Problem z internetem na xp

[FakeNick]

Witam.

Wczoraj na Windows XP internet odmówił posłuszeństwa ("Ograniczenie lub brak łączności"), na systemie Ubuntu wszystko działa poprawnie. Moim dostawcą internetowym jest INEA (kablówka), modem pochodzi od firmy Motorola. Dzwoniłem do biura obsługi klientów, osoba, która odebrała powiedziała, iż nie został mi odłączony internet. Serwisant doradził także reinstalację sterowników karty sieciowej (VIA Rhine II Fast Ethernet), lecz nie mam pojęcia, jak się to robi.
Włączyłem program WWDC (Windows Worms Door Cleaner) i wyłączyłem NetBIOS, ponieważ zauważyłem przy nim czerowny "X". Zamierzałem wykonać także kilka operacji za pomocą programu LSPFix, lecz nie jest to takie proste, a nie chcę niczego zepsuć. Zamieszczam kilka screen'ów pomocniczych oraz logi z HJ.

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:10:15, on 2009-05-01

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal



Running processes:

C:\OKNA\System32\smss.exe

C:\OKNA\system32\winlogon.exe

C:\OKNA\system32\services.exe

C:\OKNA\system32\lsass.exe

C:\OKNA\system32\svchost.exe

C:\OKNA\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\OKNA\Explorer.EXE

C:\OKNA\system32\RunDll32.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\A4Tech\Mouse\Amoumain.exe

C:\Program Files\VDOTool\TBPanel.exe

C:\OKNA\system32\RUNDLL32.EXE

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\OKNA\system32\ctfmon.exe

D:\Adobe Reader\Reader\reader_sl.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\OKNA\system32\spoolsv.exe

D:\Diskeeper\DkService.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\OKNA\system32\nvsvc32.exe

C:\OKNA\system32\PnkBstrA.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\OKNA\system32\svchost.exe

C:\OKNA\system32\UAService7.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\OKNA\system32\wuauclt.exe

C:\Ustawienia\user\Pulpit\HiJackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.199.220.110:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łšcza

O2 - BHO: (no name) - AutorunsDisabled - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\instalki\FLASHG~1\FlashGet\jccatch.dll

O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\OKNA\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\OKNA\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\OKNA\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\OKNA\system32\ctfmon.exe

O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "D:\Nowe Gadu-Gadu\gg.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\OKNA\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\OKNA\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\OKNA\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\OKNA\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe Reader\Reader\reader_sl.exe

O4 - Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe

O8 - Extra context menu item: &Download with &DAP - D:\DAP PREMIUM\dapextie.htm

O8 - Extra context menu item: &Œcišgnij przy pomocy FlashGet'a - D:\instalki\FLASHG~1\FlashGet\jc_link.htm

O8 - Extra context menu item: &Œcišgnij wszystko przy pomocy FlashGet'a - D:\instalki\FLASHG~1\FlashGet\jc_all.htm

O8 - Extra context menu item: Download &all with DAP - D:\DAP PREMIUM\dapextie2.htm

O9 - Extra button: (no name) - AutorunsDisabled - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Apache2.2 - Apache Software Foundation - D:\xampp\apache\bin\apache.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Diskeeper - Diskeeper Corporation - D:\Diskeeper\DkService.exe

O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\xampp\filezillaftp\filezillaserver.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\OKNA\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\OKNA\system32\PnkBstrA.exe

O23 - Service: SName - Unknown owner - C:\OKNA\system32\borCFileName.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\OKNA\system32\UAService7.exe



--

End of file - 6594 bytes


Screen'y :
http://i41.tinypic.com/15ge421.jpg
http://i44.tinypic.com/nnp6gy.jpg
http://i39.tinypic.com/abtnvn.jpg

[MichuPower]

Dopiero sie ucze w tych sprawach, ale na pewno
Fixujesz to w HJ;a pogrubiony plik recznie do kosza

O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - (no file)
O9 - Extra button: (no name) - AutorunsDisabled - (no file)
O23 - Service: SName - Unknown owner - C:\OKNA\system32\borCFileName.exe

I potrzebny bedzie log z combofixa..

[FakeNick]

Zaraz podam log z ComboFix'a.
Proszę także o wypowiedź osoby bardziej doświadczonej w tych sprawach.

[wojtas]

Wykonaj to co jest podane w tym temacie

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz daj loga z hijacka

[FakeNick]

Nie mogę dać log'a z ComboFix'a, ponieważ nie chcę zepsuć systemu. CF informuje mnie, że nie mam zainstalowanej "Konsoli przywracania systemu Windows", a do jej zainstalowania potrzebny jest internet.

[MichuPower]

Nie mogę dać log'a z ComboFix'a, ponieważ nie chcę zepsuć systemu. CF informuje mnie, że nie mam zainstalowanej "Konsoli przywracania systemu Windows", a do jej zainstalowania potrzebny jest internet.

Nic nie zepsujesz
Po prostu przy pytaniu o zainstalowanie konsoli odzyskiwania kliknij "NIE"
Konsola nie jest potrzebna aby uruchomić ComboFix'a.

[FakeNick]

Proszę bardzo, oto logi z ComboFix'a i SDFix'a.

Podczas działania CF'a i SDF'a wyskoczył jakiś dziwny błąd, tj. były tam same znaki specjalne (do wyboru było tylko OK). Pamiętam też, że był tam jeden adres, całego nie pamiętam, ale zaczynał się na : http://dywt.

CF : http://wklej.org/hash/acc3b31e7e/
SDF : http://wklej.org/hash/968104a27d/

[Okocza]

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{950f9d06-a482-11db-8860-000b6ac0df60}]

wklej w notatnik, zapisz jako fix.reg i odpal dodajac do rejestru.


Sformatuj pendrive i karty pamięci od razu - bo masz wirusa na nich.

potem wykonaj:

1. tym programem przejdź komputer)
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Przeskanuj komputer pod względem Trojanów tym programem
6. Wstaw na forum screen z zakładki uruchamianie (start – uruchom – msconfig – uruchamianie) może uda się cos wyrzucic stamtąd.

[wojtas]

Otworz notatnik i wklej w nim to:

File::
c:\okna\system32\borCFileName.dll
c:\okna\system32\borCFileName.exe

Driver::
SName

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

[FakeNick]

Dobra, idę wykonać to, co napisałeś Wojtas.
Podam log po zakończonej operacji.

Dodano Dzisiaj, 19:56:
Log z CF po zakończonym usuwaniu : http://wklej.org/hash/ee1276e674/

Przy okazji podaję screenshot'a błędu, o którym mówiłem w jednym z poprzednich postów : http://i42.tinypic.com/24kwl6p.png

[wojtas]

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

i tym:

FixIEDef.

[FakeNick]

Internet już działa. Musiałem przestawić DHCP w tryb ręczny,a potem wyłączyć oraz ręcznie wpisać IP, maskę, bramę i DNS. Dziękuję za pomoc wszystkim, którzy się udzielili w tym temacie .