JacuN Opublikowano 2 Marca 2012 Zgłoś Udostępnij Opublikowano 2 Marca 2012 Witam ma problem z rozłączającym się internetem.Kilka dni temu zrobiłem formata ,ale ten nic nie dał i problem pozostał.Mianowicie co jakiś czas resetuję się łączę średnio co 1-3 min.System to windows xp sp2 , internet radiowy 512 skanowałem dysk eset'em nod32 i ten wykrył coś takiego Temporary Internet Files\Win32/Conficker.AA robak itp.Proszę o jakieś porady o to log z combofixa.Pozdrawiam ComboFix 12-02-25.02 - Michał 2012-03-02 22:38:42.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.446.200 [GMT 1:00] Uruchomiony z: c:\documents and settings\Michał\Moje dokumenty\Downloads\ComboFix.exe AV: ESET NOD32 Antivirus 4.0 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} . - TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI - . . ((((((((((((((((((((((((( Pliki utworzone od 2012-02-02 do 2012-03-02 ))))))))))))))))))))))))))))))) . . 2012-02-29 18:49 . 2012-02-29 18:49 -------- d-----w- C:\ba3404b86d3c29badc0d21 2012-02-28 15:49 . 2012-02-29 18:49 -------- d-----w- C:\RECYCLER(2) . . . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . . . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-16 7630848] "nwiz"="nwiz.exe" [2006-08-16 1617920] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-16 86016] "RTHDCPL"="RTHDCPL.EXE" [2006-06-13 16239616] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009 . R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-11-16 108792] R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-11-16 96408] R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-11-16 735960] S2 xzpmbf;Network Universal;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336] . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs xzpmbf . . ------- Skan uzupełniający ------- . uStart Page = hxxp://google.pl/ TCP: DhcpNameServer = 82.160.202.7 82.160.202.8 82.160.1.1 . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url] Rootkit scan 2012-03-02 22:39 Windows 5.1.2600 Dodatek Service Pack 2 NTFS . skanowanie ukrytych procesów ... . skanowanie ukrytych wpisów autostartu ... . skanowanie ukrytych plików ... . skanowanie pomyślnie ukończone ukryte pliki: 0 . ************************************************************************** . Czas ukończenia: 2012-03-02 22:42:04 ComboFix-quarantined-files.txt 2012-03-02 21:42 . Przed: 37 047 353 344 bajtów wolnych Po: 37 037 543 424 bajtów wolnych . WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect . - - End Of File - - D57E307C54843AE4DBC95E81A2DA65E5 Odnośnik do komentarza
Landuss Opublikowano 3 Marca 2012 Zgłoś Udostępnij Opublikowano 3 Marca 2012 Zacznijmy od tego, że nie o taki log nam tutaj chodzi. ComboFix został użyty na start niepotrzebnie i w dodatku jest to stara wersja o czym świadczy ustęp "Tryb zredukowanej funkcjonalności" Zacznij od podania prawidłowych logów z OTL + Gmer Odnośnik do komentarza
JacuN Opublikowano 3 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Marca 2012 Przepraszam za ten log z combofixa. Oto logi o, które Pan prosił: Extras.Txt GMER log.txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 3 Marca 2012 Zgłoś Udostępnij Opublikowano 3 Marca 2012 1. Wklej do notatnika ten tekst: Driver:: xzpmbf NetSvc:: xzpmbf Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 2. Prezentujesz nowy log z ComboFix. Odnośnik do komentarza
JacuN Opublikowano 3 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Marca 2012 Oto i on... ComboFix.txt Odnośnik do komentarza
Landuss Opublikowano 3 Marca 2012 Zgłoś Udostępnij Opublikowano 3 Marca 2012 Infekcja usunięta i nic tu więcej nie widać. Wykonaj parę rzeczy na koniec. 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Michał\Pulpit\ComboFix.exe" /uninstall co spowoduje poprawne odinstalowanie programu 2. Użyj opcji Sprzątanie z OTL. 3. Koniecznie zaktualizuj system oraz IE: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Service Pack 3 + Internet Explorer 8 4. Opróżnij folder przywracania systemu: KLIK Odnośnik do komentarza
Rekomendowane odpowiedzi