Wysokie pingi i log do sprawdzenia

Dla specjalistów Bezpieczeństwo
#1

Ostatnio w grach sieciowych mam wysokie pingi. nie wiem czy to wina dostawcy czy wirusów dlatego załączam loga:

Logfile of HijackThis v1.99.1

Scan saved at 22:59:13, on 2007-08-30

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

E:\Programy\TrueImage\TrueImageMonitor.exe

C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\Documents and Settings\Ozzi\Pulpit\etmin.exe

E:\PROGRAMY\MOZILL~1\FIREFOX.EXE

E:\Programy\FREEDO~1\fdm.exe

C:\Documents and Settings\Ozzi\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - E:\Programy\Free Download Manager\iefdm2.dll

O4 - HKLM\..\Run: [TrueImageMonitor.exe] E:\Programy\TrueImage\TrueImageMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Download all with Free Download Manager - file://E:\Programy\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://E:\Programy\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://E:\Programy\Free Download Manager\dllink.htm

O8 - Extra context menu item: Pobierz w Free Download Manager - file://E:\Programy\Free Download Manager\dllink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{DBB25AED-747A-4238-8A61-E58285C4304C}: NameServer = 194.204.159.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{DBB25AED-747A-4238-8A61-E58285C4304C}: NameServer = 194.204.159.1

O17 - HKLM\System\CS2\Services\Tcpip\..\{DBB25AED-747A-4238-8A61-E58285C4304C}: NameServer = 194.204.159.1

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
#2

Sfiksuj ten zbędnik w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz go >> Fix checked.

Log jest czysty.

Możesz dać jeszcze log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi

#3

Dzięki za odpowiedź.

Tutaj link do loga z combofixa: http://wklej.org/id/ea2aada192

#4

Taka bliska data może oznaczać, że plik “tcpip.sys” został zarażony.

Żeby wykluczyć tę ewentualność użyj SDFix.

Uwaga: SDFix działa tylko w Trybie Awaryjnym!

Daj z niego raport,txt znajdujący się w jego folderze.

jessi

#5

Kolejny log

SmitFraudFix v2.218


Scan done at 11:12:12,06, 2007-08-31

Run from C:\Documents and Settings\Ozzi\Pulpit\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode


»»»»»»»»»»»»»»»»»»»»»»»» Process


C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\cmd.exe


»»»»»»»»»»»»»»»»»»»»»»»» hosts



»»»»»»»»»»»»»»»»»»»»»»»» C:\



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32



»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles



»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ozzi



»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Ozzi\Application Data



»»»»»»»»»»»»»»»»»»»»»»»» Start Menu



»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Ozzi\Ulubione



»»»»»»»»»»»»»»»»»»»»»»»» Desktop



»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 



»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys



»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Moja bieľĄca strona g˘wna"



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!Attention, following keys are not inevitably infected!


SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!Attention, following keys are not inevitably infected!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!Attention, following keys are not inevitably infected!


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""



»»»»»»»»»»»»»»»»»»»»»»»» Rustock




»»»»»»»»»»»»»»»»»»»»»»»» DNS


Description: NVIDIA nForce Networking Controller - Sterownik miniport Harmonogramu pakietów

DNS Server Search Order: 194.204.159.1


HKLM\SYSTEM\CCS\Services\Tcpip\..\{DBB25AED-747A-4238-8A61-E58285C4304C}: NameServer=194.204.159.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{DBB25AED-747A-4238-8A61-E58285C4304C}: NameServer=194.204.159.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{DBB25AED-747A-4238-8A61-E58285C4304C}: NameServer=194.204.159.1



»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection



»»»»»»»»»»»»»»»»»»»»»»»» End


[/code]
#6

Miał być raport z SDFix , a nie ze Smitra. :slight_smile:

jessi

#7

Oto chodzi?

SDFix: Version 1.101


Run by Ozzi on 2007-08-31 at 11:24


Microsoft Windows XP [Wersja 5.1.2600]


Running From: C:\SDFix


Safe Mode:

Checking Services: 



Restoring Windows Registry Values

Restoring Windows Default Hosts File


Rebooting...



Normal Mode:

Checking Files: 


No Trojan Files Found





Removing Temp Files...


ADS Check:


C:\WINDOWS

No streams found. 


C:\WINDOWS\system32

No streams found. 


C:\WINDOWS\system32\svchost.exe

No streams found.


C:\WINDOWS\system32\ntoskrnl.exe

No streams found.




                                 Final Check:


Remaining Services:

------------------




Authorized Application Key Export:



[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Remaining Files:

---------------



Files with Hidden Attributes:



                                 Finished
#8

Masz szczęście: ten “tcpip” nie jest zarażony. :slight_smile: :slight_smile:

To wszystko z mojej strony.

jessi

#9

oki dzięki ;]

Czyli już wszystko w porządku?

#10

Nie wiem, czy wszystko w porządku ja w każdym razie nie widzę żadnej infekcji. :slight_smile:

jessi