Problemy po oczyszczaniu

[Exorcius]

Wczoraj zaczelem odmulac komputer(programy typu ccleaner, 16v power tool, i inne) zrobilem defragmentacje dysku wylaczylem niektore uslugi i niby wszystko jest dobrze to jednak mam problem z grafika. Wlaczajac warcrafta nic nie dziala normlanie tylko widac same migajace swiatelka.
Myslalem ze to wina sterownikow wiec zmienilem na inne ale dalej to samo.
sprz�t:
Microsoft Windows XP Professional
sp2
AMD Duron, 1300 MHz
ECS K7VTA3 v5 (5 PCI, 1 AGP, 1 CNR, 3 DDR DIMM, Audio)
256mb ram
NVIDIA GeForce4 MX 440 (64 MB)

hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26:43, on 2008-07-08
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
D:\PROGRA~1\Grisoft\AVG7\avgemc.exe
D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\PROGRA~1\NEOSTR~1\CnxMon.exe
D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
D:\PROGRA~1\Grisoft\AVG7\avgcc.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Program Files\Neostrada TP\NeostradaTP.exe
D:\Program Files\Neostrada TP\ComComp.exe
D:\Program Files\Neostrada TP\Watch.exe
D:\Program Files\Gadu-Gadu\gg.exe
D:\Program Files\Opera\Opera.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ��cza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'US�UGA LOKALNA')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'US�UGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'US�UGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] D:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O4 - Startup: Reboot.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) -
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8765F0B-C34C-4B07-9CDA-E2D998BDEEB6}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - D:\WINDOWS\MSmedia.exe (file missing)
O23 - Service: netconf32 - Unknown owner - D:\WINDOWS\netconf32.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - D:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6329 bytes

[Marshall]

Albo wylaczyles o jedna usluge / usunales jeden plik za duzo albo nadal masz wirusy. Po za tym nadal sporo smiecia w autostarcie.

O4 - Startup: Reboot.exe
O23 - Service: MicroSoft Media Tools - Unknown owner - D:WINDOWSMSmedia.exe (file missing)
O23 - Service: netconf32 - Unknown owner - D:WINDOWS
etconf32.exe (file missing)

Nie wkurza Cie, ze komp tak dlugo wstaje?

[Exorcius]

Po tak długim czasie przyzwyczailem sie. a co moge zrobic zeby to naprawic?

[Marshall]

Sprawdz system lepszym antywirusem.
Sprobuj przeinstalowac gre.

[R2D2]

Czy był robiony skan programem AV i coś usuwał?
Bo to sa wpisy robala:

O23 - Service: MicroSoft Media Tools - Unknown owner - D:WINDOWSMSmedia.exe (file missing)
O23 - Service: netconf32 - Unknown owner - D:WINDOWS
etconf32.exe (file missing)

W parze z nimi powinien być rootkit, tyle że ten log tego nie pokazuje. Ten robaczek przy pierwszym uruchomieniu, sam się kopiuje i tworzy usługę/plik rootkita. Właściwie to się pod niego podszywa, bo nie ukrywa plików. Pobierz Combofix, uruchom i podaj log który wygeneruje (zawartość). Plik log.txt będzie tam gdzie combofix.

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Na czas pobierania pliku, jak również działania programu wyłącz AV.

To zafixuj w HJT:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

BTW
Forum nie trawi coś logów, także od razu wrzuć go na www.wklej.org i podaj sam link do niego.

BTW 2 :-P
Jeżeli robale, to jakoś musiały wpełznąć. W Twoim przypadku:

1. Kiepskie zabezpieczenia. Widzę, że masz badzIEwną przeglądarkę w wersji 6.0. Obojętnie czy jej używasz, czy nie (mam nadzieję, że nie) powinna być na maxa zaktualizowana (do nowej wersji+wszystkie łaty) Jest tak mocno zintegrowana z systemem, że stanowi zagrożenie sama w sobie. Robale ją uwielbiają i znają jak własną kieszeń. Nie muszę tu chyba wspominać o samych łatach zabezpieczeń i wszystkich innych fixach do samego XP. Co do SP 3 to Twoja wola.

2.Nie zamknięte newralgiczne porty.Sama nazwa robaki, określa co to za twory. Odwalają czarną robotę dla szefa - otwierając tylna furtkę, implikując gorszego szkodnika, a nawet zwołując innych kolesi z sieci. Tyle że tu, jak również w naturze nie są to zbytnio rozgarnięte twory. Włażą przez te same porty i dlatego trzeba im tą drogę odciąć. Inaczej, jak Cię raz namierzą to będziesz miał je zawsze (dobre jak jesteś wędkarzem ) Pobierz Windows Worms Doors Cleaner:

http://www.firewallleaktester.com/wwdc.htm

Tak jak jest przedstawione na fotce ( w linku), zielono z góry do dołu=idealnie. Program jest prosty w obsłudze, po prostu gdy będzie pozycja z czerwonym znaczkiem - klikasz na DISABLE. Jest jednak pewne ale:
DCOM i port 135 - korzystają z niego również takie usługi jak -Distributed Transaction Coordinator (MSDTC), Task Scheduler (Harmonogram zadań) i Messenger (Posłaniec). Z tym, że jeżeli to jest typowo komputer domowy (nie jest w żadnych sieciach) to można zamykać. Oczywiście jeżeli nie korzystasz też z usługi posłańca. Jednak nie sądze, a jeżeli tak to daj sobie na luz bo to badziew niemożliwy. Nie będę się tu wdawał w szczegóły, po prostu jak pojawią się jakieś nieoczekiwane kłopoty to włączysz ten port ponownie. Oczywiście wyłącz od razu tez usługę posłańca>>Prawoklik na mój komputer>>zarządzanie>>usługi. Odszukaj usługę>> PPM właściwości>>typ startowy>>wyłączony. No i jeszcze NetBios - tutaj całkowite zamknięcie nastąpi dopiero po restarcie, ale to Ci sam program oznajmi. Mimo, że dasz na Disable zostanie żółty oznacznik, który będzie już na zielono po ponownym uruchomieniu systemu. To zrób najpierw, bo inaczej w przypadkach infekcji robalami, można kasować, a za tyłkiem włażą ponownie.

BTW 3
Coś mi świtało i wyświtało. Sam robal to już odległe dzieje i były 4 patche MS, które m.in. z tym były powiązane. Większość dotyczyła 2000, 2003, NT i XP SP1. Jest jednak jedna, dla XP SP2. Więc jeżeli jej jeszcze nie masz to zainstaluj:

http://www.microsoft.com/technet/sec.../MS05-039.mspx.

EDIT:
Właściwie, to od razu walniemy w to co widać. Pobierz SDFix, uruchom, rozpakuje się do d:SDFix. Uruchomisz komputer w trybie awaryjnym, wejdziesz do folderu SDFix odpalisz plik RunThis.bat - zgodzisz się na czyszczenie - Y. Poczekasz aż skończy i zrestartuje komputer. Dopiero po tym uruchomisz combofix. Oprócz loga z combofix, dajesz też z SDFix (będzie w jego folderze). Tylko pamiętaj o zamknięciu portów, bo ten robal stosuje typ DCOM i tak pewnie wlazł.

http://downloads.andymanchesta.com/R...ools/SDFix.exe

[Exorcius]

http://www.wklej.org/id/daacd4de4d -log z sdfix
http://www.wklej.org/id/c255a21211 -log z combofix

btw wiesz moze jakie sa najlepsze sterowniki do mojej karty graficznej?

[R2D2]

Dobra - robal z bani, usługi ubite, a do tego poleciał ten syf spyware - myglobalsearch. To wlazło razem z instalacją Bearshare. Do dokasowania ręcznie:
start>>uruchom>>cmd>>i wpiszesz po kolei+enter:
SC DELETE Vsp
SC DELETE netconf32
Skasuj też normalnie foldery D:SDFix i D:Qoobox Na koniec, wyłącz na chwilę przywracanie systemu na wszystkich dyskach. To zresetuje jego stan, jak chcesz włącz z powrotem. To by było na tyle, jeżeli chodzi o szkodniki. Co do sterowników to widzę, że już raz zmieniałeś. Tyle że sterowniki, to trzeba przed podmianą wyciąć w pień. Użyłeś do tego jakiegoś programu, czy tylko dodaj/usuń? Nie wiem też jakie do tej pory instalowałeś. Dlatego możesz spróbować np. tej wersji ForceWare.

http://pliki.pl/30/download/Karty_Gr...rnational.html

Możliwe też, że do tej karty lepsza będzie starsza wersja. Tu masz od najnowszych do najstarszych:
http://www.softwarepatch.pl/przeglad...graficzne.html

Najpierw wytnij stare Driver Sweeper`em, potem instaluj nowe:

http://www.guru3d.com/index.php?page=driversweeper

[Exorcius]

Nie uzywalem programow, samo dodaj/usun. Ostatnio duzo sterownikow przegladalem ostatni jaki instalowalem to 93.71 forceware probowalem nawet omegi jak ktos polecil do tej karty ale nie wypalilo i tylko jakies bledy wyskakiwaly.

Edit: Wszystko dziala jak nalezy. Dzieki za podpowiedzi. To byla wina karty mozliwe ze ja podkrecilem zabardzo jak ktos napisal na innym forum(nie pamietam kiedy sie w takie cos bawilem) zainstalowalem powerstripa i zmniejszylem te ustawienia i mozliwe ze to pomoglo.