Prosze o sprawdzenie loga co chwile trace polaczenie z netem

nowy2 · 21 Luty 2008 13:56

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:54:09, on 2008-02-21 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RunDll32.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RUNDLL32.EXE F:\Gadu-Gadu\gg.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Tomek\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [WinDLL (tepmlayer.exe)] rundll32.exe C:\WINDOWS\System32\tepmlayer.exe,start O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU…\Run: [Gadu-Gadu] “F:\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [Odkurzacz-MCD] F:\Odkurzacz\odk_mcd.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows … 3428679405 O17 - HKLM\System\CCS\Services\Tcpip…{A5880F29-2D40-4331-B62B-3710DC9C8F2A}: NameServer = 83.238.255.76 213.241.79.37 O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe – End of file - 3541 bytes

jessica · 21 Luty 2008 14:09

Ściągnij -->ComboFix.

Wklej do Notatnika :

File::

C:\WINDOWS\System32\tepmlayer.exe


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinDLL (tepmlayer.exe)"=-

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.

PS: Ja nie mam możliwości odpowiadania na PW (czyli jestem osobą niepożądaną na Forum).

jessi

nowy2 · 21 Luty 2008 14:49

ComboFix 08-02-21 - Tomek 2008-02-21 15:42:02.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.387 [GMT 1:00]

Running from: C:\Documents and Settings\Tomek\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Tomek\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

FILE ::

C:\WINDOWS\System32\tepmlayer.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\System32\tepmlayer.exe

.

((((((((((((((((((((((((( Files Created from 2008-01-21 to 2008-02-21 )))))))))))))))))))))))))))))))

.

2008-02-21 12:50 . 2008-02-21 15:37 0 --a------ C:\adware.exe

2008-02-21 12:42 . 2008-02-21 12:42

2008-02-21 12:42 . 2004-08-04 00:44 578,560 --a–c— C:\WINDOWS\system32\dllcache\user32.dll

2008-02-21 12:38 . 2008-02-21 12:51

2008-02-20 14:09 . 2008-02-20 14:09

2008-02-19 18:44 . 2008-02-19 18:44 1,158 --a------ C:\WINDOWS\mozver.dat

2008-02-19 18:39 . 2008-02-19 18:39

2008-02-19 18:38 . 2008-02-19 18:38

2008-02-19 18:38 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-02-19 18:30 . 2008-02-19 18:30

2008-02-19 16:42 . 2008-02-19 16:42

2008-02-19 16:28 . 2008-02-19 16:28

2008-02-19 16:21 . 2008-02-19 16:21

2008-02-19 16:12 . 2008-02-19 16:21 316,640 --a------ C:\WINDOWS\WMSysPr9.prx

2008-02-19 16:10 . 2008-02-19 16:10

2008-02-19 16:07 . 2008-02-19 16:07

2008-02-19 16:00 . 2004-08-03 22:43 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-02-19 13:44 . 2004-08-04 00:35 58,624 --a------ C:\WINDOWS\system32\drivers\redbook.sys

2008-02-19 13:44 . 2004-08-03 23:08 10,624 --a------ C:\WINDOWS\system32\drivers\gameenum.sys

2008-02-19 13:44 . 2001-08-17 22:00 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys

2008-02-19 13:43 . 2001-10-26 17:04 117,760 --a------ C:\WINDOWS\system32\drivers\D100IB5.SYS

2008-02-19 13:43 . 2004-08-04 00:44 77,312 --a------ C:\WINDOWS\system32\usbui.dll

2008-02-19 13:43 . 2004-08-03 23:07 41,088 --a------ C:\WINDOWS\system32\drivers\sisagp.sys

2008-02-19 13:41 . 2008-02-21 09:58

2008-02-19 13:41 . 2008-02-19 13:41

2008-02-19 13:41 . 2008-02-19 12:44

2008-02-19 13:41 . 2008-02-19 13:41

2008-02-19 13:41 . 2008-02-19 16:40

2008-02-19 13:41 . 2008-02-19 16:12

2008-02-19 13:41 . 2008-02-19 16:20

2008-02-19 13:41 . 2008-02-19 14:39

2008-02-19 13:40 . 2008-02-19 13:40 13,147 --a------ C:\WINDOWS\system32\ryeug.exe

2008-02-19 13:38 . 2004-08-03 23:15 145,792 --a------ C:\WINDOWS\system32\drivers\portcls.sys

2008-02-19 13:38 . 2004-08-03 23:15 140,928 --a------ C:\WINDOWS\system32\drivers\ks.sys

2008-02-19 13:38 . 2004-08-04 00:44 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax

2008-02-19 13:38 . 2004-08-03 23:08 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys

2008-02-19 13:38 . 2004-08-03 23:08 48,640 --a------ C:\WINDOWS\system32\drivers\stream.sys

2008-02-19 13:38 . 2004-08-04 00:44 23,552 --a------ C:\WINDOWS\system32\wdmaud.drv

2008-02-19 13:38 . 2004-08-04 00:44 4,096 --a------ C:\WINDOWS\system32\ksuser.dll

2008-02-19 13:37 . 2004-08-04 00:44 192,000 --a------ C:\WINDOWS\system32\iuengine.dll

2008-02-19 13:37 . 2008-02-19 13:37 33,952 --a------ C:\WINDOWS\system32\drivers\oreans32.sys

2008-02-19 13:32 . 2008-02-19 13:32

2008-02-19 13:28 . 2008-02-19 13:27 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys

2008-02-19 13:28 . 2008-02-19 13:27 274,432 --a------ C:\WINDOWS\system32\imon.dll

2008-02-19 13:27 . 2008-02-21 14:40

2008-02-19 13:07 . 2004-08-03 23:10 61,056 --a------ C:\WINDOWS\system32\drivers\ohci1394.sys

2008-02-19 13:07 . 2004-08-03 23:10 53,248 --a------ C:\WINDOWS\system32\drivers\1394bus.sys

2008-02-19 13:07 . 2004-08-03 23:08 26,624 --a------ C:\WINDOWS\system32\drivers\usbehci.sys

2008-02-19 13:07 . 2004-08-04 00:44 7,168 --a------ C:\WINDOWS\system32\hccoin.dll

2008-02-19 13:07 . 2001-08-17 21:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys

2008-02-19 13:07 . 2001-08-17 21:46 6,400 --a–c— C:\WINDOWS\system32\dllcache\enum1394.sys

2008-02-19 13:06 . 2004-08-03 23:08 20,480 --a------ C:\WINDOWS\system32\drivers\usbuhci.sys

2008-02-19 13:04 . 2008-02-19 13:04

2008-02-19 13:01 . 2008-02-19 19:02

2008-02-19 13:01 . 2008-02-21 09:59

2008-02-19 13:01 . 2008-02-19 16:21

2008-02-19 13:01 . 2008-02-19 12:44

2008-02-19 13:01 . 2008-02-21 15:42

2008-02-19 13:01 . 2008-02-21 15:41

2008-02-19 13:01 . 2008-02-19 13:41

2008-02-19 13:01 . 2008-02-19 20:07

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-19 13:39 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\nView_Profiles

2008-02-19 13:06 --------- d-----w C:\Documents and Settings\Tomek\Dane aplikacji\Gadu-Gadu

2008-02-19 12:34 32 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg

2008-02-19 11:50 --------- d-----w C:\Program Files\microsoft frontpage

2008-02-19 11:49 558,142 ----a-w C:\WINDOWS\java\Packages\TVVTNZ1R.ZIP

2008-02-19 11:49 155,995 ----a-w C:\WINDOWS\java\Packages\DRXR7PFR.ZIP

2008-02-19 11:47 --------- d-----w C:\Program Files\Usługi online

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44 15360]

“NvMediaCenter”=“C:\WINDOWS\System32\NVMCTRAY.DLL” [2003-10-06 15:16 49152]

“Gadu-Gadu”=“F:\Gadu-Gadu\gg.exe” [2007-07-09 08:39 2119104]

“Odkurzacz-MCD”=“F:\Odkurzacz\odk_mcd.exe” [2008-02-04 18:13 266240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2008-02-19 13:27 921600]

“Cmaudio”=“cmicnfg.cpl” []

“NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2003-10-06 15:16 5058560]

“nwiz”=“nwiz.exe” [2003-10-06 15:16 741376 C:\WINDOWS\system32\nwiz.exe]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 01:11 132496]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2004-08-04 00:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-02-19 13:32:39 1205840]

R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2008-02-19 13:37]

R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINDOWS\system32\DRIVERS\e4usbaw.sys [2007-01-04 13:48]

S2 E4LOADER;General Purpose USB Driver (e4ldr.sys);C:\WINDOWS\system32\Drivers\e4ldr.sys [2007-01-04 13:47]

S3 D100IB;D100IB;C:\WINDOWS\system32\DRIVERS\D100IB5.SYS [2001-10-26 17:04]

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-21 15:43:07

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]

C:\Program Files\Eset\pr_imon.dll

.

Completion time: 2008-02-21 15:43:40

ComboFix-quarantined-files.txt 2008-02-21 14:43:31

Ps nie tylko wczoraj zle zatytulowalem temat i poszedl do kosza wiec balem sie ze dzisiaj bedzie to samo pozdrawiam

jessica · 21 Luty 2008 15:37

@wizoo_ - załóż swój własny temat

====================================

@nowy2 -

Wklej do Notatnika :

File::

C:\adware.exe

C:\WINDOWS\system32\ryeug.exe

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku –>

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C: ** Qoobox**.

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów)

jessi

nowy2 · 21 Luty 2008 16:28

http://wklej.org/id/0f9d34a7cf

jessica · 21 Luty 2008 16:38

Log jest w zasadzie czysty.

Tylko niezbyt mi się podoba to, że ta usługa została zainstalowana …dwa dni temu.

Ten zaznaczony kolorowo plik może być albo “dobry”, albo “zły”.

Może, tak na wszelki wypadek, sprawdź go na >> --> http://virusscan.jotti.org/

albo na http://www.virustotal.com/en/indexf.html.?

jessi

asterisk · 21 Luty 2008 16:50

nowy2

Proszę o dostosowanie się do tematu

Nowe zasady wklejania logów na forum

nowy2 · 21 Luty 2008 18:49

dwa dni temu padl mi komp nawet sie wlaczyc nie chcial i dlatego byla instalowana usluga. nadal trace polaczenie z netem

jessica · 21 Luty 2008 21:24

Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner

Ustaw znaczki na zielono, Netbios może być na żółto.

Po użyciu narzędzia wymagany jest restart.

Jeśli to nie pomoże, to będziesz musiał szukać jakichś przyczyn pozawirusowych.

jessi

nowy2 · 21 Luty 2008 22:03

zrobilem ale Netbios szybko zmienia sie na czerwony i dalej to samo