Być może internet chodzi wolniej z powodu Netii ale wolę się upewnić i proszę Was o sprawdzenie loga.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:08:27, on 2007-08-05

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\Programs\avast!\aswUpdSv.exe

D:\Programs\avast!\ashServ.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ATKKBService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\vsnpstd3.exe

D:\Programs\avast!\ashDisp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\services.exe

D:\Programs\Speed-X\SpeedX.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

D:\Programs\avast!\ashMaiSv.exe

D:\Programs\avast!\ashWebSv.exe

D:\Programs\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programs\Adobe Reader 7\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NETIANET] C:\Program Files\Netia\Net\netianet.exe -auto

O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe

O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

O4 - HKLM\..\Run: [avast!] D:\Programs\avast!\ashDisp.exe

O4 - HKLM\..\Run: [Windows] C:\WINDOWS\services.exe

O4 - HKCU\..\Run: [SpeedX] D:\Programs\Speed-X\SpeedX.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "D:\Programs\Alcohol 120\axcmd.exe" /automount

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://D:\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab

O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - http://www.acclaim.com/cabs/acclaim_v4.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A4B8FDED-81AC-4D18-A5DE-5BB4679E95B8}: NameServer = 194.204.159.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{A5234AC0-27BB-4CC0-AC57-0A8B7648637A}: NameServer = 83.238.255.76 213.241.79.37

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Skype\toolbars\Shared\Skype4ComAPI.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programs\avast!\aswUpdSv.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Programs\avast!\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programs\avast!\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programs\avast!\ashWebSv.exe

O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: MySql - Unknown owner - D:\Krasnal\usr/MYSQL/bin/mysqld.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Prime95 Service - Unknown owner - D:\Programs\Prime95\prime95.exe (file missing)


--

End of file - 5769 bytes

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Plik zaznaczony na czerwono usuń ręcznie z dysku w trybie awaryjnym natomiast wpisy HijackThis.

Po wykonaniu wklej log z ComboFix.

Windows Worms Doors Cleanera już użyty i został jeden żółty przycisk.

Usunąć plik services.exe w trybie awaryjnym ale o co chodzi z tymi wpisami HijackThis?

W celu usunięcia wpisów poprzez HijackThis należy go uruchomić -> wybrać opcję Do a system scan only -> pokaże się lista wpisów -> postawić ptaszek przy wpisach, które chce się usunąć -> kliknąć Fix checked i potwierdzić ich usunięcie.

Oto log z ComboFixa

ComboFix 07-08-04.3 - "Waciciel" 2007-08-05 21:51:48.1 [GMT 2:00] - NTFS

Nazwy plików sugerują, że są one związane ze sterownikami do modemu lub czegoś związanego z internetem, jednak podejrzewam że są one szkodliwe. Przeskanuj więc te pliki na stronie http://virusscan.jotti.org/ bądź http://www.virustotal.com/pl/, a te które okażą się szkodliwe - usuń ręcznie w trybie awaryjnym.

Natomiast ten plik:

również przeskanuj na którejś z podanych wcześniej stron i wyniki skanowania wklej tu, jednak nawet w przypadku gdy plik okaże się szkodliwy - nie próbuj go ręcznie usuwać.

Po wykonaniu zdaj relacje i wklej nowy log z ComboFix.

2007-07-09 17:39 316,416 ---h----- C:\WINDOWS\system32\smsshock.exe

2007-07-09 17:39 316,416 ---h----- C:\WINDOWS\system32\adslconnect.exe

2007-07-09 17:00 316,416 ---h----- C:\WINDOWS\system32\systemxp.exe

2007-07-09 17:00 316,416 ---h----- C:\WINDOWS\system32\recykler.exe

2007-07-09 14:48 316,416 ---h----- C:\WINDOWS\system32\ipchock.exe

2007-07-09 14:46 316,416 ---h----- C:\WINDOWS\system32\justcheds.exe

W tych plikack znaleziono wirusy typu Heuristic.Malware, Backdoor.Win32.Delf.AFL, SHeur.BGN, HEUR/Malware, suspicious Trojan/Worm. Pliki usunąłem w trybie awaryjnym.

C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\bfastfao.sys

Tego pliku już nie ma. Sam go nie usuwałem.

Oto log z ComboFixa.

ComboFix 07-08-04.3 - "Waciciel" 2007-08-06 8:55:08.2 [GMT 2:00] - NTFS

Jak widać, “bfastfao” jest i ma się dobrze. Może jest niewidoczny, ale jest.

Zrób na wszelki wypadek tak:

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować te komendy (po każdej wciśnij “ENTER”):

Pewnie to nic nie da, ale spróbować trzeba.

Sprawdź, czy w folderze “system32” jest, oprócz powyższego, także folder “drivers” - jeśli jest, to usuń fałszywkę " w drivers".

Sprawdź, czy na C:\ masz jeden folder “WINDOWS”, czy dwa?

Jeśli masz dwa, to usuń ten fałszywy “C:\WINDOWS\ ;”

To możesz usunąć - to są dane, które wysyłał Keylogger (do kogoś nieznanego), którego właśnie ostatnio usunąłeś.

Potem daj log z ComboFixa lub napisz o wynikach sprawdzania i ewentualnego usuwania.

.

Log z ComboFixa.

ComboFix 07-08-04.3 - "Waciciel" 2007-08-06 10:17:45.3 [GMT 2:00] - NTFS

Widzę, że tego nie usuwałeś, ale to Twoja sprawa, a nie moja.

Udało się natomiast usunąć tego “bfastfao”.

Zobacz, co jest w tym fałszywym folderze C:"WINDOWS\ ; - wg mnie ten folder jest mocno podejrzany, bo powstał 15 minut przed infekcją.

.

.

iphist.dat już usunąłem, a w folderze ; jest plik o nazwie winl0gon.exe

Wydaje mi się że to śmieć.

Jeśli nazwa wygląda dokładnie tak, jak napisałeś, to jest to na pewno śmieć . Widać różnicę w literkach między prawidłowym plikiem a tym śmieciem.

Prawidłowy plik winlogon.exe znajduje się w folderze “system32” i po najechaniu myszką na jego ikonkę widać napis: “Firma Microsoft Corporation”.

.

usunąłem i widocznie troszeczkę poprawy w działaniu internetu