Logi - Problem z uploadem plików

witam

Mój problem przedstawia sie tak:

Podczas próby wysłania jakiegokolwiek pliku na serwer (sprawdzałem m.in. na chomikuj.pl i yousendit.com, na imageshack.us dzała) wyskakuje błąd.
Opera się wiesza i wyłącza, IE pokazuje, że nie można wyświetlićstrony, a Firefox nic nie pokazuje, odświerza strone, ale plik nie jest zapisany. Robiłem skany systemu (i rejestru) różnymi programami i żaden nic nie wykrył (dzień przed pokazaniem sie błedów wysłałem na chomika 360MB plik i wszystko było ok).

Żeby bylo ciekawiej to co jakiś czas wyskakuje komunikat o błedzie service.exe i pokazuje sie licznik z 1 min do restartu kompa. Jak uruchomiłem raz tem plik podczas odliczania, to zegar doszedł do zera ale system sie nie zrestartował. Nie wiem czy ma to ze sobą coś wspólnego.

Jeśli ktoś ma jakiś pomysł to prosze o pomoc.

Screen z błędem:
http://img466.imageshack.us/img466/2285/schowek01jw2.jpg

Wklej loga z hjt.

Logfile of HijackThis v1.99.1

Scan saved at 21:03:10, on 2007-04-06

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

E:\Programy\Comodo\Firewall\cmdagent.exe

C:\WINDOWS\System32\inetsrv\inetinfo.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\RunDll32.exe

E:\Programy\TweakMASTER\TwMaster.exe

C:\Program Files\Common Files\WinAntiSpyware 2006\was6cw.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\wscntfy.exe

E:\Programy\uTorrent\utorrent.exe

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\system32\inetsrv\DavCData.exe

E:\Programy\Opera\Opera.exe

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

E:\PROGRAMY\WINZIP\<a href="http://www.download.net.pl/123/WinZip/">winzip</a>32.exe

C:\Documents and Settings\Admin\Ustawienia lokalne\Temp\wz289a\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

O1 - Hosts: 85.232.233.30 www.naglos.pl

O1 - Hosts: 66.249.93.104 video.google.pl

O1 - Hosts: 208.65.153.251 www.youtube.com

O1 - Hosts: 207.46.250.101 go.microsoft.com

O1 - Hosts: 207.68.183.32 www.msn.com

O1 - Hosts: 82.165.243.161 www.aldec.com

O1 - Hosts: 216.73.86.152 ad.doubleclick.net

O1 - Hosts: 209.8.50.54 www.yousendit.com

O1 - Hosts: 64.233.183.103 www.google.pl

O1 - Hosts: 216.239.59.147 pagead2.googlesyndication.com

O1 - Hosts: 216.55.145.249 s2.chomikuj.pl

O1 - Hosts: 216.177.83.7 www.chomikuj.pl

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Implements TweakBHO - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - e:\Programy\TweakMASTER\TweakBHO.dll

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [TweakMASTER] "E:\Programy\TweakMASTER\TwMaster.exe" /auto

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [was6cw] C:\Program Files\Common Files\WinAntiSpyware 2006\was6cw.exe -c

O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programy\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\Sims 2 Pets.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [COMODO Firewall Pro] "E:\Programy\Comodo\Firewall\CPF.exe" /background

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{CAC39097-E1F7-4600-BEE9-59232DD9361F}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - E:\Programy\Comodo\Firewall\cmdagent.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe

O23 - Service: NBService - Nero AG - E:\Programy\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

Na początek odinstaluj WinAntiSpyware 2006. Następnie, w trybie awaryjnym użyj SmitFraundFix'a (skorzystaj z opcji numer 2). Po tych czynnościach wrzuć nowego loga z hjt.

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKLM\..\Run: [was6cw] C:\Program Files\Common Files\WinAntiSpyware 2006\was6cw.exe -c

Te od ręki zafiksuj w HT, to spyware. Ściągnij Spybot Search 7 Destroy, zaktualizuj bazę i wyczyść kompa. Hijack nie da sobie rady z częścią wpisów, SB powinien usunąć przy restarcie.

Zrobiłem tak:

1) Zafixowałem tamte wpisy
2) wywaliłem WinAntiSpyware
3) w trybie awaryjnym odpaliłem SmitFraundFix'a:

SmitFraudFix v2.164

Scan done at 12:06:53,87, 2007-04-07
Run from E:\Download\SmitfraudFix
OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

 SharedTaskScheduler Before SmitFraudFix
[img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]!Attention, following keys are not inevitably infected![img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

 Killing process


 hosts


127.0.0.1	   localhost

85.232.233.30 www.naglos.pl
66.249.93.104 video.google.pl
208.65.153.251 www.youtube.com
207.68.183.32 www.msn.com
82.165.243.161 www.aldec.com
216.73.86.152 ad.doubleclick.net
209.8.50.54 www.yousendit.com
64.233.183.103 www.google.pl
216.239.59.147 pagead2.googlesyndication.com
216.55.145.249 s2.chomikuj.pl
216.177.83.7 www.chomikuj.pl

 Generic Renos Fix

GenericRenosFix by S!Ri


 Deleting infected files

C:\WINDOWS\Tasks\At?.job Deleted
C:\WINDOWS\Tasks\At??.job Deleted

 DNS



 Deleting Temp Files


 Winlogon.System
[img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]!Attention, following keys are not inevitably infected![img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


 Registry Cleaning
 
Registry Cleaning done. 
 
 SharedTaskScheduler After SmitFraudFix
[img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]!Attention, following keys are not inevitably infected![img]http://www.forum.tweaks.pl/public/style_emoticons/default/excl.gif[/img]

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


 End

a potem hijacka:

Logfile of HijackThis v1.99.1
Scan saved at 12:10:12, on 2007-04-07
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
E:\PROGRAMY\WINZIP\winzip32.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\wzaf62\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O1 - Hosts: 85.232.233.30 www.naglos.pl
O1 - Hosts: 66.249.93.104 video.google.pl
O1 - Hosts: 208.65.153.251 www.youtube.com
O1 - Hosts: 207.68.183.32 www.msn.com
O1 - Hosts: 82.165.243.161 www.aldec.com
O1 - Hosts: 216.73.86.152 ad.doubleclick.net
O1 - Hosts: 209.8.50.54 www.yousendit.com
O1 - Hosts: 64.233.183.103 www.google.pl
O1 - Hosts: 216.239.59.147 pagead2.googlesyndication.com
O1 - Hosts: 216.55.145.249 s2.chomikuj.pl
O1 - Hosts: 216.177.83.7 www.chomikuj.pl
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Implements TweakBHO - {7DAAC7DE-9EF0-4FF0-BFA5-AFF3E899054C} - e:\Programy\TweakMASTER\TweakBHO.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TweakMASTER] "E:\Programy\TweakMASTER\TwMaster.exe" /auto
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PCSuiteTrayApplication] E:\Programy\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\Sims 2 Pets.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "E:\Programy\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [ErrorSafe] E:\Programy\ErrorSafe\ERS.exe /min
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Program Files\Common Files\Ahead\Lib\NMFirstStart.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - E:\Programy\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe
O23 - Service: NBService - Nero AG - E:\Programy\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

troche dłużej mielił po restarcie i dalej nie moge wysyłać plików (dalej sie wiesza przy wysyłaniu).
Spróbuje SpyBota.

~~~~~~~~~~~~~~~~~~~~Edit
Przeczyściłem jeszcze przy pomocy ErrorSafe'a i usunąłem zbędne żeczy. Yousendit działa ale chomik jeszcze nie (dalej to samo).
zastanawiam sie czy może ta strona potrzebuje jakichś dodatkowych plików (może javy ??). Spróbuje zainstalować jave od nowa i napisze czy coś się stało.

~~~~~~~~~~~~~~~~~~~~Edit
Zainstalowałem i nic nie pomogło.

W hjt usuń wszystkie wpisy O1 - Hosts, oprócz 216.73.86.152 ad.doubleclick.net. Do tego jeszcze:

O4 - HKLM\..\Run: [I downloaded pirated Software from P2P ] C:\WINDOWS\system32\Sims 2 Pets.exe
O4 - HKCU\..\Run: [ErrorSafe] E:\Programy\ErrorSafe\ERS.exe /min
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe

W trybie awaryjnym z wyłączonym przywracaniem systemu, usuń pogrubione pliki z dysku.

Folder ErrorSafe usuń z dysku.

Usunąłem te wpisy ale mam jeszcze szybkie pytanie, dlaczego mam zostawić 216.73.86.152 ad.doubleclick.net.
WinAntySpyware na przykład wykrywał że to groźne tracking cookie (pozatym to chyba jest związane z jakimiś reklamami).
Prosze o jakieś krótkie wyjaśnienie.

~~~~~~~~~~~~~~~~~~~~Edit
Po skasowaniu wpisów O1 - Hosts i restarcie kompa, znowu wszystko działa (no, przynajmniej wysyłanie :] ).
Wielkie dzięki za pomoc!!

W takim wypadku przeskanuj system AVG Anti-Spyware 7.5
A WinAntySpyware miałeś usunąć.
Na wszelki wypadek wklej nowego loga z hjt.

No, WinAntySpyware usunąłem już na początku, ale upload zaczął działać dopiero po usunięciu tych wpisów (O1 - Hosts) w hijacku. Teraz wszystko działa. Przeskanuje jeszcze system tym AVG i jeśli jeszcze coś będzie nie tak to napisze.
Jeszcze raz dzięki za pomoc.