tomaszgr
(Tomaszgr)
14 Grudzień 2006 08:08
#1
Witam!
W komputerze zainstalowanajest neostrada 640kbs, jednak mimo wyłaczenia w msconfig i usunięcia hijackThis tych elementów co do których byłem pewien ze są podejrzane dalej cos tam siedzi. Efekt jest taki że kilka minut, czasem sekund mozna cos zrobić na internecie, po chwili internet jest całkowicie zablokowany, widać że transfer wychodzący jest na maksymalnym poziomie.
poniżej log z tym co zostało
Logfile of HijackThis v1.99.1 Scan saved at 18:04:19, on 2006-12-13 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\irdvxc.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\System32\svcchost.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\System32\mysvcc.exe C:\Program Files\WinFast\WFTVFM\WFWIZ.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\PROGRA~1\Wanadoo\TaskbarIcon.exe C:\WINDOWS\System32\systembin.exe C:\WINDOWS\System32\secpoeaj.exe C:\WINDOWS\system32\mmopcvm.exe C:\WINDOWS\system32\opregmem.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\VIA\RAID\raid_tool.exe C:\Program Files\OpenOffice.ux.pl 2.0.4\program\soffice.exe C:\Program Files\OpenOffice.ux.pl 2.0.4\program\soffice.BIN C:\Documents and Settings\Michał\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [msvcc25] svcchost.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [mysvcig38] mysvcc.exe O4 - HKLM…\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe O4 - HKLM…\Run: [systemscroot] systembin.exe O4 - HKLM…\Run: [mlibsysmc] secpoeaj.exe O4 - HKLM…\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM…\RunServices: [Microsoft Security Monitor Process] mssmp.exe O4 - HKLM…\RunServices: [msvcc25] svcchost.exe O4 - HKLM…\RunServices: [Microsft Security Monitor Process] mssmppp.exe O4 - HKLM…\RunServices: [mysvcig38] mysvcc.exe O4 - HKLM…\RunServices: [systemscroot] systembin.exe O4 - HKLM…\RunServices: [mlibsysmc] secpoeaj.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [systemscroot] systembin.exe O4 - HKCU…\Run: [hmodslbm] C:\WINDOWS\system32\mmopcvm.exe O4 - HKCU…\Run: [kdbersvm] C:\WINDOWS\system32\opregmem.exe O4 - HKCU…\RunServices: [systemscroot] systembin.exe O4 - Startup: OpenOffice.ux.pl 2.0.4.lnk = C:\Program Files\OpenOffice.ux.pl 2.0.4\program\quickstart.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing) O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
przepraszam jeśli problem jest banalny jednak obecnie pracuję na internecie poprzez podpięty telefon kom. i mam tragiczny transfer, bardzo trudno w tej sytuacji jest mi znależść samodzielnie rozwiązanie tego problemu.
Pozdrawiam
Tomasz Grochowalski
Joan
(Joan Sunshine)
14 Grudzień 2006 08:23
#2
Użyj narzędzia WWDC (pozwoli Ci to zamknąć robaczywe porty), zmień znaczki z Disable na Enable i zresetuj sysa.
Wchodzisz w Start --> uruchom --> services.msc --> zatrzymaj i wyłącz usługe Network helper Service
Otwórz hijackthis --> open misc tools section --> delete a NT service --> wpisz MSDisk i ok
Ściągasz GMERA
W zakładke CMD -> CMD wklej:
Klikasz Uruchom
Wyłączasz przywracanie systemu (Panel sterowania -> System -> Przywracanie systemu -> zaznaczasz „Wyłącz przywracanie systemu” ).
W HJT odpalonym z trybie awaryjnym zaznaczasz wpisy i klikasz na dole “Fix checked” , to co na czerwono usuwasz ręcznie z dysku:
Po zabiegach nowe logi z HiJacka oraz Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle).
Masz źle skonfigurowanego NODa