Ciagle pobieranie wsysanie transferu

**Posty:** 107 · przez **aversion** 28 Lis 2012, 23:28

A wiec witam mam taki problem ze po polaczeniu sie z play onine przy wylaczonychy maksymalnie wszystkich programach ciagle cos pobiera calym łączem, skonczyło sie na tym że przyszedłem z pracy właczylem komputer zostawiłem właczony internet i zgineło mi 2giga transferu. doładowałem konto i znowu to samo ściąga ile wlezie ;/. w cmd po restarcie ciagle jest polaczenie z jednym adresem ip bedzie niżej narazie dam to co moge czyli loga z hj i screeny z cmd. dodam ze po podlaczeniu modemu pod laptopa jest ok i nie zjada transferu. prosze o wyrozumialosc i jezeli jest potrzebne cos jeszcze to postaram sie w miare możliwości dodac dzieki z góry

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 213715, on 2012-11-28 Platform Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE Internet Explorer v8.00 (8.00.6001.18702) Boot mode Normal Running processes CWINDOWSSystem32smss.exe CWINDOWSsystem32winlogon.exe CWINDOWSsystem32services.exe CWINDOWSsystem32lsass.exe CWINDOWSsystem32nvsvc32.exe CWINDOWSsystem32svchost.exe CWINDOWSSystem32svchost.exe CWINDOWSsystem32spoolsv.exe CWINDOWSExplorer.EXE CDocuments and SettingsAll UsersDane aplikacjiDatacardServiceHWDeviceService.exe CProgram FilesJavajre6binjqs.exe CWINDOWSRTHDCPL.EXE CWINDOWSsystem32RUNDLL32.EXE CProgram FilesGadu-Gadugg.exe CProgram FilesPLAY ONLINEPLAY ONLINE.exe CWINDOWSSystem32svchost.exe CWINDOWSsystem32wbemwmiapsrv.exe CWINDOWSsystem32cmd.exe CProgram FilesKaspersky LabKaspersky Internet Security 2013avp.exe CProgram FilesKaspersky LabKaspersky Internet Security 2013avp.exe CWINDOWSsystem32rundll32.exe CWINDOWSsystem32svchost.exe CWINDOWSsystem32mspaint.exe DprogramyHiJackThis.exe R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = httpgo.microsoft.comfwlinkLinkId=54896 R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = aboutblank R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = httpgo.microsoft.comfwlinkLinkId=69157 R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = httpgo.microsoft.comfwlinkLinkId=54896 R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = httpgo.microsoft.comfwlinkLinkId=54896 R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = aboutblank R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,SearchAssistant = R0 - HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch = R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza O2 - BHO ContentBlockerBrowserHelperObject - {5564CC73-EFA7-4CBF-918A-5CF7FBBFFF4F} - CProgram FilesKaspersky LabKaspersky Internet Security 2013IEExtContentBlockerie_content_blocker_plugin.dll O2 - BHO VirtualKeyboardBrowserHelperObject - {73455575-E40C-433C-9784-C78DC7761455} - CProgram FilesKaspersky LabKaspersky Internet Security 2013IEExtVirtualKeyboardie_virtual_keyboard_plugin.dll O2 - BHO Safe Money Plugin - {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} - CProgram FilesKaspersky LabKaspersky Internet Security 2013IEExtOnlineBankingonline_banking_bho.dll O4 - HKLM..Run [RTHDCPL] RTHDCPL.EXE O4 - HKLM..Run [Alcmtr] ALCMTR.EXE O4 - HKLM..Run [NvMediaCenter] RUNDLL32.EXE CWINDOWSsystem32NvMcTray.dll,NvTaskbarInit O4 - HKLM..Run [NvCplDaemon] RUNDLL32.EXE CWINDOWSsystem32NvCpl.dll,NvStartup O4 - HKLM..Run [TrojanScanner] CProgram FilesTrojan RemoverTrjscan.exe boot O4 - HKLM..Run [AVP] CProgram FilesKaspersky LabKaspersky Internet Security 2013avp.exe O4 - HKCU..Run [Gadu-Gadu] CProgram FilesGadu-Gadugg.exe tray O4 - HKUSS-1-5-19..Run [CTFMON.EXE] CWINDOWSsystem32CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUSS-1-5-19..RunOnce [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA') O4 - HKUSS-1-5-20..Run [CTFMON.EXE] CWINDOWSsystem32CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUSS-1-5-20..RunOnce [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA SIECIOWA') O4 - HKUSS-1-5-18..Run [CTFMON.EXE] CWINDOWSsystem32CTFMON.EXE (User 'SYSTEM') O4 - HKUSS-1-5-18..RunOnce [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM') O4 - HKUS.DEFAULT..Run [CTFMON.EXE] CWINDOWSsystem32CTFMON.EXE (User 'Default user') O4 - HKUS.DEFAULT..RunOnce [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user') O8 - Extra context menu item Dodaj do listy blokowanych banerów - CProgram FilesKaspersky LabKaspersky Internet Security 2013ie_banner_deny.htm O9 - Extra button &Klawiatura wirtualna - {0C4CC089-D306-440D-9772-464E226F6539} - CProgram FilesKaspersky LabKaspersky Internet Security 2013IEExtVirtualKeyboardie_virtual_keyboard_plugin.dll O9 - Extra button &Sprawdzanie adresów internetowych - {CCF151D8-D089-449F-A5A4-D9909053F20F} - CProgram FilesKaspersky LabKaspersky Internet Security 2013IEExtUrlAdvisorklwtbbho.dll O17 - HKLMSystemCCSServicesTcpip..{D0A4C3AC-B9B4-41B9-AA7A-57E8F6A92790} NameServer = 194.204.152.34,194.204.159.1 O17 - HKLMSystemCS2ServicesTcpip..{40753239-E783-4953-90AB-290105323F93} NameServer = 194.204.152.34 194.204.159.1 O23 - Service Usługa Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - CProgram FilesKaspersky LabKaspersky Internet Security 2013avp.exe O23 - Service Usługa Google Update (gupdate) (gupdate) - Google Inc. - CProgram FilesGoogleUpdateGoogleUpdate.exe O23 - Service Usługa Google Update (gupdatem) (gupdatem) - Google Inc. - CProgram FilesGoogleUpdateGoogleUpdate.exe O23 - Service HWDeviceService.exe - Unknown owner - CDocuments and SettingsAll UsersDane aplikacjiDatacardServiceHWDeviceService.exe O23 - Service Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - CProgram FilesJavajre6binjqs.exe O23 - Service Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - CProgram FilesMozilla Maintenance Servicemaintenanceservice.exe O23 - Service NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - CWINDOWSsystem32nvsvc32.exe O23 - Service PLAY ONLINE. OUC (PLAY ONLINE. RunOuc) - Unknown owner - CProgram FilesPLAY ONLINEUpdateDogouc.exe -- End of file - 5832 bytes

**Posty:** 18165 · przez **wojtas** 29 Lis 2012, 18:17

Proszę zastosować się do obowiązkowych zasad w dziale bezpieczeństwo
- wstaw wymagane logi zgodnie ze swoim systemem
- wrzuć logi na forum w formie załącznika,

**Posty:** 107 · przez **aversion** 29 Lis 2012, 23:08

ComboFix.txt: (15.83 KiB) Ściągnięto 112 razy

gmr.txt: (35.63 KiB) Ściągnięto 98 razy

Extras.Txt: (41.05 KiB) Ściągnięto 101 razy

OTL.Txt: (110.88 KiB) Ściągnięto 102 razy

Potrzebne Logi

i jeszcze zrobilem combofixa

**Posty:** 18165 · przez **wojtas** 01 Gru 2012, 16:54

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\aversion\USTAWI~1\Temp\kwdiqfoc.sys -- (kwdiqfoc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbfake.sys -- (hwusbfake)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
IE - HKU\S-1-5-21-1935655697-1214440339-1801674531-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=113480&tt=010812_ctrl_3112_5&babsrc=SP_ss&mntrId=acdb69ae000000000000001fe261ac73
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
[2011-04-09 00:15:18 | 000,002,567 | ---- | M] () -- C:\Documents and Settings\aversion\Dane aplikacji\Mozilla\Firefox\Profiles\g32pxubc.default\searchplugins\askcom.xml
[2012-08-05 00:03:35 | 000,002,361 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O3 - HKU\S-1-5-21-1935655697-1214440339-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1935655697-1214440339-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
@Alternate Data Stream - 140 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:CB0AACC9
@Alternate Data Stream - 108 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:CE2C623F

:Commands
[emptytemp]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator)
Pokaż raport z niego

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzyła się po restarcie).