Proszę o sprawdzenie loga

IP: *.neoplus.adsl.tpnet.pl 13.07.06, 00:46
Chyba CWS ale shreder twierdzi że jest OK. Dodatkowo niejakie Pipas ciągle
wyłazi /ten problem już był na forum ale z wątku nie wynika jak to się
skończyło/


log

Logfile of HijackThis v1.99.1
Scan saved at 00:39:54, on 2006-07-13
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\csrss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Program Files\M-Audio Ozone\Install\Ozinst.exe
H:\WINDOWS\System32\wdfmgr.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
H:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
H:\Program Files\MSN Toolbar Suite\DS\02.00.0001.1203\en-us\bin\msnlAdmin.exe
H:\WINDOWS\System32\devldr32.exe
H:\Program Files\MSN Toolbar Suite\DS\02.00.0001.1203\en-us\bin\msnindex.exe
H:\Program Files\MSN Toolbar Suite\DS\02.00.0001.1203\en-us\bin\MSNGather.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\WinRAR\WinRAR.exe
H:\DOCUME~1\TOMO!\USTAWI~1\Temp\Rar$EX00.187\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
O4 - HKLM\..\Run: [Zone Labs Client] H:\Program Files\Zone
Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "H:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Program Files\Common
Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: DSLMON.lnk = H:\Program Files\SAGEM\SAGEM F@st 800-840
\dslmon.exe
O4 - Global Startup: MSN Desktop Search.lnk = H:\Program Files\MSN Toolbar
Suite\DS\02.00.0001.1203\en-us\bin\msnlAdmin.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111830621749
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} -
www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C1E68FC-BD5C-4DE0-AFDD-
230A77270E37}: NameServer = 85.255.113.150 85.255.112.106
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation -
H:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Ozone Installer (OzoneInstallerService) - Nemesis - H:\Program
Files\M-Audio Ozone\Install\Ozinst.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
Dzięki z góry za rady i pozdrawiam
Jacek

    • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.warszawa.sdi.tpnet.pl 13.07.06, 01:08
      Masz piracki windows bez aktualizacji wiec dlaczego uzywasz IE?! Zamknij porty
      w wwdc.exe (opis w przyklejonym poscie), do tego zainstaluj Opere lub Firefox'a
      i nie uzywaj wiecej IE.
      Odinstaluj MSN Toolbar Suite o ile nie uzywasz.

      Uzyj:
      downloads.subratam.org/Fixwareout.exe
      Log z usuwania wklej na forum.

      W hjs usun:
      O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
      O17 - HKLM\System\CCS\Services\Tcpip\..\{8C1E68FC-BD5C-4DE0-AFDD-
      230A77270E37}: NameServer = 85.255.113.150 85.255.112.106

      Na koniec zrob skan przy pomocy ewido (link w przyklejonym).
      • Gość: mamdość Re: Proszę o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 14.07.06, 22:25
        Witaj Kolobos dzięki za rady
        zrobiłem jak napisałeś, pozamykałem porty a na koniec evido wykrył 3 trojany w
        tym backdoora i kupę smiecia ( nie widział ich ani spuboot ani advare ani
        skanery on- line - pccilin coś tam mamrotał ale mało skutecznie).
        oto log z usuwania:
        Fixwareout ver 1.003
        Last edited 07/1/2006
        Post this report in the forums please

        Reg Entries that were deleted
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\gbamd
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\xedocne
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\gib_ogol
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\llun
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\23plhps
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\mgcppp
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\tesvaf
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\nlcalik
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\swen
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ogol
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eno
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\owt
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\eerht
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ruof
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\evif
        ...

        Random Runs removed from HKLM
        "dmabg.exe"=-
        ...

        PLEASE NOTE, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS
        LEAVE THEM ALONE.
        Example ipsec6.exe is legitimate

        »»»»» Search by size and names...
        * csr.exe H:\WINDOWS\System32\CSETB.EXE

        »»»»» Misc files

        »»»»» Checking for older varients covered by the Rem3 tool

        »»»»»
        Search five digit cs, dm and jb files
        This WILL/CAN also list Legit Files, Submit them at Virustotal
        H:\WINDOWS\SYSTEM32\CSETB.EXE 51 242 2006-06-06
        H:\WINDOWS\SYSTEM32\DMABG.EXE 44 127 2001-10-26
        H:\WINDOWS\SYSTEM32\DMTTH.EXE 44 045 2001-10-26
        Other suspects
        Directory of H:\WINDOWS\system32

        Czuję się bezpieczniej i gogle nie przekierowuje mnie na szarawe ekrany
        wyszukiwarek sexu :)
        Pozdrowienia dla wszystkich
        • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.warszawa.sdi.tpnet.pl 14.07.06, 22:34
          Usun z dysku te pliki:
          H:\WINDOWS\SYSTEM32\CSETB.EXE
          H:\WINDOWS\SYSTEM32\DMABG.EXE
          H:\WINDOWS\SYSTEM32\DMTTH.EXE
          • Gość: mamdość Re: Proszę o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 14.07.06, 23:54
            Usunięte
            DMABG.EXE nie został znaleziony
            • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.warszawa.sdi.tpnet.pl 14.07.06, 23:59
              Wiec pewnie juz go nie ma, wiec ok.
              • Gość: mamdość Re: Proszę o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 15.07.06, 00:28
                jeszcze raz dzięki :))
                Jacek
Pełna wersja