Angrist
(Aniori)
3 Wrzesień 2006 12:04
#1
aktualnie jestem po 2 formatach i tuz po zainstalowaniu windowsa ciagle mam taki sam problem a mianowicie “cos” zjada mi transfer internetowy, tuz po zainstalowaniu sterownikow neostrady zaczely wyskaiwac dziwne alerty systemowe,
niestety nie moge zrobic loga w hijackthis poiewaz nie chce sie uruchomic, wyskakuje jakis blad lecz znika po ulamku sekundy i nie jestem w stanie go przeczytac
tutaj log z silentrunnera
“Silent Runners.vbs”, revision 47, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “MS Config” = “msdconfig.exe” [null data] “Microsoft Help System” = “C:\WINDOWS\System32\sp.exe” [null data] “MSN8m Startup” = “msn8m.exe” [null data] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “SpeedTouch USB Diagnostics” = ““C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon” [“THOMSON Telecom Belgium”] “ATIPTA” = “C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [“ATI Technologies, Inc.”] “(Default)” = (empty string) “ATICCC” = ““C:\Program Files\ATI Technologies\ATI.ACE\cli.exe” runtime” [null data] “msvcc25” = “svcchost.exe” [null data] “MS Config” = “msdconfig.exe” [null data] “Microsoft Help System” = “C:\WINDOWS\System32\sp.exe” [null data] “MSN8m Startup” = “msn8m.exe” [null data] HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}(Default) = (no title provided) \StubPath = ““C:\WINDOWS\System32\rundll32.exe” “C:\Program Files\Messenger\msgsc.dll”,ShowIconsUser” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” - {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” - {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{5E2121EE-0300-11D4-8D3B-444553540000}” = “Catalyst Context Menu extension” - {HKLM…CLSID} = “SimpleShlExt Class” \InProcServer32(Default) = “C:\Program Files\ATI Technologies\ATI.ACE\atiacmxx.dll” [empty string] HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ INFECTION WARNING! AtiExtEvent\DLLName = “Ati2evxx.dll” [“ATI Technologies Inc.”] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\WINDOWS\web\wallpaper\Idylla.bmp” Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ “SCRNSAVE.EXE” = “C:\WINDOWS\System32\logon.scr” [MS] Startup items in “Lidion” “All Users” startup folders: -------------------------------------------------------- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart “ATI CATALYST System Tray” - shortcut to: “C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe SystemTray” [null data] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, “C:\WINDOWS\System32\Ati2evxx.exe” [“ATI Technologies Inc.”] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer “No” at the first message box. ---------- (total run time: 53 seconds, including 5 seconds for message boxes)
jezeli ktokoliwke wie co z tym zrobic to prosze o pomoc
Bieniol
(Bbieniol)
3 Wrzesień 2006 12:17
#2
Start --> uruchom --> services.msc --> wyłąćż uslugę Posłaniec
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (jeżeli jakieś znaczki są żółte, to niech takie zostaną). Po użyciu tego narzędzia wymagany jest reset sysa.
Otwórz notatnik i wklej w nim to:
Plik --> zapisz jako --> zmień rozszerzenie na wszystkie pliki --> zapisz pod nazwą FIX.REG
Uruchamiasz narzędzie KillBox , zaznaczasz Delete on reboot i All Files , w polu full path of file wklej ścieżkę:
C:\WINDOWS\System32\msn8m.exe
C:\WINDOWS\System32\sp.exe
C:\WINDOWS\System32\msdconfig.exe
C:\WINDOWS\System32\svcchost.exe
Klikasz X i restart kompa (restart po usunięciu ostatniego pliku)
Odpal plik FIX.REG i potwierdź dodanie do rejestru i reset kompa
Po zabiegach nowy log
Zbych1
(Zbych )
3 Wrzesień 2006 12:27
#3
To nie wirus a raczej “niewiedza” przynajmniej z “milion” razy na tym czy innym forum jest pewne zdanie “instalowanie systemu przeprowadzić na odłączonym kablu sieciowym , zainstalować stery, programy antywirusowy i firewall i dopiero wtenczas podłączyć sieć”
vather
(Vather)
3 Wrzesień 2006 12:45
#4
po drugie z tego co ja sie orientuje probojesz zainstalowac WINDOWS XP bez zadnej poprawki np SP2 wiec to tez moze byc spowodowane ze masz orazu po podlaczeniu sie do sieci wiruski na kompie
pozdro
Angrist
(Aniori)
3 Wrzesień 2006 13:14
#5
dziekuje za pomoc Bieniol, zdolalem sobie poradzic dzieki ewido i avast oraz jv16registercleaner w tej chwili log z hjt wyglada nastepujaco:
Logfile of HijackThis v1.99.1 Scan saved at 15:11:48, on 2006-09-03 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programy\Avast4\aswUpdSv.exe C:\Programy\Avast4\ashServ.exe C:\Programy\ewido anti-spyware 4.0\guard.exe C:\WINDOWS\Explorer.EXE C:\Programy\Avast4\ashMaiSv.exe C:\Programy\Avast4\ashWebSv.exe C:\Programy\Avast4\ashDisp.exe C:\Programy\ewido anti-spyware 4.0\ewido.exe C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Programy\WHATPU~1\WHATPU~1.EXE C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\lsvss.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Programy\jv16 PowerTools 2006\jv16pt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Lidion\Pulpit\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM…\Run: [avast!] C:\Programy\Avast4\ashDisp.exe O4 - HKLM…\Run: [!ewido] “C:\Programy\ewido anti-spyware 4.0\ewido.exe” /minimized O4 - HKLM…\Run: [ATICCC] “C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe” O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [WhatPulse] C:\Programy\WHATPU~1\WHATPU~1.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip…{9E37744F-E51E-4D4F-B5CC-9F1185F46109}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programy\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programy\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programy\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programy\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programy\ewido anti-spyware 4.0\guard.exe O23 - Service: Windows Services Configuration - Unknown owner - C:\WINDOWS\system32\lsvss.exe (file missing)
pozostalym 2 kolegom dziekuje za ich konkretna i fachowa pomoc widac znaja sie na rzeczy
Myszak
(Myszonus)
3 Wrzesień 2006 13:28
#6
Start --> uruchom --> services.msc : zatrzymaj i wyłącz : Windows Services Configuration
Kasujesz (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu) :
Plik na czerwono kasuj z dysku.
Nowy log z Hjt. + log z Silenta.