Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    log z hijackthis

    IP: *.jgora.dialog.net.pl 23.03.06, 20:08
    Logfile of HijackThis v1.99.1
    Scan saved at 20:07:24, on 2006-03-23
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\netddesrv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\win32ssr.exe
    C:\WINDOWS\System32\mssvcc.exe
    C:\WINDOWS\System32\lup.exe
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    D:\hijackthis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    google.pl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O1 - Hosts: 65.254.45.2 www.halifax-online.co.uk
    O1 - Hosts: 65.254.45.2 ibank.barclays.co.uk
    O1 - Hosts: 65.254.45.2 online.lloydstsb.co.uk
    O1 - Hosts: 65.254.45.2 online-business.lloydstsb.co.uk
    O1 - Hosts: 65.254.45.2 www.ukpersonal.hsbc.co.uk
    O1 - Hosts: 65.254.45.2 banesnet.banesto.es
    O1 - Hosts: 65.254.45.2 extranet.banesto.es
    O1 - Hosts: 65.254.45.2 ebanking.bccbrescia.it
    O1 - Hosts: 65.254.45.2 www.bankofscotlandhalifax-online.co.uk
    O1 - Hosts: 65.254.45.2 oi.cajamadrid.es
    O1 - Hosts: 65.254.45.2 bancae.caixapenedes.com
    O1 - Hosts: 65.254.45.2 banking.postbank.de
    O1 - Hosts: 65.254.45.2 meine.deutsche-bank.de
    O1 - Hosts: 65.254.45.2 myonlineaccounts2.abbeynational.co.uk
    O1 - Hosts: 65.254.45.2 ibank.cahoot.com
    O1 - Hosts: 65.254.45.2 webbank.openplan.co.uk
    O1 - Hosts: 65.254.45.2 bancopostaonline.poste.it
    O1 - Hosts: 65.254.45.2 mybank.bybank.it
    O1 - Hosts: 65.254.45.2 ibank.internationalbanking.barclays.com
    O1 - Hosts: 65.254.45.2 welcome7.co-operativebank.co.uk
    O1 - Hosts: 65.254.45.2 welcome11.co-operativebankonline.co.uk
    O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program
    Files\GetRight\xx2gr.dll
    O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
    O4 - HKLM\..\Run: [secures23] lup.exe
    O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe
    O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32
    \NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
    O4 - HKLM\..\RunServices: [secures23] lup.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program
    Files\GetRight\getright.exe
    O8 - Extra context menu item: Download with GetRight - C:\Program
    Files\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Program
    Files\GetRight\GRbrowse.htm
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
    C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
    00aa003c157a} - C:\WINDOWS\web\related.htm
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E0588DB7-EA4A-4AE7-B385-
    99175D1317B2}: NameServer = 217.30.129.149,217.30.137.200
    O17 - HKLM\System\CS1\Services\Tcpip\..\{E0588DB7-EA4A-4AE7-B385-
    99175D1317B2}: NameServer = 217.30.129.149,217.30.137.200
    O17 - HKLM\System\CS2\Services\Tcpip\..\{E0588DB7-EA4A-4AE7-B385-
    99175D1317B2}: NameServer = 217.30.129.149,217.30.137.200
    O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32
    \netddesrv.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
    C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Performance True Type Font (PerfFont) - Unknown owner -
    C:\WINDOWS\System32\perfont.exe
    O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe

    Obserwuj wątek
      • Gość: k Re: log z hijackthis IP: *.warszawa.sdi.tpnet.pl 23.03.06, 20:24
        Piracki windows, a wiec zamykanie portow + sp z przyklejonego postu.
        Zmiana przegladarki na Opere lub FF i nie probuj nawet uzywac IE.

        W menadzerze zadan:
        C:\WINDOWS\System32\mssvcc.exe
        C:\WINDOWS\System32\lup.exe

        W hijackthis usun:
        O1 - Hosts: 65.254.45.2 www.halifax-online.co.uk
        O1 - Hosts: 65.254.45.2 ibank.barclays.co.uk
        O1 - Hosts: 65.254.45.2 online.lloydstsb.co.uk
        O1 - Hosts: 65.254.45.2 online-business.lloydstsb.co.uk
        O1 - Hosts: 65.254.45.2 www.ukpersonal.hsbc.co.uk
        O1 - Hosts: 65.254.45.2 banesnet.banesto.es
        O1 - Hosts: 65.254.45.2 extranet.banesto.es
        O1 - Hosts: 65.254.45.2 ebanking.bccbrescia.it
        O1 - Hosts: 65.254.45.2 www.bankofscotlandhalifax-online.co.uk
        O1 - Hosts: 65.254.45.2 oi.cajamadrid.es
        O1 - Hosts: 65.254.45.2 bancae.caixapenedes.com
        O1 - Hosts: 65.254.45.2 banking.postbank.de
        O1 - Hosts: 65.254.45.2 meine.deutsche-bank.de
        O1 - Hosts: 65.254.45.2 myonlineaccounts2.abbeynational.co.uk
        O1 - Hosts: 65.254.45.2 ibank.cahoot.com
        O1 - Hosts: 65.254.45.2 webbank.openplan.co.uk
        O1 - Hosts: 65.254.45.2 bancopostaonline.poste.it
        O1 - Hosts: 65.254.45.2 mybank.bybank.it
        O1 - Hosts: 65.254.45.2 ibank.internationalbanking.barclays.com
        O1 - Hosts: 65.254.45.2 welcome7.co-operativebank.co.uk
        O1 - Hosts: 65.254.45.2 welcome11.co-operativebankonline.co.uk
        O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
        O4 - HKLM\..\Run: [secures23] lup.exe
        O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe <- usun plik
        O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe <- usun plik
        O4 - HKLM\..\RunServices: [secures23] lup.exe <- usun plik
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        C:\WINDOWS\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-
        00aa003c157a} - C:\WINDOWS\web\related.htm

        Uslugi do kasacji:
        O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32
        \netddesrv.exe
        O23 - Service: Performance True Type Font (PerfFont) - Unknown owner -
        C:\WINDOWS\System32\perfont.exe
        O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe

        + skan tym co zwykle, wszystko opisane w przyklejonym.
      • barracuda7110 Re: log z hijackthis 23.03.06, 21:17
        Link do service pack 2 jest w jednym z postów w przyklejonym wątku.
      • Gość: gość Re: log z hijackthis IP: *.jgora.dialog.net.pl 23.03.06, 21:46
        starałem się sprawić by te trójkąciki stały się zielone ale u mnei jest jakoś
        inaczej O_o ,czym jest UPnP u mnie tego nie ma (albo jest i ja tego nie widze,
        ew nie umiem znaleźć)
        ===============================================================================
        "Najpierw odinstalowujesz UPnP przez Dodaj/Usuń programy
        dalej w menu po lewej klikasz => Dodaj/Usuń składniki systemu Windows dalej
        wybierasz z listy Usługi sieciowe po tym kliksz
        Szczegóły i na liście
        odznaczasz pozycje Interfejs użytkownika UPnP. Po tym zatwierdzasz OK i klikasz
        Dalej.Instalator Windows odinstaluje UPnP."
        ================================================================================
        włączam dodaj usuń programy, składniki Qindows, wybieram z listy usługi
        sieciowe i jedyne co widze to:
        -odbiornik RIP
        -uniwersalne plug and play
        -usługi simple TCP/IP

        hmmm
        • Gość: gość Re: log z hijackthis IP: *.jgora.dialog.net.pl 23.03.06, 23:33
          Ściągnąłem Opere, pokasowałem to co napisałeś, zainstalowałem ad-aware i przeskanowałem system, porty próbowałem zamknąć, ale ciągle zółte trójkąty są, zrestartowałem komputer zrobiłem ten log i oto proszę co jest znowu.

          Logfile of HijackThis v1.99.1
          Scan saved at 23:25:52, on 2006-03-23
          Platform: Windows XP (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 (6.00.2600.0000)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\Explorer.EXE
          C:\WINDOWS\system32\spoolsv.exe
          C:\WINDOWS\System32\netddesrv.exe
          C:\WINDOWS\System32\nvsvc32.exe
          C:\Program Files\Winamp\winampa.exe
          C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
          C:\Program Files\Messenger\msmsgs.exe
          C:\WINDOWS\System32\RUNDLL32.EXE
          C:\Program Files\Gadu-Gadu\gg.exe
          C:\WINDOWS\System32\vmmon32.exe
          C:\Program Files\GetRight\getright.exe
          C:\Program Files\GetRight\getright.exe
          C:\Program Files\Opera\Opera.exe
          D:\hijackthis\HijackThis.exe

          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.pl/
          R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
          F2 - REG:system.ini: UserInit=userinit.exe
          O1 - Hosts: 65.254.45.2 www.halifax-online.co.uk
          O1 - Hosts: 65.254.45.2 ibank.barclays.co.uk
          O1 - Hosts: 65.254.45.2 online.lloydstsb.co.uk
          O1 - Hosts: 65.254.45.2 online-business.lloydstsb.co.uk
          O1 - Hosts: 65.254.45.2 www.ukpersonal.hsbc.co.uk
          O1 - Hosts: 65.254.45.2 banesnet.banesto.es
          O1 - Hosts: 65.254.45.2 extranet.banesto.es
          O1 - Hosts: 65.254.45.2 ebanking.bccbrescia.it
          O1 - Hosts: 65.254.45.2 www.bankofscotlandhalifax-online.co.uk
          O1 - Hosts: 65.254.45.2 oi.cajamadrid.es
          O1 - Hosts: 65.254.45.2 bancae.caixapenedes.com
          O1 - Hosts: 65.254.45.2 banking.postbank.de
          O1 - Hosts: 65.254.45.2 meine.deutsche-bank.de
          O1 - Hosts: 65.254.45.2 myonlineaccounts2.abbeynational.co.uk
          O1 - Hosts: 65.254.45.2 ibank.cahoot.com
          O1 - Hosts: 65.254.45.2 webbank.openplan.co.uk
          O1 - Hosts: 65.254.45.2 bancopostaonline.poste.it
          O1 - Hosts: 65.254.45.2 mybank.bybank.it
          O1 - Hosts: 65.254.45.2 ibank.internationalbanking.barclays.com
          O1 - Hosts: 65.254.45.2 welcome7.co-operativebank.co.uk
          O1 - Hosts: 65.254.45.2 welcome11.co-operativebankonline.co.uk
          O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
          O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
          O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
          O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
          O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
          O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
          O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
          O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
          O4 - HKLM\..\Run: [Printer] C:\WINDOWS\System32\vmmon32.exe
          O4 - HKLM\..\RunServices: [Printer] C:\WINDOWS\System32\vmmon32.exe
          O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
          O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
          O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
          O4 - HKCU\..\Run: [Printer] C:\WINDOWS\System32\vmmon32.exe
          O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
          O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
          O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
          O17 - HKLM\System\CCS\Services\Tcpip\..\{E0588DB7-EA4A-4AE7-B385-99175D1317B2}: NameServer = 217.30.129.149,217.30.137.200
          O17 - HKLM\System\CS1\Services\Tcpip\..\{E0588DB7-EA4A-4AE7-B385-99175D1317B2}: NameServer = 217.30.129.149,217.30.137.200
          O17 - HKLM\System\CS2\Services\Tcpip\..\{E0588DB7-EA4A-4AE7-B385-99175D1317B2}: NameServer = 217.30.129.149,217.30.137.200
          O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe
          O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


          Teraz pokasowałem to znowu, ale ten NetDDE Server ciągle wraca!
          • Gość: G54 Re: log z hijackthis IP: *.acn.waw.pl 24.03.06, 01:16
            Zainstaluj SP2 i poprawki z windowsupdate.
          • Gość: k Re: log z hijackthis IP: *.warszawa.sdi.tpnet.pl 24.03.06, 01:45
            Zainstaluj avast i przeskanuj caly dysk.

            W menadzerze zadan zakoncz:
            C:\WINDOWS\System32\vmmon32.exe

            F2 - REG:system.ini: UserInit=userinit.exe <- sprawdz plik skanerem plikow do
            ktorego link podalem w przyklejonym poscie i napisz czy cos znalazl, ale pliku
            nie usuwaj!

            Do kasacji:
            O1 - Hosts: 65.254.45.2 www.halifax-online.co.uk
            O1 - Hosts: 65.254.45.2 ibank.barclays.co.uk
            O1 - Hosts: 65.254.45.2 online.lloydstsb.co.uk
            O1 - Hosts: 65.254.45.2 online-business.lloydstsb.co.uk
            O1 - Hosts: 65.254.45.2 www.ukpersonal.hsbc.co.uk
            O1 - Hosts: 65.254.45.2 banesnet.banesto.es
            O1 - Hosts: 65.254.45.2 extranet.banesto.es
            O1 - Hosts: 65.254.45.2 ebanking.bccbrescia.it
            O1 - Hosts: 65.254.45.2 www.bankofscotlandhalifax-online.co.uk
            O1 - Hosts: 65.254.45.2 oi.cajamadrid.es
            O1 - Hosts: 65.254.45.2 bancae.caixapenedes.com
            O1 - Hosts: 65.254.45.2 banking.postbank.de
            O1 - Hosts: 65.254.45.2 meine.deutsche-bank.de
            O1 - Hosts: 65.254.45.2 myonlineaccounts2.abbeynational.co.uk
            O1 - Hosts: 65.254.45.2 ibank.cahoot.com
            O1 - Hosts: 65.254.45.2 webbank.openplan.co.uk
            O1 - Hosts: 65.254.45.2 bancopostaonline.poste.it
            O1 - Hosts: 65.254.45.2 mybank.bybank.it
            O1 - Hosts: 65.254.45.2 ibank.internationalbanking.barclays.com
            O1 - Hosts: 65.254.45.2 welcome7.co-operativebank.co.uk
            O1 - Hosts: 65.254.45.2 welcome11.co-operativebankonline.co.uk
            O4 - HKLM\..\Run: [Printer] C:\WINDOWS\System32\vmmon32.exe <- plik do kasacji.
            O4 - HKLM\..\RunServices: [Printer] C:\WINDOWS\System32\vmmon32.exe
            O4 - HKCU\..\Run: [Printer] C:\WINDOWS\System32\vmmon32.exe
            O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32
            \netddesrv.exe <- po usunieciu usuwasz plik.

            Do tego zrob skan przy pomocy ewido i spysweepera.
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin