Dodaj do ulubionych

Proszę o sprawdzenie loga

IP: *.neoplus.adsl.tpnet.pl 13.07.06, 00:46
Chyba CWS ale shreder twierdzi że jest OK. Dodatkowo niejakie Pipas ciągle
wyłazi /ten problem już był na forum ale z wątku nie wynika jak to się
skończyło/


log

Logfile of HijackThis v1.99.1
Scan saved at 00:39:54, on 2006-07-13
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\M-Audio Ozone\Install\Ozinst.exe
H:\WINDOWS\System32\wdfmgr.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
H:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
H:\Program Files\MSN Toolbar Suite\DS\02.00.0001.1203\en-us\bin\msnlAdmin.exe
H:\WINDOWS\System32\devldr32.exe
H:\Program Files\MSN Toolbar Suite\DS\02.00.0001.1203\en-us\bin\msnindex.exe
H:\Program Files\MSN Toolbar Suite\DS\02.00.0001.1203\en-us\bin\MSNGather.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\WinRAR\WinRAR.exe
H:\DOCUME~1\TOMO!\USTAWI~1\Temp\Rar$EX00.187\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
O4 - HKLM\..\Run: [Zone Labs Client] H:\Program Files\Zone
Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "H:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Program Files\Common
Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = H:\Program Files\SAGEM\SAGEM F@st 800-840
\dslmon.exe
O4 - Global Startup: MSN Desktop Search.lnk = H:\Program Files\MSN Toolbar
Suite\DS\02.00.0001.1203\en-us\bin\msnlAdmin.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111830621749
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} -
www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C1E68FC-BD5C-4DE0-AFDD-
230A77270E37}: NameServer = 85.255.113.150 85.255.112.106
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
H:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - H:\Program
Files\M-Audio Ozone\Install\Ozinst.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
Dzięki z góry za rady i pozdrawiam
Jacek

Edytor zaawansowany
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 13.07.06, 01:08
    Masz piracki windows bez aktualizacji wiec dlaczego uzywasz IE?! Zamknij porty
    w wwdc.exe (opis w przyklejonym poscie), do tego zainstaluj Opere lub Firefox'a
    i nie uzywaj wiecej IE.
    Odinstaluj MSN Toolbar Suite o ile nie uzywasz.

    Uzyj:
    downloads.subratam.org/Fixwareout.exe
    Log z usuwania wklej na forum.

    W hjs usun:
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O17 - HKLM\System\CCS\Services\Tcpip\..\{8C1E68FC-BD5C-4DE0-AFDD-
    230A77270E37}: NameServer = 85.255.113.150 85.255.112.106

    Na koniec zrob skan przy pomocy ewido (link w przyklejonym).
  • Gość: mamdość IP: *.neoplus.adsl.tpnet.pl 14.07.06, 22:25
    Witaj Kolobos dzięki za rady
    zrobiłem jak napisałeś, pozamykałem porty a na koniec evido wykrył 3 trojany w
    tym backdoora i kupę smiecia ( nie widział ich ani spuboot ani advare ani
    skanery on- line - pccilin coś tam mamrotał ale mało skutecznie).
    oto log z usuwania:
    Fixwareout ver 1.003
    Last edited 07/1/2006
    Post this report in the forums please

    Reg Entries that were deleted
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\gbamd
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\nlcalik
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
    ...

    Random Runs removed from HKLM
    "dmabg.exe"=-
    ...

    PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS
    LEAVE THEM ALONE.
    Example ipsec6.exe is legitimate

    »»»»» Search by size and names...
    * csr.exe H:\WINDOWS\System32\CSETB.EXE

    »»»»» Misc files

    »»»»» Checking for older varients covered by the Rem3 tool

    »»»»»
    Search five digit cs, dm and jb files
    This WILL/CAN also list Legit Files, Submit them at Virustotal
    H:\WINDOWS\SYSTEM32\CSETB.EXE 51 242 2006-06-06
    H:\WINDOWS\SYSTEM32\DMABG.EXE 44 127 2001-10-26
    H:\WINDOWS\SYSTEM32\DMTTH.EXE 44 045 2001-10-26
    Other suspects
    Directory of H:\WINDOWS\system32

    Czuję się bezpieczniej i gogle nie przekierowuje mnie na szarawe ekrany
    wyszukiwarek sexu :)
    Pozdrowienia dla wszystkich
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 14.07.06, 22:34
    Usun z dysku te pliki:
    H:\WINDOWS\SYSTEM32\CSETB.EXE
    H:\WINDOWS\SYSTEM32\DMABG.EXE
    H:\WINDOWS\SYSTEM32\DMTTH.EXE
  • Gość: mamdość IP: *.neoplus.adsl.tpnet.pl 14.07.06, 23:54
    Usunięte
    DMABG.EXE nie został znaleziony
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 14.07.06, 23:59
    Wiec pewnie juz go nie ma, wiec ok.
  • Gość: mamdość IP: *.neoplus.adsl.tpnet.pl 15.07.06, 00:28
    jeszcze raz dzięki :))
    Jacek

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka