Prosze o sprawdzenie loga

IP: *.neoplus.adsl.tpnet.pl 27.06.07, 12:57
W moim komputerze sam wylacza sie monitor, czasem po zrestartowaniu systemu
zmienia sie rozdzielczosc i przesuwa sie obraz na monitorze. Same zamykaja sie
okna, np menedzera zadan windows
Oto moj log z hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 12:55:28, on 2007-06-27
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\services.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\services.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe
C:\windows\services.exe
C:\windows\system\scvhost.exe
C:\windows\services.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\LVComS.exe
C:\Program Files\neostrada tp\neostradatp.exe
C:\Program Files\neostrada tp\ComComp.exe
C:\PROGRA~1\NEOSTR~1\Toaster.exe
C:\PROGRA~1\NEOSTR~1\Inactivity.exe
C:\PROGRA~1\NEOSTR~1\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\neostrada tp\Watch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
R3 - URLSearchHook: Share Accelerator MM Toolbar -
{4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program
Files\Share_Accelerator_MM\tbShar.dll
F2 - REG:system.ini: Shell=explorer.exe C:/windows/services.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} -
C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} -
C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O2 - BHO: Share Accelerator MM Toolbar -
{4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program
Files\Share_Accelerator_MM\tbShar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
c:\program files\google\googletoolbar2.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}
- C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} -
C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
files\google\googletoolbar2.dll (file missing)
O3 - Toolbar: Share Accelerator MM Toolbar -
{4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program
Files\Share_Accelerator_MM\tbShar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe
TaskBarIcon.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program
Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI
Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [services] C:\\windows\services.exe
O4 - HKCU\..\Run: [scvhost] c:\windows\system\scvhost.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program
Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st
800-840\dslmon.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Wyslij SMS'a - {215940F1-E7E0-4801-BEE3-44D045534106} -
C:\Program Files\Common Files\moje.js
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} -
C:\PROGRA~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -
C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links -
{c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 -
HKLM\System\CCS\Services\Tcpip\..\{72D0F8C6-9C6A-4F2A-86EC-6D07E7B2F49D}:
NameServer = 194.204.159.1 217.98.63.164
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -
C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -
C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom
- C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program
Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program
Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program
Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program
Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe

    • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 27.06.07, 13:24
      Zamknij porty przy pomocy wwdc.exe , zrob skan przy pomocy SuperAntiSpyware.

      Sciagnij z google Process Explorer i zakoncz w nim:
      C:\WINDOWS\services.exe
      C:\WINDOWS\services.exe
      C:\windows\services.exe
      C:\windows\system\scvhost.exe
      C:\windows\services.exe
      Pliki usun z dysku.

      W hjt usun:
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
      R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} -
      C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
      R3 - URLSearchHook: Share Accelerator MM Toolbar -
      {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program
      Files\Share_Accelerator_MM\tbShar.dll
      F2 - REG:system.ini: Shell=explorer.exe C:/windows/services.exe
      O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} -
      C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL
      O2 - BHO: Share Accelerator MM Toolbar -
      {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program
      Files\Share_Accelerator_MM\tbShar.dll
      O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} -
      c:\program files\google\googletoolbar2.dll (file missing)
      O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} -
      C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL <- katalog MyGlo.. usun z dysku.
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program
      files\google\googletoolbar2.dll (file missing)
      O3 - Toolbar: Share Accelerator MM Toolbar -
      {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Program
      Files\Share_Accelerator_MM\tbShar.dll <- katalog Shar.. usun z dysku.
      O4 - HKLM\..\Run: [services] C:\\windows\services.exe
      O4 - HKCU\..\Run: [scvhost] c:\windows\system\scvhost.exe
      O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
      C:\WINDOWS\web\related.htm
      O9 - Extra 'Tools' menuitem: Show &Related Links -
      {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
      O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

      Nastepnie uzyj combofix, log wklej na wklej.org i daj link.
    • Gość: Filip Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 27.06.07, 14:15
      oto log z ComboFix

      wklej.org/id/97946d7c5e
      • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 27.06.07, 17:21
        Z dysku usun:
        C:\WINDOWS\xxxx.bat

        Wklej do notatnika to:

        REGEDIT4

        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^DAGFIL^Menu Start^Programy^Autostart^Reboot.exe]

        [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\services]

        Zapisz jako fix.reg i uruchom.
    • Gość: Filip Re: Prosze o sprawdzenie loga IP: *.ssp.dialog.net.pl 28.06.07, 17:38
      A teraz po uruchomieniu komputera wyskakuja mi takie bledy:

      img.wklej.org/images/33591bez tytułu.jpg
      • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 28.06.07, 17:55
        Link nie dziala.
      • Gość: Filip Re: Prosze o sprawdzenie loga IP: *.ssp.dialog.net.pl 28.06.07, 19:31
        Ten powinien dzialac

        img405.imageshack.us/my.php?image=beztytu322uqa0.jpg
        • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 28.06.07, 19:50
          Daj nowy log z combofix oraz z Silent Runners, zapewne nie usunales jakiegos wpisu odnoszacego sie do tego pliku. Poszukaj tez w rejestrze wpisow zawierajacych windows\services.exe jak znajdziesz to zrob export danej galezi do pliku i daj link na forum to Ci powiem co i jak usunac.
          Co do drugiego komunikatu to nie wiem do czego sie odnosi, zainstaluj nowa wersje .Net z WindowsUpdate i zobacz co sie uruchomi.
    • Gość: Filip Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 29.06.07, 12:33
      up.wklej.org/download.php?id=0deb1c54814305ca9ad266f53bc82511 - log z
      ComboFix
      up.wklej.org/download.php?id=66808e327dc79d135ba18e051673d906 - rejestr

      up.wklej.org/download.php?id=42e7aaa88b48137a16a1acd04ed91125 - Silent
      Runners
      • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 29.06.07, 12:54
        BearShare to syf, po co to instalujesz? Jest pelno innych klientow gnutelli bez spyware'u/adware'u, np. cos z tego:
        forum.gazeta.pl/forum/72,2.html?f=430&w=47053185&a=47056084
        Usun w hijackthis ten wpis:
        F2 - REG:system.ini: Shell=explorer.exe C:/windows/services.exe
        (o czym pisalem juz na poczatku tego watku)
    • Gość: Fifi Re: Prosze o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 29.06.07, 13:07
      Nie mam tego wpisu w hijacku juz oto dowod...

      wklej.org/id/94f756cad5
      • Gość: Kolobos Re: Prosze o sprawdzenie loga IP: *.escom.net.pl 29.06.07, 13:12
        Wklej do notatnika to:

        Windows Registry Editor Version 5.00

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
        "Shell"="explorer.exe"

        Zapisz jako fix.reg i uruchom lub wejdz do edytora rejestru i zmien "Shell"="explorer.exe C:/windows/services.exe" na "Shell"="explorer.exe"

        Przy okazji usun w hjt:
        R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
        O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - C:\PROGRA~1\BEARSH~2\BEARSH~1\MediaBar.dll
        O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll
Pełna wersja