witam wszystkich. Jestem tu nowy i proszę o wyrozumiałość .

Nagrałem program PC Tool Firewall Plus i SpywareDoctor .

W Pc Tool zauważyłem , że aplikacja services.exe ciągle łączy się

z różnymi serwerami i stronami www . Uruchomiłem SpywareDocotra ,

ale ten nic nie wykrywa . Proszę o pomoc . Nagrałem program HijackThis .Proszę o pomoc bo już nie wiem

co mam robić . Pomocy!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:24:10, on 2009-06-05

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\Program Files\PC Tools Firewall Plus\FWService.exe

C:\Program Files\Spyware Doctor\pctsAuxs.exe

C:\Program Files\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe

C:\Program Files\Spyware Doctor\pctsTray.exe

C:\WINDOWS\System32\ctfmon.exe

C:\D-Link\AirPlusG+\AirPlus.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O3 - Toolbar: Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe”

O4 - HKLM…\Run: [00PCTFW] “C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe” -s

O4 - HKLM…\Run: [iSTray] “C:\Program Files\Spyware Doctor\pctsTray.exe”

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [updateMgr] “C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe” AcRdB7_0_9 -reboot 1

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)

O4 - Global Startup: D-Link AirPlus G+ Wireless Utility.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Program Files\MDT6\AcPreview.ocx

O23 - Service: Usługa inteligentnego transferu w tle (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: PC Tools Firewall Plus (pctoolsfirewallplus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe

O23 - Service: PC Tools Auxiliary Service (sdauxservice) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdcoreservice) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Aktualizacje automatyczne (wuauserv) - Unknown owner - C:\WINDOWS\

–

End of file - 4621 bytes

Tyle, że tutaj jest czysto i wygląda na fałszywy alarm. Ale wklej jeszcze log z OtListIt2

http://oldtimer.geekstogo.com/OTListIt2.exe

Log wklejasz na http://www.wklej.org a tutaj tylko link do niego.

Wygląda ok , ale nie jest ok . Naprawdę mam problem .

Oto link do loga z Otlist2 : http://wklej.org/id/101311/ i jeszcze extras : http://wklej.org/id/101313/

Pomocy

Jedyne do czego można się przyczepić to ten dziwny sterownik, może rootkit, a może i coś niegroźnego

Przeskanuj na http://www.virustotal.com/pl/ i pokaż raport.

Jaki to problem - taki, że svchost korzysta z internetu to normalne, korzysta i będzie korzystał.

Nic szkodliwego tutaj nie widać.

Wklej tutaj log z gmer’a, może pod svchost jest coś podczepione

http://www.gmer.net/

Wklej log z ComboFix’a, bo go uruchamiałeś, nie rób nowego, tylko ten co powstał wklej.

Teraz zajrzałem do Extras. Rzeczywiście coś może być. Log z gmer masz wkleić.

Witam . Żeczywiscie Gmer wyświetla komunikat , że znalazł prawdopodobnie Rootkita pod tym sterownikiem .

Log z Combofix : http://wklej.org/id/101695/

Log z Gmer : http://wklej.org/id/101698/

Dziękuję i proszę o odpowiedź .

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

Witam . Jak uruchamiam Cmbofix pojawia sie komunikat , że ta wersja wyczerpała się i teraz będzie mniejsza funkcjonalność programu . Czy mimo tego mogę użyć tego programu do narpawy i usunięcia rootkita tak jak mi napisliście?

Proszę o odpowiedź . Dziękuję . Bartek .

Najlepiej to pobierz go od nowa.

Witam . Zrobiłem jak mi radziliście ale ComboFix nie usunął pliku . Log z ComboFix : http://wklej.org/id/106472/ .

Co mam teraz zrobić ? Nadal jest problem . Mogę usunąc ten plik ręcznie z dosa przed uruchomieniem windows ?

Proszę o odpowiedź . Bartek .

Pobierz The Avenger

Skopiuj do niego :

Kliknik

Witam . O to log z avenger : http://wklej.org/id/106621/ . Plik c:\avenger\backup.zip skasowany .

Poczekam jeden dzien i sprawdze czy problem jest rozwiązany . Dzięki za pomoc .

Dziękuję . Bartosz .

Wklej jeszcze do notatnika

Zapisz jako, wszystkie pliki Fix.reg. Dwuklik na nim, dodajesz do rejestru, restart.