proszę o sprawdzenie i rady

[yoprzem]

witam. mam ostatnio trochę problemów z kompem... nawet po formacie wracają do mnie wirusy i co instaluje jakiegoś AV to widzę że one wciąż wracają i nie jestem ich w stanie wyeliminować kompletnie obstawiam że jakimś sposobem "pamiętają drogę" do mnie aczkolwiek moja wiedza nie sięga aż tak głęboko więc proszę o pomoc... z tego co poczytałem to potrzebne do pomocy od was są logi zrobione hijackiem... tak więc nie przedłużając...

Logfile of HijackThis v1.99.1
Scan saved at 23:37:05, on 2007-10-26
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\AutoConnect\AutoConnect.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Documents and Settings\przem\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [OfficeWord Monitor ] C:\WINDOWS\System32\msn32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [OfficeWord Monitor ] C:\WINDOWS\System32\msn32.exe
O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0212C20C-0A0E-484E-9405-9F4DAB6CE6FA}: NameServer = 194.204.159.1 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{0212C20C-0A0E-484E-9405-9F4DAB6CE6FA}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: Mims service (Mimserv) - Unknown owner - C:\WINDOWS\system32\dllcache\services.exe (file missing)
O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe (file missing)
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)

PS. wiem ze tam jest SP1... świeżo sformatowany komp i jeszcze nie zdażyłem ściągnąć SP2.. ale myślę że jutro już będę miał

aha! no i jeśli coś jest zbędne dla prawidłowego działania kompa a tylko niepotrzebnie zmula to również proszę powiedzieć jak się pozbyć

[wojtas]

nawet po formacie wracają do mnie wirusy

a robisz formata z odlaczonym kablem od neta ?

Usuwanie :

Wykonaj to co jest podane w tym temacie

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [OfficeWord Monitor ] C:\WINDOWS\System32\msn32.exe
O4 - HKCU\..\Run: [OfficeWord Monitor ] C:\WINDOWS\System32\msn32.exe
O23 - Service: Mims service (Mimserv) - Unknown owner - C:\WINDOWS\system32\dllcache\services.exe (file missing)
O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe (file missing)
O23 - Service: NOTEPAD - Unknown owner - C:\WINDOWS\system\NOTEPAD.exe (file missing)

Uruchamiasz HijackThis => klikasz Do a system scan only => pokaże się lista wpisów => stawiasz ptaszek przy wpisach, które wymieniłem => klikasz Fix checked i potwierdzasz usunięcie.

potem:

start>uruchom>cmd> wpisz komendy kazda potwierdzasz Enterem;

sc stop Mimserv
sc delete Mimserv
del C:\WINDOWS\system32\dllcache\services.exe
sc stop MSN RAV
sc delete MSN RAV
del C:\WINDOWS\system\msnrav.exe
sc stop NOTEPAD
sc delete NOTEPAD
del C:\WINDOWS\system\NOTEPAD.exe
del C:\WINDOWS\System32\msn32.exe

sciagnij ATF_Cleaner
zaznacz
Windows Temp
Temporary internet files
i wcisnij EMPTY SELECTED

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje


Potem wejdz do folderu SDFix wrzuc zawartość pliku Report.txt , nowy log z hijacka oraz log z combofixa

[yoprzem]

a robisz formata z odlaczonym kablem od neta ?

tak z odłączonym

wykonałem wszystkie polecenia tak jak napisałeś... jeśli chodzi o CMD to przy próbie kasowania niektórych plików wyskakiwał mi komunikat że ich nie może znaleźć.. ale może ma to związek z tym że jeszcze wczoraj przeleciałem kompa Ad-awarem i może części tych plików dzięki niemu już nie miałem..

oto logi:

SDFix:

SDFix: Version 1.112

Run by Administrator on 2007-10-27 at 12:35

Microsoft Windows XP [Wersja 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
kprof
MSN RAV
poof

ImagePath:
\??\C:\WINDOWS\System32\kprof
"C:\WINDOWS\system\msnrav.exe"
\??\C:\WINDOWS\System32\poof

kprof - Deleted
MSN RAV - Deleted
poof - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\4_exception.nls - Deleted
C:\WINDOWS\system32\delFSF.bat - Deleted
C:\WINDOWS\system32\drivers\symavc32.sys - Deleted
C:\WINDOWS\system32\i - Deleted
C:\WINDOWS\system32\o - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

Remaining Files:
---------------
catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-27 12:38:00
Windows 5.1.2600 Dodatek Service Pack. 1 FAT NTAPI

scanning hidden files ...

scan completed successfully
hidden files: 0


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Fri 26 Oct 2007 29,995 A..H. --- "C:\System Volume Information\_restore{08F77FD9-6D8F-42DC-A627-B0F188249B03}\RP4\A0001177.exe"

Finished!

HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 12:40:54, on 2007-10-27
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\WINDOWS\system32\notepad.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\AutoConnect\AutoConnect.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\przem\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0212C20C-0A0E-484E-9405-9F4DAB6CE6FA}: NameServer = 194.204.159.1 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{0212C20C-0A0E-484E-9405-9F4DAB6CE6FA}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

ComboFix:

ComboFix 07-10-26.4 - przem 2007-10-27 12:42:40.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.155 [GMT 2:00]
Running from: C:\Documents and Settings\przem\Pulpit\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\Towy73.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_POOF
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\LEGACY_TOWY73


((((((((((((((((((((((((( Files Created from 2007-09-27 to 2007-10-27 )))))))))))))))))))))))))))))))
.

2007-10-27 12:42 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-27 12:34 <DIR> d-------- C:\WINDOWS\ERUNT
2007-10-27 12:34 <DIR> d--h----- C:\Documents and Settings\Administrator\Ustawienia lokalne
2007-10-27 12:34 <DIR> d-------- C:\Documents and Settings\Administrator\Ulubione
2007-10-27 12:34 <DIR> d--h----- C:\Documents and Settings\Administrator\Szablony
2007-10-27 12:34 <DIR> d-------- C:\Documents and Settings\Administrator\Pulpit
2007-10-27 12:34 <DIR> d-------- C:\Documents and Settings\Administrator\Moje dokumenty
2007-10-27 12:34 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start
2007-10-27 12:34 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dane aplikacji
2007-10-27 12:10 <DIR> d-------- C:\Program Files\Common Files\LightScribe
2007-10-27 11:53 <DIR> d-------- C:\Program Files\Nero
2007-10-27 11:53 <DIR> d-------- C:\Program Files\Common Files\Ahead
2007-10-27 11:53 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Nero
2007-10-26 19:53 <DIR> d-------- C:\WINDOWS\LastGood
2007-10-26 19:43 <DIR> d-------- C:\Program Files\AutoConnect
2007-10-26 18:32 <DIR> d-------- C:\Program Files\Lavasoft
2007-10-26 18:32 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
2007-10-26 18:30 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-10-26 18:26 <DIR> d--hs---- C:\Recycled
2007-10-26 18:08 21,760 --a------ C:\WINDOWS\system32\dllcache\usbstor.sys
2007-10-26 12:59 <DIR> dr-h----- C:\$VAULT$.AVG
2007-10-26 12:57 <DIR> d-------- C:\Documents and Settings\LocalService\Dane aplikacji\AVG7
2007-10-26 12:55 116,344 --a------ C:\WINDOWS\system32\re1.exe
2007-10-26 12:24 <DIR> d-------- C:\Documents and Settings\przem\Dane aplikacji\AVG7
2007-10-26 12:24 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-10-26 12:24 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-10-26 12:24 110,592 --a------ C:\WINDOWS\system32\avgfwafu.dll
2007-10-26 12:23 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Grisoft
2007-10-26 12:23 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\avg7
2007-10-25 12:47 1,156 --a------ C:\WINDOWS\mozver.dat
2007-10-25 12:42 <DIR> d-------- C:\Documents and Settings\przem\Dane aplikacji\Tlen.pl
2007-10-25 12:24 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2007-10-25 12:23 <DIR> d-------- C:\WINDOWS\system32\InsFiles
2007-10-25 12:23 684,265 -ra------ C:\WINDOWS\system32\drivers\torususb.sys
2007-10-25 12:23 425,984 -ra------ C:\WINDOWS\system32\stmcfg32.dll
2007-10-25 12:23 151,552 -ra------ C:\WINDOWS\system32\stmctrl.dll
2007-10-25 12:23 102,400 -ra------ C:\WINDOWS\stmtrace.exe
2007-10-25 12:23 65,536 -ra------ C:\WINDOWS\DSLTest.exe
2007-10-25 12:23 60,255 -ra------ C:\WINDOWS\system32\drivers\stmatm.sys
2007-10-25 12:23 36,864 -ra------ C:\WINDOWS\system32\stmclean.exe
2007-10-25 12:23 32,768 --a------ C:\WINDOWS\system32\WooDial2000.dll
2007-10-25 12:20 <DIR> d-------- C:\Program Files\ZTE ZXDSL 852
2007-10-25 12:19 <DIR> d-------- C:\Program Files\Java
2007-10-25 12:19 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2007-10-25 12:19 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2007-10-25 12:19 94,208 --a------ C:\WINDOWS\system32\W32n50.dll
2007-10-25 12:19 41,068 --------- C:\WINDOWS\system32\ActPanel.dll
2007-10-25 12:19 16,128 --------- C:\WINDOWS\system32\PCANDIS5.SYS
2007-10-25 12:18 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2007-10-25 12:17 <DIR> d-------- C:\Program Files\neostrada tp
2007-10-25 12:14 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-10-25 12:12 <DIR> d-------- C:\Program Files\Tlen.pl
2007-10-25 12:06 0 --a------ C:\WINDOWS\nsreg.dat
2007-10-25 12:04 <DIR> d--hs---- C:\WINDOWS\Installer
2007-10-25 12:04 <DIR> d--h----- C:\Documents and Settings\przem\Ustawienia lokalne
2007-10-25 12:04 <DIR> dr------- C:\Documents and Settings\przem\Ulubione
2007-10-25 12:04 <DIR> d--h----- C:\Documents and Settings\przem\Szablony
2007-10-25 12:04 <DIR> d-------- C:\Documents and Settings\przem\Pulpit
2007-10-25 12:04 <DIR> dr------- C:\Documents and Settings\przem\Moje dokumenty
2007-10-25 12:04 <DIR> dr------- C:\Documents and Settings\przem\Menu Start
2007-10-25 12:04 <DIR> dr-h----- C:\Documents and Settings\przem\Dane aplikacji
2007-10-25 12:00 <DIR> d--h----- C:\Documents and Settings\NetworkService\Ustawienia lokalne
2007-10-25 12:00 <DIR> d-------- C:\Documents and Settings\NetworkService\Dane aplikacji
2007-10-25 12:00 <DIR> d--h----- C:\Documents and Settings\LocalService\Ustawienia lokalne
2007-10-25 12:00 <DIR> d-------- C:\Documents and Settings\LocalService\Dane aplikacji

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-25 09:54 --------- d-----w C:\Program Files\microsoft frontpage
2007-10-25 09:47 --------- d-----w C:\Program Files\Usługi online
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdslTaskBar"="stmctrl.dll" [2006-06-02 13:01 C:\WINDOWS\system32\stmctrl.dll]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-10-27 10:37]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-20 17:05]
"Komunikator"="C:\Program Files\Tlen.pl\tlen.exe" [2007-10-05 15:20]
"AutoConnect"="C:\Program Files\AutoConnect\AutoConnect.exe" [2006-12-03 01:14]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 18:05]

R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-27 12:46:57
Windows 5.1.2600 Dodatek Service Pack. 1 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-10-27 12:47:38 - machine was rebooted
.
--- E O F ---

PS. właśnie mi się ściągnął SP2 więc po jego zainstalowaniu chciałbym wiedzieć czy wszystko jest ok.. wystarczy wrzucić tu któregoś loga czy mam się udać na inny dział?

[wojtas]

sciagnij killbox’a

Odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę

C:\WINDOWS\system32\re1.exe

i nacisnij x
Program będzie pytał o restart (oczywiście zgadzasz się)

i powinno byc ok

[yoprzem]

zrobię to jak tylko SP2 mi sie zainstaluje.. mam nadzieje że tym razem dobrze bo po poprzednim formacie i instalce SP2 komp zaczął wariować... net kompletnie nie działał (wyskakiwało że nie może znaleźć modemu chociaż w oknie neo nawiązane połączenie istniało albo wlączał się na parę minut poprawnie po czym mointor jakby się "odświeżał"-> na chwilę zmieniał widok jak w Win Me po czym net przestawał działać). mogło to być spowodowane zmianami wprowadzonymi przez SP2, błąd neostrady czy wirus?

[wojtas]

raczej wina wirusa miales jakies falszywe uslugi, pliki wirusa lecz zostalo to usuniete. a jak sytuacja z kompem ? jakies problemy ?

[yoprzem]

SP2 zainstalowany a net chodzi więc rzeczywiści musiał to być jakiś wirus... oto mój log po "spotkaniu" z SP2 i wykonaniu wszystkich czynności które zaleciłeś:

HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 13:59:31, on 2007-10-27
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\AutoConnect\AutoConnect.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\przem\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\avgfwafu.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0212C20C-0A0E-484E-9405-9F4DAB6CE6FA}: NameServer = 194.204.159.1 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{0212C20C-0A0E-484E-9405-9F4DAB6CE6FA}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: AVG Firewall (AVGFwSrv) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgfwsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

i tym razem OGROMNY z ComboFixa:

ComboFix 07-10-26.4 - przem 2007-10-27 14:01:36.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.130 [GMT 2:00]
Running from: C:\Documents and Settings\przem\Pulpit\ComboFix.exe
.

((((((((((((((((((((((((( Files Created from 2007-09-27 to 2007-10-27 )))))))))))))))))))))))))))))))
.

2007-10-27 13:53 <DIR> d-------- C:\!KillBox
2007-10-27 13:50 <DIR> d-------- C:\Documents and Settings\LocalService\Menu Start
2007-10-27 13:38 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2007-10-27 13:35 <DIR> d-------- C:\WINDOWS\provisioning
2007-10-27 13:35 <DIR> d-------- C:\WINDOWS\peernet
2007-10-27 13:31 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2007-10-27 13:23 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-27 13:17 <DIR> d-------- C:\WINDOWS\EHome
2007-10-27 12:42 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-27 12:34 <DIR> d-------- C:\WINDOWS\ERUNT
2007-10-27 12:34 <DIR> d--h----- C:\Documents and Settings\Administrator\Ustawienia lokalne
2007-10-27 12:34 <DIR> d-------- C:\Documents and Settings\Administrator\Ulubione
2007-10-27 12:34 <DIR> d--h----- C:\Documents and Settings\Administrator\Szablony
2007-10-27 12:34 <DIR> d-------- C:\Documents and Settings\Administrator\Pulpit
2007-10-27 12:34 <DIR> d-------- C:\Documents and Settings\Administrator\Moje dokumenty
2007-10-27 12:34 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start
2007-10-27 12:34 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dane aplikacji
2007-10-27 12:10 <DIR> d-------- C:\Program Files\Common Files\LightScribe
2007-10-27 11:53 <DIR> d-------- C:\Program Files\Nero
2007-10-27 11:53 <DIR> d-------- C:\Program Files\Common Files\Ahead
2007-10-27 11:53 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Nero
2007-10-26 19:43 <DIR> d-------- C:\Program Files\AutoConnect
2007-10-26 18:32 <DIR> d-------- C:\Program Files\Lavasoft
2007-10-26 18:32 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
2007-10-26 18:30 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2007-10-26 18:26 <DIR> d--hs---- C:\Recycled
2007-10-26 12:59 <DIR> dr-h----- C:\$VAULT$.AVG
2007-10-26 12:57 <DIR> d-------- C:\Documents and Settings\LocalService\Dane aplikacji\AVG7
2007-10-26 12:24 <DIR> d-------- C:\Documents and Settings\przem\Dane aplikacji\AVG7
2007-10-26 12:24 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2007-10-26 12:24 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2007-10-26 12:24 110,592 --a------ C:\WINDOWS\system32\avgfwafu.dll
2007-10-26 12:23 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Grisoft
2007-10-26 12:23 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\avg7
2007-10-25 12:47 1,156 --a------ C:\WINDOWS\mozver.dat
2007-10-25 12:42 <DIR> d-------- C:\Documents and Settings\przem\Dane aplikacji\Tlen.pl
2007-10-25 12:24 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2007-10-25 12:23 <DIR> d-------- C:\WINDOWS\system32\InsFiles
2007-10-25 12:23 684,265 -ra------ C:\WINDOWS\system32\drivers\torususb.sys
2007-10-25 12:23 425,984 -ra------ C:\WINDOWS\system32\stmcfg32.dll
2007-10-25 12:23 151,552 -ra------ C:\WINDOWS\system32\stmctrl.dll
2007-10-25 12:23 102,400 -ra------ C:\WINDOWS\stmtrace.exe
2007-10-25 12:23 65,536 -ra------ C:\WINDOWS\DSLTest.exe
2007-10-25 12:23 60,255 -ra------ C:\WINDOWS\system32\drivers\stmatm.sys
2007-10-25 12:23 36,864 -ra------ C:\WINDOWS\system32\stmclean.exe
2007-10-25 12:23 32,768 --a------ C:\WINDOWS\system32\WooDial2000.dll
2007-10-25 12:20 <DIR> d-------- C:\Program Files\ZTE ZXDSL 852
2007-10-25 12:19 <DIR> d-------- C:\Program Files\Java
2007-10-25 12:19 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2007-10-25 12:19 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2007-10-25 12:19 94,208 --a------ C:\WINDOWS\system32\W32n50.dll
2007-10-25 12:19 41,068 --------- C:\WINDOWS\system32\ActPanel.dll
2007-10-25 12:19 16,128 --------- C:\WINDOWS\system32\PCANDIS5.SYS
2007-10-25 12:17 <DIR> d-------- C:\Program Files\neostrada tp
2007-10-25 12:14 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-10-25 12:12 <DIR> d-------- C:\Program Files\Tlen.pl
2007-10-25 12:06 0 --a------ C:\WINDOWS\nsreg.dat
2007-10-25 12:04 <DIR> d--hs---- C:\WINDOWS\Installer
2007-10-25 12:04 <DIR> d--h----- C:\Documents and Settings\przem\Ustawienia lokalne
2007-10-25 12:04 <DIR> dr------- C:\Documents and Settings\przem\Ulubione
2007-10-25 12:04 <DIR> d--h----- C:\Documents and Settings\przem\Szablony
2007-10-25 12:04 <DIR> d-------- C:\Documents and Settings\przem\Pulpit
2007-10-25 12:04 <DIR> dr------- C:\Documents and Settings\przem\Moje dokumenty
2007-10-25 12:04 <DIR> dr------- C:\Documents and Settings\przem\Menu Start
2007-10-25 12:04 <DIR> dr-h----- C:\Documents and Settings\przem\Dane aplikacji
2007-10-25 12:00 <DIR> d--h----- C:\Documents and Settings\NetworkService\Ustawienia lokalne
2007-10-25 12:00 <DIR> d-------- C:\Documents and Settings\NetworkService\Dane aplikacji
2007-10-25 12:00 <DIR> d--h----- C:\Documents and Settings\LocalService\Ustawienia lokalne
2007-10-25 12:00 <DIR> d-------- C:\Documents and Settings\LocalService\Dane aplikacji

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-25 09:54 --------- d-----w C:\Program Files\microsoft frontpage
2007-10-25 09:47 --------- d-----w C:\Program Files\Usługi online
.

((((((((((((((((((((((((((((( snapshot@2007-10-27_12.47.13.74 )))))))))))))))))))))))))))))))))))))))))
.
- 2002-09-20 15:03:34 1,820,672 ----a-w C:\WINDOWS\AppPatch\AcGenral.dll

[wojtas]

jest czysto

[yoprzem]

i jeszcze jedno pytanie. czy robić od czasu do czasu profilaktycznie sprawdzanie systemu tymi programami i patrzeć czy coś jest nie tak?

oraz... mam drukarkę HP która uruchamia strasznie dużo procesów wraz ze startem systemu (w tych logach jej nie widać bo jeszcze jej nie instalowałem). jak się ich pozbyć (tudzież... czy wkleić logi po zainstalowaniu urzadzenia?)

[wojtas]

sprawdzanie systemu tymi programami i patrzeć czy coś jest nie tak?

skan antywirusem oraz np tym

mam drukarkę HP która uruchamia strasznie dużo procesów wraz ze startem systemu

start>uruchom>msconfig>zakladka uruchamianie> tam odznaczasz od HP i po resecie nie beda sie uruchamialy

[yoprzem]

oto log ze spybota

Microsoft.WindowsSecurityCenter.AntiVirusDisableNotify: [SBI $5509538C] Ustawienia (Zmiany w rejestrze, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify

Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Ustawienia (Zmiany w rejestrze, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Ustawienia (Zmiany w rejestrze, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Microsoft.WindowsSecurityCenter.UpdateDisableNotify: [SBI $2FAA945D] Ustawienia (Zmiany w rejestrze, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify

Tradedoubler: [SBI $4CDCC3D5] Cookie wyszukujące (Internet Explorer: przem) (Cookie, nothing done)


Tradedoubler: [SBI $4CDCC3D5] Cookie wyszukujące (Firefox: default) (Cookie, nothing done)


Tradedoubler: [SBI $4CDCC3D5] Cookie wyszukujące (Firefox: default) (Cookie, nothing done)



--- Spybot - Search & Destroy version: 1.5 (build: 20071005) ---

2007-10-27 unins000.exe (51.48.0.0)
2007-10-07 blindman.exe (1.0.0.6)
2007-10-07 SDMain.exe (1.0.0.4)
2007-10-07 SDUpdate.exe (1.0.7.4)
2007-10-07 SDWinSec.exe (1.0.0.10)
2007-10-07 SDShred.exe (1.0.1.2)
2007-09-24 SDDelFile.exe (1.0.0.1)
2007-10-07 SpybotSD.exe (1.5.1.17)
2007-10-07 TeaTimer.exe (1.5.0.11)
2007-10-07 Update.exe (1.4.0.5)
2007-10-07 advcheck.dll (1.5.4.2)
2007-04-02 aports.dll (2.1.0.0)
2007-04-02 DelZip179.dll (1.79.5.3)
2007-10-07 SDHelper.dll (1.5.0.10)
2007-10-07 Tools.dll (2.1.3.2)
2007-10-24 Includes\Revision.sbi (*)
2007-10-24 Includes\Cookies.sbi (*)
2007-07-25 Includes\Dialer.sbi (*)
2007-08-29 Includes\Hijackers.sbi (*)
2007-10-04 Includes\Keyloggers.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2007-10-24 Includes\Malware.sbi (*)
2007-10-24 Includes\PUPS.sbi (*)
2007-05-30 Includes\Security.sbi (*)
2007-10-24 Includes\Spybots.sbi (*)
2007-08-21 Includes\Tracks.uti
2007-10-24 Includes\Trojans.sbi (*)
2007-10-24 Includes\DialerC.sbi (*)
2007-10-24 Includes\HijackersC.sbi (*)
2007-10-24 Includes\KeyloggersC.sbi (*)
2007-10-24 Includes\MalwareC.sbi (*)
2007-10-24 Includes\PUPSC.sbi (*)
2007-10-24 Includes\SecurityC.sbi (*)
2007-10-24 Includes\SpybotsC.sbi (*)
2007-10-24 Includes\TrojansC.sbi (*)
2008-12-24 Plugins\TCPIPAddress.dll

pokazalo na czerwono ale nie wiem czy usuwac czy nie? opinia eksperta?

[Dzi@dek]

Usuwać wszystko co znajdzie Spybot.

[yoprzem]

dzieki bardzo jak cos to sie bede zglaszal jeszcze... na chwile obecna nie mam zastrzezen co do dzialania kompa... ale moze jeszcze pytanie... jak rozpoznawac ze cos jest nie tak? istnieja jakies sposoby zeby zobaczyc czy komp jest bardziej atakowany niz zwykle czy cos? (oczywiscie poza sprawdzaniem spybootem czy AV)

[wojtas]

(oczywiscie poza sprawdzaniem spybootem czy AV)

to najwazniejsze jak bedzie Ci komp mulil jakies reklamy to mozesz podejrzewac ze masz wirusa pozdro