Witam. Wczoraj zainstalowalem netie i troche mi bardziej muli kompa niz poprzednio. W cs’ie mi przez to troche scina bo ciut wiecej procka zzera. Martwia mnie procesy ktorych wczesniej nie bylo, a pojawily sie po instalacji modemu do netii i podlaczenia sie do sieci. Sa to: mssmpp.exe, mravsc32.exe, mscorsvw.exe logonui.exe. Dodam ze co jakis czas wyskakuje mi blad typu “wyslij raport, nie wysylaj” na temat pliku ftp.exe . Bardzo bym prosil o jakas pomoc odnosnie loga i pomoc w dobraniu firewalla. Zainstalowalem Sygate Personal Firewall oraz Kerio Personal Firewall i strasznie ale to starsznie mi mulily kompa. Caly czas praktycznie bylo jakies wysylanie pakietow, natomiast odbieranie praktycznie zerowe. Ponizej umieszczam log. Dziekuje i pozdrawiam ekipe.
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:36:51, on 2008-04-16 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\logonui.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Program Files\Messenger\msmsgs.exe D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe D:\WINDOWS\Microsoft.NET \Framework\v2.0.50727\mscorsvw.exe D:\WINDOWS\system32\dllcache\mravsc32.exe D:\WINDOWS\System32\cmd.exe D:\WINDOWS\system32\cscript.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\RunServices: [Windows has Layer] fixweb.exe O4 - HKLM…\RunServices: [windowsupdate] D:\WINDOWS\System32\windowsupdate.exe O4 - HKLM…\RunServices: [Microsft Security Monitor Process] mssmpp.exe O4 - HKLM…\RunServices: [Microsoft Anivirus Monitor Process] antiv.exe O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘?’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘?’) O4 - HKUS\S-1-5-21-484763869-484061587-839522115-1003…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background (User ‘?’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘?’) O4 - HKUS\S-1-5-18…\RunOnce: [Windows has Layer] fixweb.exe (User ‘?’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - HKUS.DEFAULT…\RunOnce: [Windows has Layer] fixweb.exe (User ‘Default user’) O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip…{5635BF7E-83F7-42D7-9C4F-975CFAD0C891}: NameServer = 83.238.255.76 213.241.79.37 O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe O23 - Service: Distributed Allocated Memory Unit - Unknown owner - D:\WINDOWS\system32\dllcache\mravsc32.exe O23 - Service: Network helper Service (MSDisk) - Unknown owner - D:\WINDOWS\System32\irdvxc.exe (file missing) – End of file - 2889 bytes
jessica
(jessica)
16 Kwiecień 2008 12:13
#2
Zamknij robaczywe porty przy pomocy --> Windows Worms Doors Cleaner
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.
Użyj -->SDFix -na dole strony z linku
Pokaż Report.txt znajdujący się w folderze SDFix. wklej na http://wklej.org/
Daj log z ComboFix
Log wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .
jessi
Gutek
(Gutek)
16 Kwiecień 2008 15:09
#3
Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ
Pozdrawiam Gutek2222
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350
Log SDFix: http://wklej.org/id/efce3a253c
Log Combofix: http://wklej.org/id/44dee7af11
EDIT: przepraszam, zaraz poprawie. Czy po czynnosci z SDfixem, musze ponownie zrobic to samo z COmbofix w trybie awaryjnym?
jessica
(jessica)
16 Kwiecień 2008 16:57
#5
Użyłeś SDFix niezgodnie z opisem - w rezultacie nic nie usuwał!
Powtórz to jeszcze raz, ale zgodnie z opisem, (w Trybie Awaryjnym!).
jessi
Czyli sdfix oraz combfix uzyc w trybie awaryjnym?
jessica
(jessica)
16 Kwiecień 2008 17:26
#7
SDFix - na pewno w Trybie Awaryjnym.
ComboFix - obojętnie.
jessi