problem, prosze o rzucenie okiem na loga

IP: *.stk.net.pl 17.03.06, 11:06
jeżeli by mógł ktoś znający sie na temacie cos poradzic, komp zwalnia, net
zwalnia, program FileGuard wyświetlił alert "257 połączeń", w folderze
'system32' jest jakis folder 'dllcache' ,którego nazwa jest niebieską czcionką
(??) i w nim są, nie wiem , kopie aplikacji z win, jest np winlogon.exe, (w
samym folderze 'system32' jest juz jeden winlogon.exe), podczas activscana
pandą wykryło 2 dialery i 9 wir., sam folder 'windows' zmienia co jakis czas
rozmiar, raz pokazuje 360mb raz 1,25Gb, raz 3GB, czy możliwe jest ze ktoś
sobie na moim kompie serwer urządził



Logfile of HijackThis v1.99.1
Scan saved at 10:53:14, on 2006-03-17
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Program Files\Common Files\PFShared\UmxCfg.exe
C:\Program Files\Common Files\PFShared\UmxPol.exe
C:\Program Files\Tiny Firewall Pro\UmxAgent.exe
C:\Program Files\Tiny Firewall Pro\UmxTray.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Program Files\Common Files\PFShared\umxlu.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\System32\RunDll32.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\FileGuard\FileGuard.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS.0\System32\ctfmon.exe
C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Documents and Settings\Kamil\Moje dokumenty\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.interia.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -
C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS.0\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
/Consumer
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program
Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common
Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program
Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [FileGuard] C:\Program Files\FileGuard\FileGuard.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\System32\ctfmon.exe
O4 - HKCU\..\Run: [AMonitor] C:\Program Files\Tiny Firewall Pro\amon.exe
O4 - HKCU\..\Run: [SpeedX] C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program
Files\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: officejet 6100.lnk = ?
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage
Validation Tool) - go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140115777761
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140115763510
O20 - Winlogon Notify: PFW - C:\WINDOWS.0\SYSTEM32\UmxWnp.Dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS.0\System32\HPZipm12.exe
O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton
SystemWorks\Norton AntiVirus\SAVScan.exe (file missing)
O23 - Service: ScriptBlocking Service (SBService) - Unknown owner -
C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner -
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Unknown owner - C:\Program
Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe (file missing)
O23 - Service: FW Event Manager (UmxAgent) - Tiny Software, Inc. - C:\Program
Files\Tiny Firewall Pro\UmxAgent.exe
O23 - Service: FW Configuration Interpreter (UmxCfg) - Tiny Software, Inc. -
C:\Program Files\Common Files\PFShared\UmxCfg.exe
O23 - Service: FW Live Update (UmxLU) - Tiny Software, Inc. - C:\Program
Files\Common Files\PFShared\umxlu.exe
O23 - Service: FW Policy Manager (UmxPol) - Tiny Software Inc. - C:\Program
Files\Common Files\PFShared\UmxPol.exe
O23 - Service: FW User to IP Address Translation (UmxUTA) - Tiny Software,
Inc. - C:\Program Files\Tiny Firewall Pro\umxuta.exe

    • Gość: k Re: problem, prosze o rzucenie okiem na loga IP: *.warszawa.sdi.tpnet.pl 17.03.06, 12:28
      Jest niebieski bo jest skompresowany, a sa w nim kopie waznych plikow.
      hm FileGuard zabezpiecza pliki przed zmiana i chyba nie pokazuje żadnych
      polaczen? (nie uzywalem tego programu).

      Usun:
      O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
      Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll (file missing)
      O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
      C:\Program Files\Norton SystemWorks\Norton AntiVirus\NavShExt.dll (file missing)
      O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe <- usun katalog VVSN
      O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec
      Shared\Security Center\UsrPrmpt.exe
      O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
      /Consumer
      Uslugi do kasacji:
      O23 - Service: SAVScan - Unknown owner - C:\Program Files\Norton
      SystemWorks\Norton AntiVirus\SAVScan.exe (file missing)
      O23 - Service: ScriptBlocking Service (SBService) - Unknown owner -
      C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe (file missing)
      O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner -
      C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
      O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Unknown owner - C:\Program
      Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe (file missing)

      Kasujesz o tak:
      Start->Uruchom->sc stop nazwa_uslugi (ta z nawiasu lub nazwa np. SAVScan)
      nastepnie: sc delete nazwa_uslugi

      Zrob tez skan tym co wszyscy.

      • Gość: java. Re: problem, prosze o rzucenie okiem na loga IP: *.stk.net.pl 17.03.06, 14:50
        no powoli sie wezne za to usuwanie, ale jest taka jedna sprawa, jak tak patrze
        na te 'ścieżki' ja nie mam w folderze Program Files tych 'Norton SystemWorks'
        albo WSN tez nie ma, (mam wlaczone 'pokaz ukryte foldery') , usunolem pierwsze z
        brzegu 'NAV Helper', hijack zrobil loga i dalej jest 'NAV Helper' , ja jestem
        ciemny jezeli o kompy chodzi. Co to jest to czym wszyscy skan robią (tak zeby
        bylo 100% pewnosc ze dobrze trafie)
        • Gość: java. Re: a i jeszcze jedno IP: *.stk.net.pl 17.03.06, 14:58
          mam FileGuard 1.0.5 ma opcje FGNetStat i to tam kontroluje połączenia, słyszałem
          ze winlogon.exe moze coś robic, ze ktoś go moze pozmieniać czy cos... , ten FG
          mi nawet loga zrobil :

          FGNetStat:

          Lokalne IP - Port | Zdalne IP - Port
          0.0.0.0 - 135 | 0.0.0.0 - 33000
          0.0.0.0 - 445 | 0.0.0.0 - 45294
          0.0.0.0 - 1025 | 0.0.0.0 - 2166
          0.0.0.0 - 1028 | 0.0.0.0 - 37013
          0.0.0.0 - 3010 | 0.0.0.0 - 39165
          0.0.0.0 - 3011 | 0.0.0.0 - 22675
          0.0.0.0 - 3031 | 0.0.0.0 - 45164
          0.0.0.0 - 3101 | 0.0.0.0 - 2048
          0.0.0.0 - 3141 | 0.0.0.0 - 63643
          0.0.0.0 - 3142 | 0.0.0.0 - 12356
          0.0.0.0 - 3183 | 0.0.0.0 - 2208
          0.0.0.0 - 3184 | 0.0.0.0 - 43146
          0.0.0.0 - 3185 | 0.0.0.0 - 12500
          0.0.0.0 - 3186 | 0.0.0.0 - 43110
          0.0.0.0 - 3188 | 0.0.0.0 - 14402
          0.0.0.0 - 3189 | 0.0.0.0 - 59451
          0.0.0.0 - 3190 | 0.0.0.0 - 18501
          0.0.0.0 - 3191 | 0.0.0.0 - 24758
          0.0.0.0 - 3231 | 0.0.0.0 - 57442
          0.0.0.0 - 3233 | 0.0.0.0 - 51370
          0.0.0.0 - 3354 | 0.0.0.0 - 2064
          0.0.0.0 - 3372 | 0.0.0.0 - 22756
          0.0.0.0 - 3373 | 0.0.0.0 - 49218
          0.0.0.0 - 3376 | 0.0.0.0 - 2192
          0.0.0.0 - 3381 | 0.0.0.0 - 61651
          0.0.0.0 - 3382 | 0.0.0.0 - 2192
          0.0.0.0 - 3383 | 0.0.0.0 - 14468
          0.0.0.0 - 3384 | 0.0.0.0 - 6364
          0.0.0.0 - 3398 | 0.0.0.0 - 30792
          0.0.0.0 - 3399 | 0.0.0.0 - 39010
          0.0.0.0 - 5000 | 0.0.0.0 - 12540
          10.5.85.80 - 139 | 0.0.0.0 - 55351
          10.5.85.80 - 3022 | 217.74.64.234 - 80
          10.5.85.80 - 3052 | 217.74.64.236 - 80
          10.5.85.80 - 3082 | 217.74.64.249 - 80
          10.5.85.80 - 3092 | 217.74.64.234 - 80
          10.5.85.80 - 3101 | 217.74.65.69 - 80
          10.5.85.80 - 3138 | 217.74.65.119 - 80
          10.5.85.80 - 3140 | 217.74.65.119 - 80
          10.5.85.80 - 3142 | 217.74.65.42 - 80
          10.5.85.80 - 3233 | 217.74.65.69 - 80
          10.5.85.80 - 3259 | 217.74.64.40 - 80
          10.5.85.80 - 3263 | 217.74.70.227 - 80
          10.5.85.80 - 3281 | 217.74.70.227 - 80
          10.5.85.80 - 3337 | 217.212.240.173 - 80
          10.5.85.80 - 3354 | 217.17.41.85 - 443
          10.5.85.80 - 3373 | 217.74.64.234 - 80
          10.5.85.80 - 3376 | 217.74.65.120 - 80
          10.5.85.80 - 3382 | 217.74.65.42 - 80
          10.5.85.80 - 3384 | 217.74.65.42 - 80
          10.5.85.80 - 3388 | 217.74.70.227 - 80
          10.5.85.80 - 3399 | 217.74.64.236 - 80
          127.0.0.1 - 3001 | 0.0.0.0 - 16425
          127.0.0.1 - 3002 | 0.0.0.0 - 232
          127.0.0.1 - 3003 | 0.0.0.0 - 57460
          127.0.0.1 - 3009 | 0.0.0.0 - 45102
          127.0.0.1 - 3009 | 127.0.0.1 - 3010
          127.0.0.1 - 3010 | 127.0.0.1 - 3009
          127.0.0.1 - 3011 | 127.0.0.1 - 12080
          127.0.0.1 - 3031 | 127.0.0.1 - 12080
          127.0.0.1 - 3033 | 127.0.0.1 - 12080
          127.0.0.1 - 3035 | 127.0.0.1 - 12080
          127.0.0.1 - 3038 | 127.0.0.1 - 12080
          127.0.0.1 - 3041 | 127.0.0.1 - 12080
          127.0.0.1 - 3043 | 127.0.0.1 - 12080
          127.0.0.1 - 3045 | 127.0.0.1 - 12080
          127.0.0.1 - 3047 | 127.0.0.1 - 12080
          127.0.0.1 - 3053 | 127.0.0.1 - 12080
          127.0.0.1 - 3055 | 127.0.0.1 - 12080
          127.0.0.1 - 3057 | 127.0.0.1 - 12080
          127.0.0.1 - 3059 | 127.0.0.1 - 12080
          127.0.0.1 - 3061 | 127.0.0.1 - 12080
          127.0.0.1 - 3063 | 127.0.0.1 - 12080
          127.0.0.1 - 3065 | 127.0.0.1 - 12080
          127.0.0.1 - 3067 | 127.0.0.1 - 12080
          127.0.0.1 - 3069 | 127.0.0.1 - 12080
          127.0.0.1 - 3070 | 127.0.0.1 - 12080
          127.0.0.1 - 3073 | 127.0.0.1 - 12080
          127.0.0.1 - 3075 | 127.0.0.1 - 12080
          127.0.0.1 - 3077 | 127.0.0.1 - 12080
          127.0.0.1 - 3079 | 127.0.0.1 - 12080
          127.0.0.1 - 3089 | 127.0.0.1 - 12080
          127.0.0.1 - 3095 | 127.0.0.1 - 12080
          127.0.0.1 - 3097 | 127.0.0.1 - 12080
          127.0.0.1 - 3099 | 127.0.0.1 - 12080
          127.0.0.1 - 3102 | 127.0.0.1 - 12080
          127.0.0.1 - 3104 | 127.0.0.1 - 12080
          127.0.0.1 - 3106 | 127.0.0.1 - 12080
          127.0.0.1 - 3108 | 127.0.0.1 - 12080
          127.0.0.1 - 3110 | 127.0.0.1 - 12080
          127.0.0.1 - 3112 | 127.0.0.1 - 12080
          127.0.0.1 - 3114 | 127.0.0.1 - 12080
          127.0.0.1 - 3116 | 127.0.0.1 - 12080
          127.0.0.1 - 3119 | 127.0.0.1 - 12080
          127.0.0.1 - 3122 | 127.0.0.1 - 12080
          127.0.0.1 - 3124 | 127.0.0.1 - 12080
          127.0.0.1 - 3126 | 127.0.0.1 - 12080
          127.0.0.1 - 3128 | 127.0.0.1 - 12080
          127.0.0.1 - 3141 | 127.0.0.1 - 12080
          127.0.0.1 - 3149 | 127.0.0.1 - 12080
          127.0.0.1 - 3163 | 127.0.0.1 - 12080
          127.0.0.1 - 3175 | 127.0.0.1 - 12080
          127.0.0.1 - 3179 | 127.0.0.1 - 12080
          127.0.0.1 - 3183 | 127.0.0.1 - 12080
          127.0.0.1 - 3185 | 127.0.0.1 - 12080
          127.0.0.1 - 3187 | 127.0.0.1 - 12080
          127.0.0.1 - 3188 | 127.0.0.1 - 12080
          127.0.0.1 - 3189 | 127.0.0.1 - 12080
          127.0.0.1 - 3193 | 127.0.0.1 - 12080
          127.0.0.1 - 3195 | 127.0.0.1 - 12080
          127.0.0.1 - 3197 | 127.0.0.1 - 12080
          127.0.0.1 - 3199 | 127.0.0.1 - 12080
          127.0.0.1 - 3201 | 127.0.0.1 - 12080
          127.0.0.1 - 3203 | 127.0.0.1 - 12080
          127.0.0.1 - 3205 | 127.0.0.1 - 12080
          127.0.0.1 - 3207 | 127.0.0.1 - 12080
          127.0.0.1 - 3213 | 127.0.0.1 - 12080
          127.0.0.1 - 3217 | 127.0.0.1 - 12080
          127.0.0.1 - 3219 | 127.0.0.1 - 12080
          127.0.0.1 - 3221 | 127.0.0.1 - 12080
          127.0.0.1 - 3223 | 127.0.0.1 - 12080
          127.0.0.1 - 3225 | 127.0.0.1 - 12080
          127.0.0.1 - 3227 | 127.0.0.1 - 12080
          127.0.0.1 - 3229 | 127.0.0.1 - 12080
          127.0.0.1 - 3231 | 127.0.0.1 - 12080
          127.0.0.1 - 3232 | 127.0.0.1 - 12080
          127.0.0.1 - 3236 | 127.0.0.1 - 12080
          127.0.0.1 - 3238 | 127.0.0.1 - 12080
          127.0.0.1 - 3239 | 127.0.0.1 - 12080
          127.0.0.1 - 3240 | 127.0.0.1 - 12080
          127.0.0.1 - 3244 | 127.0.0.1 - 12080
          127.0.0.1 - 3246 | 127.0.0.1 - 12080
          127.0.0.1 - 3248 | 127.0.0.1 - 12080
          127.0.0.1 - 3250 | 127.0.0.1 - 12080
          127.0.0.1 - 3252 | 127.0.0.1 - 12080
          127.0.0.1 - 3257 | 127.0.0.1 - 12080
          127.0.0.1 - 3264 | 127.0.0.1 - 12080
          127.0.0.1 - 3266 | 127.0.0.1 - 12080
          127.0.0.1 - 3268 | 127.0.0.1 - 12080
          127.0.0.1 - 3270 | 127.0.0.1 - 12080
          127.0.0.1 - 3274 | 127.0.0.1
          • Gość: java. Re: a i jeszcze jedno IP: *.stk.net.pl 17.03.06, 15:04
            jeszcze cos zapodam
            firefox mi sie blokuje, niektóre strony wyswietla z błędem, np interia od rana
            nie działa, nie da sie na mail dostac, niktóre strony sie ładują z pół godz, mam
            transfer 512, a w kompie siedzi proc. 2,4GHz
            • Gość: k Re: a i jeszcze jedno IP: *.warszawa.sdi.tpnet.pl 17.03.06, 15:20
              0.0.0.0 i 127.0.0.1 to polaczenia lokalne Twojego komputera wiec na to nie
              patrz.
              Nie wiem o co Ci chodzi z winlogon.exe.

              Moze jest cos nie tak z laczem np. Twoj dostawca ma jakis problem lub jezeli
              dzielisz z kims lacze to ktos moze zapychac itd :>
Pełna wersja