Zmiana adresu ip i dziwne zachowanie

[Dungones]

Witam!

Otóż, miałem ciekawość sprawdzić pewnego dnia szybkość swojego internetu na stronie twojeip.wp.pl
Przy okazji sprawdzania szybkości, zauważyłem, że moje ip przeszło dziwną zmianę, która nigdy - odkąd mam internet od właśnie tego dostawcy nie miała miejsca.
Otóż moje ip wcześniej wynosiło 193. coś (nie pamiętam już)
Teraz natomiast wynosi 91.240.29.60 i jestem pewien że to ip jednak do mnie nie należy.
Sprawdzając je na google i na geolokalizacjach wyszedł całkiem inny dosatwca internetu, a w geolokalizacji czasem (na niektórych stronach) wyszło, że sygnał nie jest już jak wcześniej z mojej miejscowości a z Rosji.

Na dzień dzisiejszy zabrałem ze sobą logi z HijackThis

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

W HijackThis zafixuj:

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

Następnie dostosuj się do zasad -> bezpieczenstwo/regulamin-bezpiecze-stwa-t19001.html.

Otóż, miałem ciekawość sprawdzić pewnego dnia szybkość swojego internetu na stronie twojeip.wp.pl

Nie masz co się tym przejmować . Sama w sobie strona jest ściemą .

[Dungones]

Oł, okej no tak porządek ważna sprawa
Rozumiem, że strona sama w sobie może z pomiarem zbytnio wiarygodna nie jest, ale jak mówię głównie moją uwagę przykuł adres ip.
Który, dalej nie jest nie zmienny, chyba że zasugerowany przez program restart wniesie coś pozytywnego.

Restart nic nie wniósł, dodam jedynie, że wraz z tą zmianą mam często problemy z różnymi aplikacjami a i internet też nie najlepiej sobie radzi.

[kominekl]

Oł, okej no tak porządek ważna sprawa
Rozumiem, że strona sama w sobie może z pomiarem zbytnio wiarygodna nie jest, ale jak mówię głównie moją uwagę przykuł adres ip.
Który, dalej nie jest nie zmienny, chyba że zasugerowany przez program restart wniesie coś pozytywnego.

Nie tyle chodzi tu o porządek, co o wymagane logi, gdyż HijackThis przeszedł już do lamusa .

[Dungones]

Czy ta zmiana może mieć powiązanie z jakimś wirusem? Program antywirusowy, który używam na co dzień wykazał wirusy jedynie w System Volume Information, a kopie zapasowe poszły już razem z tymi wirusami
Martwię się tym, żeby ktoś oprócz mnie nie miał dostępu do mojego komputera, bądź nie wpadł na pomysł podszywania się albo i wykradania haseł.

[kominekl]

Czy ta zmiana może mieć powiązanie z jakimś wirusem? Program antywirusowy, który używam na co dzień wykazał wirusy jedynie w System Volume Information, a kopie zapasowe poszły już razem z tymi wirusami
Martwię się tym, żeby ktoś oprócz mnie nie miał dostępu do mojego komputera, bądź nie wpadł na pomysł podszywania się albo i wykradania haseł.

Sprawdzę to w logach .

[Dungones]

Zatem przynoszę ze sobą kolejne logi tym razem z OTL z GMER wykonanie jest nie bardzo realne, gdyż program od razu się zawiesza i jest brak odp.

Otl.txt
Dostępne tylko dla zarejestrowanych użytkowników

Extras.txt
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

GMER wykonanie jest nie bardzo realne, gdyż program od razu się zawiesza i jest brak odp.

Tak. To naturalne. Nie przejmuj się. Użyj zastępnika TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.

"ESET Online Scanner" = ESET Online Scanner v3
"Xfire_New Toolbar" = Xfire New Toolbar
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Karol\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&Form=IE8SRC
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: File not found
[2012-03-16 18:24:22 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
CHR - Extension: Skype Click to Call = C:\Documents and Settings\Karol2\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\5.9.0.9216_0\
O2 - BHO: (JQSIEStartDetectorImpl Class) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - Reg Error: Value error. File not found
O16 - DPF: {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} Dostępne tylko dla zarejestrowanych użytkowników (BitDefender QuickScan Control)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} Dostępne tylko dla zarejestrowanych użytkowników (MUWebControl Class)
[2013-03-06 16:03:38 | 018,980,560 | ---- | C] (COMODO) -- C:\cmdinstall.exe
[2013-03-04 16:18:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karol2\Dane aplikacji\ArcaVirMicroScan
[2013-03-04 15:12:19 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2013-02-27 18:49:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karol2\Dane aplikacji\PriceGong
[2013-02-26 18:31:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karol2\Ustawienia lokalne\Dane aplikacji\Conduit
[2013-02-26 18:30:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karol2\Ustawienia lokalne\Dane aplikacji\Xfire_New
[2013-02-22 20:48:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\TuneUp Software
[2013-02-22 20:46:36 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karol2\Dane aplikacji\TuneUp Software
[2013-02-22 20:45:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software
[2013-02-22 20:45:17 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
[2013-02-22 20:39:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karol2\Dane aplikacji\OpenCandy
[2012-03-16 18:24:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2013-02-10 10:05:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Registry Recycler
[2013-02-22 20:47:54 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software
[2013-02-22 20:45:17 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
[2013-03-04 16:18:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karol2\Dane aplikacji\ArcaVirMicroScan

:Files
C:\Program Files\Google\Update
C:\WINDOWS\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL.

[Dungones]

Kolejne długie listy:

To co wyskoczyło od razu po restarcie:
Dostępne tylko dla zarejestrowanych użytkowników

AdwCleaner z opcją usuwania:
Dostępne tylko dla zarejestrowanych użytkowników

Nowe logi OTL:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
CHR - Extension: Skype Click to Call = C:\Documents and Settings\Karol2\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\5.9.0.9216_0\

:Services
gupdate
gupdatem

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[Dungones]

Lista logów z OTL po usunięciu:

Dostępne tylko dla zarejestrowanych użytkowników

Log z programu:
Dostępne tylko dla zarejestrowanych użytkowników

Dodałem tam również raport z antywirusa który kilka minut temu odkrył wirusa, który wczoraj przy pełnym skanowaniu nie został wykryty.

[kominekl]

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AppMgmt
DragonUpdater
Microsoft SharePoint Workspace Audit Service
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32

Wszystko z frazą -> File Not Found.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

Logi.

Następnie podajesz nowe logi z OTL.

[Dungones]

Kolejne logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników

-- 08 mar 2013, 19:48 --

Coś nie tak z tymi logami?

[kominekl]

Kolejne logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników

-- 08 mar 2013, 19:48 --

Coś nie tak z tymi logami?

W Autoruns da się jeszcze usunąć część wpisów. To się zdarza . spróbuj ponownie w trybie awaryjnym .

[Dungones]

Nowe logi z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Jeśli chodzi o Task Scheduler to tutaj, comodo nie daje się wyłączyć może dlatego, że to antywirus.