Prośba o sprawdzenie loga - problem z startdrv.exe


(Kace29) #1

Witam. Mam problem z netem (Neostrada opcja 256kb/s), a mianowicie chodzi o to, że bardzo często mimo połącznie z Neostrada nie mogę połaczyć sie z jakakolwiek strona. W trybie awaryjnym zarzuciłem ad-aware i spybota. Ad-aware wykrywa mi zarażone dwa pliki (windows\system32\drivers\ip6fw.sys oraz windows\temp\startdrv.exe). Pomimo ich usunięcia przy ponowym uruchomieniu komputera pojawiają sie ponownie wraz z problem z netem. Bardzo prosze o sprawdzenie loga. Pozdro

Logfile of HijackThis v1.99.1

Scan saved at 00:10:05, on 2007-09-19

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Program Files\Nikon\Wireless Camera Setup Utility\NkPtpEnum.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

D:\Programy\Sterowniki\Klawiatura\klaw\iTouch\iTouch.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\winmds.exe

C:\WINDOWS\system32\winmds.exe

C:\Documents and Settings\pckomputer\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL

O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programy\Sterowniki\Klawiatura\klaw\iTouch\iTouch.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Add to &Teleport - D:\Programy\Teleport Pro\teleport.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\Programy\MSOffice\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{052FA716-E679-47E2-B127-EFDAC53BF173}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS2\Services\Tcpip\..\{052FA716-E679-47E2-B127-EFDAC53BF173}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Programy\Ares\chatServer.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NkPtpEnumP2 - Unknown owner - C:\Program Files\Nikon\Wireless Camera Setup Utility\NkPtpEnum.exe" -a -d="C:\Program Files\Nikon\Wireless Camera Setup Utility\NkPtpip.dll (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

(jessica) #2

Sfiksuj: >>Hijack>>scan(Do a system scan only)>>zaznacz go >> Fix checked.

Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

Te poniższe też wyglądają na podejrzane:

Prawdopodobnie są to pliki jakiegoś Zaplanowanego Zadania - zobaczymy to w logu -->ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi


(Monczkin) #3

Nazwij temat konkretnie.


(Kace29) #4

Zrobiłem tak jak mi radziłas a oto logi:

Log z ComboFix: http://wklej.org/id/fbb8c0d051

Log z SDFix: http://www.wklej.org/id/b06d67c74e


(Monczkin) #5

kace prosiłem chyba o coś - za chwilę temat wyleci


(Kace29) #6

Przecież zmieniłem temat


(jessica) #7

Wklej do Notatnika :

File::

C:\ebli.exe

C:\sysvnah.exe

C:\WINDOWS\system32\6arX5y34.exe

C:\WINDOWS\system32\winmds.exe

C:\WINDOWS\Tasks\At1.job

C:\WINDOWS\Tasks\At2.job

C:\WINDOWS\Tasks\At3.job

C:\WINDOWS\Tasks\At4.job

C:\WINDOWS\Tasks\At5.job

C:\WINDOWS\Tasks\At6.job

C:\WINDOWS\Tasks\At7.job

C:\WINDOWS\Tasks\At8.job

C:\WINDOWS\Tasks\At9.job

C:\WINDOWS\Tasks\At10.job

C:\WINDOWS\Tasks\At11.job

C:\WINDOWS\Tasks\At12.job" 

C:\WINDOWS\Tasks\At13.job" 

C:\WINDOWS\Tasks\At14.job" 

C:\WINDOWS\Tasks\At15.job" 

C:\WINDOWS\Tasks\At16.job" 

C:\WINDOWS\Tasks\At17.job" 

C:\WINDOWS\Tasks\At18.job" 

C:\WINDOWS\Tasks\At19.job" 

C:\WINDOWS\Tasks\At20.job" 

C:\WINDOWS\Tasks\At21.job" 

C:\WINDOWS\Tasks\At22.job" 

C:\WINDOWS\Tasks\At23.job" 

C:\WINDOWS\Tasks\At24.job" 

C:\WINDOWS\Tasks\At25.job" 

C:\WINDOWS\Tasks\At26.job" 

C:\WINDOWS\Tasks\At27.job" 

C:\WINDOWS\Tasks\At28.job" 

C:\WINDOWS\Tasks\At29.job" 

C:\WINDOWS\Tasks\At30.job" 

C:\WINDOWS\Tasks\At31.job" 

C:\WINDOWS\Tasks\At32.job" 

C:\WINDOWS\Tasks\At33.job" 

C:\WINDOWS\Tasks\At34.job" 

C:\WINDOWS\Tasks\At35.job" 

C:\WINDOWS\Tasks\At36.job" 

C:\WINDOWS\Tasks\At37.job" 

C:\WINDOWS\Tasks\At38.job" 

C:\WINDOWS\Tasks\At39.job" 

C:\WINDOWS\Tasks\At40.job" 

C:\WINDOWS\Tasks\At41.job" 

C:\WINDOWS\Tasks\At42.job" 

C:\WINDOWS\Tasks\At43.job" 

C:\WINDOWS\Tasks\At44.job" 

C:\WINDOWS\Tasks\At45.job" 

C:\WINDOWS\Tasks\At46.job" 

C:\WINDOWS\Tasks\At47.job" 

C:\WINDOWS\Tasks\At48.job" 

C:\WINDOWS\Tasks\At49.job" 

C:\WINDOWS\Tasks\At50.job" 

C:\WINDOWS\Tasks\At51.job" 

C:\WINDOWS\Tasks\At52.job" 

C:\WINDOWS\Tasks\At53.job" 

C:\WINDOWS\Tasks\At54.job" 

C:\WINDOWS\Tasks\At55.job" 

C:\WINDOWS\Tasks\At56.job" 

C:\WINDOWS\Tasks\At57.job" 

C:\WINDOWS\Tasks\At58.job" 

C:\WINDOWS\Tasks\At59.job" 

C:\WINDOWS\Tasks\At60.job" 

C:\WINDOWS\Tasks\At61.job" 

C:\WINDOWS\Tasks\At62.job" 

C:\WINDOWS\Tasks\At63.job" 

C:\WINDOWS\Tasks\At64.job" 

C:\WINDOWS\Tasks\At65.job" 

C:\WINDOWS\Tasks\At66.job" 

C:\WINDOWS\Tasks\At67.job" 

C:\WINDOWS\Tasks\At68.job" 

C:\WINDOWS\Tasks\At69.job" 

C:\WINDOWS\Tasks\At70.job" 

C:\WINDOWS\Tasks\At71.job" 

C:\WINDOWS\Tasks\At72.job" 


Registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoSys]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NWEReboot"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"=-

[-HKEY_LOCAL_MACHINE\system\ControlSet002\Services\runtime2]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku --> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

I daj log z ComboFixa (na wklej.org).

jessi


(Kace29) #8

Net działa już bez problemów. Wielkie Dzięki :slight_smile:

Oto log z ComboFix'a: http://www.wklej.org/id/6978921c83


(jessica) #9

Jak widzę - usuwanie się nie udało, a właściwie częściowo się udało.

Spróbujemy usunąć ręcznie:

Mogą być ukryte:

Potem daj nowy log z ComboFixa.

jessi


(Kace29) #10

Log : http://www.wklej.org/id/a2ab3f3132


(jessica) #11

Wg mnie - jest OK!

jessi


(Kace29) #12

Dzieki Wielkie :slight_smile: bro dla Ciebie :slight_smile: pozdro