proszę o sprawdzenie loga?

IP: *.chello.pl 04.10.05, 17:52
Proszę rzućcie okiem czy wszystko w porządku w moim komputerku:
Logfile of HijackThis v1.99.1
Scan saved at 17:50:37, on 2005-10-04
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
D:\Program Files\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\RunDll32.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Program Files\Microsoft AntiSpyware\gcasServ.exe
D:\Program Files\QuickTime\qttask.exe
D:\Program Files\Messenger\msmsgs.exe
D:\WINDOWS\System32\ctfmon.exe
D:\WINDOWS\System32\RUNDLL32.EXE
D:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
D:\Program Files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Program Files\Outlook Express\msimn.exe
D:\WINDOWS\System32\wuauclt.exe
D:\Program Files\Gadu-Gadu\gg.exe
D:\Program Files\Alwil Software\Avast4\ashSimpl.exe
D:\Documents and Settings\x\Ustawienia lokalne\Temp\Katalog tymczasowy 8 dla
hijackthis_199.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
D:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [gcasServ] "D:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe"
-atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE
D:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE
D:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = D:\Program Files\Adobe\Acrobat
5.0\Distillr\AcroTray.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = D:\Program Files\Common
Files\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .pdf: D:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: D:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O20 - Winlogon Notify: avpu32 - D:\WINDOWS\SYSTEM32\avpu32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodesk Licensing Service - Autodesk - D:\Program Files\Common
Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil
Software\Avast4\ashServ.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Program
Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
D:\WINDOWS\System32\nvsvc32.exe

    • neder Re: proszę o sprawdzenie loga? 04.10.05, 18:53
      wygląda ok.

      PS. nie uruchamiaj HJ z katalogu tymczasowego. Utwórz gdzies oddzielny folder i
      tam go trzymaj. to i tak lepsze bo następnym razem nie będziesz musiała od nowa
      go ściagać.

      pzdr
      • Gość: Kasik Re: proszę o sprawdzenie loga? IP: *.chello.pl 04.10.05, 18:58
        dzięki Neder;))
        HJ mam w oddzielnym folderze na twardym dysku.
        Prosiłam o sprawdzenie loga, bo jakieś dziwne rzeczy sie u mnie dzieją, tzn. np
        zamyka mi się GG, czasem też autlook zaraz po uruchomieniu i nie bardzo wiem co
        jest grane. Od niedawna korzystam z Mozzili, zamiast Explorera, może tu tkwi
        problem?
    • Gość: tata1959 Re: proszę o sprawdzenie loga? IP: *.neoplus.adsl.tpnet.pl 04.10.05, 19:07
      witaj
      > O20 - Winlogon Notify: avpu32 - D:\WINDOWS\SYSTEM32\avpu32.dll
      Troj/Haxdoor-ED , www.sophos.com/virusinfo/analyses/trojhaxdoored.html
      pozdrawiam
      • neder Re: proszę o sprawdzenie loga? 04.10.05, 19:11
        sorry za pomyłkę
      • Gość: Kasik Re: proszę o sprawdzenie loga? IP: *.chello.pl 04.10.05, 19:58
        Wchodzac na podaną przez Ciebie stronę przekierowuje mnie na
        www.microsoft.com/virusinfo/analyses/trojhaxdoored.html
        nie bardzo wiem co dalej?
        z góry dziękuję za pomoc
        • Gość: tata1959 Re: proszę o sprawdzenie loga? IP: *.neoplus.adsl.tpnet.pl 04.10.05, 20:34
          witam
          tak...@neder ,spoko ja tylko czasem tu wpadam gościnnie a to jest dość nowy syfek.
          hm...@Kasik czasem trzeba pokombinować,wpisz w Google nazwę a zobaczysz ile jest
          informacji .

          pozdrawiam
        • neder Re: proszę o sprawdzenie loga? 04.10.05, 20:49
          masz z tamtej strony:

          > Summary:
          Type
          * Spyware Trojan

          Affected operating systems
          * Windows

          Side effects

          * Allows others to access the computer
          * Steals information
          * Drops more malware
          * Uses its own emailing engine
          * Reduces system security
          * Records keystrokes

          Aliases
          * Backdoor.Win32.Haxdoor.ed


          > Description:
          This section helps you to understand how it behaves

          Troj/Haxdoor-ED is a Trojan for the Windows platform.
          Troj/Haxdoor-ED is a backdoor Trojan which allows remote attackers the ability
          to gain access and control over the infected computer. The Trojan attempts to
          steal login details for WebMoney and other online accounts.



          > Advanced: (to właściwie dla Ciebie najważniejsze)
          Troj/Haxdoor-ED is a Trojan for the Windows platform.

          When run, Troj/Haxdoor-ED creates the following files in the Windows system folder:

          avpu32.dll
          avpu32.sys
          avpu64.sys
          klogini.dll
          p3.ini
          qy.sys
          qz.dll
          qz.sys

          The Trojan logs keypresses to the file klogini.dll. The p3.ini file is harmless
          and may be safely deleted. The remainder of these files are detected by Sophos's
          Anti-Virus products as Troj/Haxdoor-ED.

          Troj/Haxdoor-ED is a backdoor Trojan which allows remote attackers the ability
          to gain access and control over the infected computer. The Trojan attempts to
          steal login details for WebMoney and other online accounts.

          The following entries are created in the system registry:

          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpu32
          secureUID

          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpu32
          secureTIME

          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpu32
          DllName
          avpu32.dll

          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpu32
          Startup
          "MmAllocMap"

          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpu32
          Impersonate
          dword:00000001

          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpu32
          Asynchronous
          dword:00000001

          HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avpu32
          MaxWait
          dword:00000001

          HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpu32.sys
          (default)
          "Driver"

          HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\avpu64.sys
          (default)
          "Driver"

          HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpu32.sys
          (default)
          "Driver"

          HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avpu64.sys
          (default)
          "Driver"

          HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
          EnforceWriteProtection
          dword:00000000

          HKLM\SYSTEM\CurrentControlSet\Services\avpu32
          Type
          dword:00000001

          HKLM\SYSTEM\CurrentControlSet\Services\avpu32
          Start
          dword:00000002

          HKLM\SYSTEM\CurrentControlSet\Services\avpu32
          ErrorControl
          dword:00000000

          HKLM\SYSTEM\CurrentControlSet\Services\avpu32
          ImagePath
          "<System>\avpu32.sys"

          HKLM\SYSTEM\CurrentControlSet\Services\avpu32
          DisplayName
          "TCPIP Kernel32"

          HKLM\SYSTEM\CurrentControlSet\Services\avpu32\Security
          Security

          HKLM\SYSTEM\CurrentControlSet\Services\avpu64
          Type
          dword:00000001

          HKLM\SYSTEM\CurrentControlSet\Services\avpu64
          Start
          dword:00000001

          HKLM\SYSTEM\CurrentControlSet\Services\avpu64
          ErrorControl
          dword:00000000

          HKLM\SYSTEM\CurrentControlSet\Services\avpu64
          ImagePath
          "<System>\avpu64.sys"

          HKLM\SYSTEM\CurrentControlSet\Services\avpu64
          DisplayName
          "TCPIP Kernel"




          • Gość: Kasik Re: proszę o sprawdzenie loga? IP: *.internetdsl.tpnet.pl 06.10.05, 13:34
            Dzięki za pomoc;))
Inne wątki na temat:
Pełna wersja