Problem

IP: *.inter1.pl / 217.98.235.* 08.10.05, 19:39
Mialem jakiegos trojana co ladowal inne. Uzylem avasta i troche recznie za
pomoca regedit usunalem. Teraz w zasadzie od dwoch dni spokoj , ale np nie
moge zmienic tapety na pulpicie. Bylo cos "system infected", jakos udalo mi
sie recznie usuunac.
Mam jeszcze delikatny problem , bo zawiesza mi sie IE, czasami.
Jakis pomysl?
    • Gość: iko Re: Problem IP: *.inter1.pl / 217.98.235.* 08.10.05, 19:45
      Oczywiscie podam loga:

      Logfile of HijackThis v1.99.1
      Scan saved at 19:43:03, on 2005-10-08
      Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\System32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\explorer.exe
      C:\WINDOWS\SOUNDMAN.EXE
      C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      C:\Program Files\Java\j2re1.4.2_09\bin\jusched.exe
      C:\WINDOWS\System32\ctfmon.exe
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      C:\Program Files\Alwil Software\Avast4\ashServ.exe
      D:\Skype\Phone\Skype.exe
      C:\Program Files\Messenger\msmsgs.exe
      C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Program Files\Internet Explorer\IEXPLORE.EXE
      C:\Documents and Settings\Vobis\Pulpit\hijack\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
      poczta.wp.pl/
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      F2 - REG:system.ini:
      Shell=explorer.exe
      "C:\Program Files\Common Files\Microsoft
      Shared\Web Folders\ibm00001.exe"
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
      C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
      O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
      C:\WINDOWS\System32\msdxm.ocx
      O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_09
      \bin\jusched.exe
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
      O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
      O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
      O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
      Folders\ibm00001.exe"
      O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
      O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
      Office\Office\OSA9.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
      C:\WINDOWS\System32\msjava.dll
      O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
      00401C608501} - C:\WINDOWS\System32\msjava.dll
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
      00aa003c157a} - C:\WINDOWS\web\related.htm
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
      update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128753159515
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
      update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128753140781
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
      C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32
      \Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashMaiSv.exe" /service (file missing)
      O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
      Software\Avast4\ashWebSv.exe" /service (file missing)
      • Gość: Kolobos Re: Problem IP: *.warszawa.sdi.tpnet.pl 08.10.05, 19:58
        Usun:

        F2 - REG:system.ini:
        Shell=explorer.exe
        "C:\Program Files\Common Files\Microsoft
        Shared\Web Folders\ibm00001.exe"
        O4 - HKCU\..\Run: [Shell] "C:\Program Files\Common Files\Microsoft Shared\Web
        Folders\ibm00001.exe" <- usun plik, sciagnij i uruchom to:
        www.kellys-korner-xp.com/regs_edits/exefix.reg
        O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
        O4 - HKCU\..\Run: [SNInstall] C:\winstall.exe <- usun plik

        I jak zwykle skan:
        download.microsoft.com/download/8/1/5/815d2d60-49b5-44dc-ae35-fca2f2c6f0cc/MicrosoftAntiSpywareInstall.exe
        download.ewido.net/ewido-setup.exe <- zrob update przed skanowaniem, po
        przeskanowaniu odinstaluj.
        Zamknij porty tym:
        www.firewallleaktester.com/tools/wwdc.exe

        Tapeta:
        www.searchengines.pl/phpbb203/index.php?showtopic=31936
        sprawdz czy wszystko zostalo skasowane.


        • Gość: iko Re: Problem IP: *.inter1.pl / 217.98.235.* 08.10.05, 20:12
          Wielkie dzieki.
          Widze, ze musze sporo doczytac.Nie wszystko rozumiem. Chyba dzis juz nie mam
          sily, nie wiedzialem , ze tyle tego. Mam nadzieje, ze do jutra mnie nie zje.

          Jeszcze raz dzieki. Jutro zabiore sie za te syfy.

          Pozdrawiam i podziwiam
        • Gość: iko Re: Problem IP: *.inter1.pl / 217.98.235.* 09.10.05, 15:36
          Zrobilem to tak jak radziles. Ominalem tylko skan za pomoca
          MicrosoftAntiSpyware. Usunalem juz ten skaner ewido.net. Nie zainstalowalem
          jeszcze tego firewalla.

          Aktualny log:
          Logfile of HijackThis v1.99.1
          Scan saved at 15:25:16, on 2005-10-09
          Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\System32\Ati2evxx.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\system32\Ati2evxx.exe
          C:\WINDOWS\system32\userinit.exe
          C:\WINDOWS\Explorer.EXE
          C:\WINDOWS\system32\spoolsv.exe
          C:\WINDOWS\SOUNDMAN.EXE
          C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
          C:\Program Files\Java\j2re1.4.2_09\bin\jusched.exe
          C:\WINDOWS\System32\ctfmon.exe
          C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
          C:\Program Files\Alwil Software\Avast4\ashServ.exe
          D:\Skype\Phone\Skype.exe
          C:\Program Files\Messenger\msmsgs.exe
          C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
          C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
          C:\Documents and Settings\Vobis\Pulpit\hijack\HijackThis.exe

          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
          poczta.wp.pl/
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
          O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
          C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
          C:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
          O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
          O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_09
          \bin\jusched.exe
          O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
          O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
          O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
          O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
          Office\Office\OSA9.EXE
          O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
          C:\WINDOWS\System32\msjava.dll
          O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
          00401C608501} - C:\WINDOWS\System32\msjava.dll
          O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
          update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128753159515
          O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
          update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128753140781
          O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
          C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
          O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32
          \Ati2evxx.exe
          O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
          O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
          Software\Avast4\ashServ.exe
          O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
          Software\Avast4\ashMaiSv.exe" /service (file missing)
          O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
          Software\Avast4\ashWebSv.exe" /service (file missing)

          Czy to jest juz dobrze? Czy powinien zainstalowac SP2?
          Jezeli tak , to jak to zrobic?
          Najpierw SP2 a potem ten firewall?

          Jeszcze raz wielkie dzieki i prosze o wskazowki
          Pozdrawiam
          Leszcz
          • Gość: Kolobos Re: Problem IP: *.warszawa.sdi.tpnet.pl 09.10.05, 15:56
            Czemu nie uzyles MS Antispyware?
            Sp2 nie musisz instalowac, a log wyglada ok.
            • Gość: iko Re: Problem IP: *.inter1.pl / 217.98.235.* 11.10.05, 19:11
              Wszystko w zasadzie jest ok, ale nadal zawiesza mi sie komputer. Po nacisniecie
              ikonki IE, okno sie nie otwiera. Potem nie moge zakonczyc pracy programu.
              Ctrl+Alt+Del nie wysweitla procesow, mysz dziala, rozwijaja sie menu ale nic
              nie dziala.

              Po zabiegach dodadtkowo pojawia sie czasami okienko "ze system zostanie
              zamkniety w ciagu 60s." i odlicza. Z powodu: "C:\Windows\system32\lsass.exe
              nieoczkiwanie zablokowany z kodem 128".

              Co to moze oznaczac? Jak poprawic, naprawic?

              Pozdrawiam

              ps. cytaty z glowy. Zawiasy wystepuja 5 razy dziennie, okienko z lsass'em raz
              dziennie. Na oko ;-)
              • neder Re: Problem 11.10.05, 19:30
                error.xp.pl/
                • Gość: iko Re: Problem IP: *.inter1.pl / 217.98.235.* 11.10.05, 20:10
                  Niestety nic nie dziala. Nie mam takich procesow ani plikow jak na tej stronie
                  co podales. Zainstalowalem dodatkowo mksclean i nic.
                  Co dalej?
            • Gość: iko Re: Problem IP: *.inter1.pl / 217.98.235.* 11.10.05, 19:11
              Zapomnialem o aktulnym logu:

              Logfile of HijackThis v1.99.1
              Scan saved at 18:56:41, on 2005-10-11
              Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
              MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

              Running processes:
              C:\WINDOWS\System32\smss.exe
              C:\WINDOWS\system32\winlogon.exe
              C:\WINDOWS\system32\services.exe
              C:\WINDOWS\system32\lsass.exe
              C:\WINDOWS\System32\Ati2evxx.exe
              C:\WINDOWS\system32\svchost.exe
              C:\WINDOWS\System32\svchost.exe
              C:\WINDOWS\system32\spoolsv.exe
              C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
              C:\Program Files\Alwil Software\Avast4\ashServ.exe
              C:\WINDOWS\system32\Ati2evxx.exe
              C:\WINDOWS\system32\userinit.exe
              C:\WINDOWS\Explorer.EXE
              C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
              C:\WINDOWS\SOUNDMAN.EXE
              C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
              C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
              C:\Program Files\Java\j2re1.4.2_09\bin\jusched.exe
              C:\WINDOWS\System32\ctfmon.exe
              D:\Skype\Phone\Skype.exe
              C:\Program Files\Messenger\msmsgs.exe
              C:\Documents and Settings\Vobis\Pulpit\hijack\HijackThis.exe

              R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
              poczta.wp.pl/
              R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
              O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
              C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
              O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
              C:\WINDOWS\System32\msdxm.ocx
              O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
              O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
              O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_09
              \bin\jusched.exe
              O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
              O4 - HKCU\..\Run: [Skype] "D:\Skype\Phone\Skype.exe" /nosplash /minimized
              O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
              O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
              Office\Office\OSA9.EXE
              O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
              C:\WINDOWS\System32\msjava.dll
              O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
              00401C608501} - C:\WINDOWS\System32\msjava.dll
              O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
              update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128753159515
              O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
              update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1128753140781
              O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
              C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
              O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32
              \Ati2evxx.exe
              O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
              O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
              Software\Avast4\ashServ.exe
              O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
              Software\Avast4\ashMaiSv.exe" /service (file missing)
              O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
              Software\Avast4\ashWebSv.exe" /service (file missing)
              • Gość: iko Re: Problem IP: *.inter1.pl / 217.98.235.* 12.10.05, 23:32
                Szanowni Panowie,
                wiem ,ze potraficie zalatwic moj przypadek. Dajcie jakis znak.
                Pozdrawiam
                • neder Re: Problem 12.10.05, 23:36
                  Panowie i Panie ;)
                  skoro nie tamto to poczytaj to:
                  forum.infojama.pl/viewtopic.php?t=32006
                  choć dziwne że w logu nic nie ma ;/
                  tyle z mojej strony, więcej na ten temat nic nie wiem ;)
                • Gość: Kolobos Re: Problem IP: *.warszawa.sdi.tpnet.pl 13.10.05, 06:20
                  > Wszystko w zasadzie jest ok, ale nadal zawiesza mi sie komputer.

                  Sprawdz ram -> www.memtest.org (sciagnij obraz dyskietki)
                  Zobacz czy procesor sie nie przegrzewa, sprawdz czy kondensatory na plycie
                  glownej nie sa spuchniete, jak masz mozliwosc to podmien zasilacz na inny w
                  celu sprawdzenia.
                  Zobacz czy w dzienniku zdarzen systemowych jest jakas wzmianka o bledzie.


                  > Po nacisniecie ikonki IE, okno sie nie otwiera.
                  > Potem nie moge zakonczyc pracy programu.

                  Czyli jednak sie otwiera skoro nie mozesz zakonczyc? ;-)
                  Sprobuj przeinstalowac IE:
                  download.microsoft.com/download/ie6sp1/finrel/6_sp1/W98NT42KMeXP/PL/ie6se
                  tup.exe (wybierz opcje naprawy czy cos ;-)).

                  > Ctrl+Alt+Del nie wysweitla procesow

                  Wiec co wyswietla? Zrob screen'a i daj linka.

                  > mysz dziala

                  to dobrze ;-)

                  > rozwijaja sie menu ale nic nie dziala

                  ?


                  > Po zabiegach dodadtkowo pojawia sie czasami okienko "ze system zostanie
                  > zamkniety w ciagu 60s." i odlicza. Z powodu: "C:\Windows\system32\lsass.exe
                  > nieoczkiwanie zablokowany z kodem 128".

                  I znowu dziennik zdarzen i zobacz jak blad wystapil.
                  • Gość: iko Re: Problem IP: *.inter1.pl / 217.98.235.* 14.10.05, 19:54
                    Witam,
                    bylem na tej stronce memtest, ale niestety nie potrafie zrozumiec o co biega.
                    Nie sprawdzilem.
                    Wydaje mi sie, ze po zamknieciu portu 445 (wwdc) juz sie nie zawiesza. Jakis
                    zdalny sasser :-)
                    Na ta chwile mam pytanie jakie porty zamknac. Po wlaczeniu wwdc pojawia sie:
                    DCOM RCP (port 135) - czerwony znaczek
                    Netbios (porty 137,138,139) - czerwony znaczek
                    oraz
                    UPNP bedzie zamkniety pp nastepnym reboot - zolty znaczek

                    Z gory dziekuje i serdecznie pozdrawiam

                    ps jestem pod wrazeniem zarowno wiedzy jak i bezinteresownosci
                    • Gość: Kolobos Re: Problem IP: *.warszawa.sdi.tpnet.pl 15.10.05, 00:59
                      Sciagnij i uzyj:
                      grc.com/files/UnPnP.exe
                      + zamknij reszte w wwdc.exe (nacisnij przycisk tak zeby byly zielone ikonki),
                      chyba, ze juz probowales i samo sie przestawia?
                      Ze strony z memtestem sciagnij obraz dyskietki, rozpakuj, uruchom samo sie
                      nagra na dyskietke, nastepnie uruchom z niej komputer i testuj ram z 3-4
                      godziny, jak nie bedzie bledow to jest ok.
Pełna wersja