Chyba mam keyloggera

Tmekm · 27 Maj 2008 15:25

Witam od jakiegoś czasu Norton pokazuje komunikaty o zablokowaniu Downloader’a nie wiem co to jest ale skanowałem nrtonem i nic nie wykrył a później skanerem online mks vira i też nic nie wykrył :

Takie coś mam kiedy zostanie zablokowany dać log z hijackthis ?

huber2t · 27 Maj 2008 15:27

Podaj log z Hijackthis

baldys16 · 27 Maj 2008 16:17

wryu loga

Tmekm · 27 Maj 2008 16:18

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:17:48, on 2008-05-27

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\AutoConnect\AutoConnect.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\foobar2000\foobar2000.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\NppBho.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)

O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.0\UIBHO.dll

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton Internet Security\osCheck.exe"

O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{68CF7B90-E01C-4114-A123-731121532ED1}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe


--

End of file - 4694 bytes

huber2t · 27 Maj 2008 16:27

fix w hijackthis

Podaj log z Combofix

Tmekm · 27 Maj 2008 16:38

ComboFix 08-05-26.2 - Marsi 2008-05-27 18:37:23.2 - NTFSx86

huber2t · 27 Maj 2008 16:41

Log wyglada na czysty

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

Tmekm · 27 Maj 2008 17:40

-------------------------------------------------------------------------------

 KASPERSKY ONLINE SCANNER REPORT

 27 maj 2008 19:40:10

 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

 Kaspersky Online Scanner wersja: 5.0.98.0

 Ostatnia aktualizacja Kaspersky Anti-Virus27/05/2008

 Liczba wpisów w bazie danych Kaspersky Anti-Virus801536

-------------------------------------------------------------------------------


Ustawienia skanowania:

	Skanowanie przy użyciu następujących baz danych: rozszerzone

	Skanuj archiwa: tak

	Skanuj pocztowe bazy danych: tak


Obszar skanowania - Mój komputer:

	C:\

	D:\

	E:\

	F:\

	G:\


Statystyki skanowania:

	Liczba skanowanych obiektów: 36093

	Liczba wykrytych wirusów: 0

	Liczba zainfekowanych obiektów: 0

	Liczba podejrzanych obiektów: 0

	Czas trwania skanowania: 00:28:35


Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Common Client\settings.dat	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\LiveUpdate\2008-05-27_Log.ALUSchedulerSvc.LiveUpdate	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBConfig.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBDebug.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBDetect.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBNotify.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBRefr.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBSetCfg.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBSetCfg2.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBSetDev.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBSetLoc.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBSetUsr.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBStHash.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\BBValid.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\SPPolicy.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\SPStart.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SPBBC\SPStop.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtErEvt.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtETmp\03B3A334.TMP	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtETmp\AC9D6C20.TMP	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtMoEvt.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtNvEvt.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtScEvt.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtTxFEvt.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SRTSP\SrtViEvt.log	Object is locked	pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\SubEng\submissions.idx	Object is locked	pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat	Object is locked	pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT	Object is locked	pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG	Object is locked	pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat	Object is locked	pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat	Object is locked	pominięty

C:\Documents and Settings\Marsi\Cookies\index.dat	Object is locked	pominięty

C:\Documents and Settings\Marsi\NTUSER.DAT	Object is locked	pominięty

C:\Documents and Settings\Marsi\NTUSER.DAT.LOG	Object is locked	pominięty

C:\Documents and Settings\Marsi\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominięty

C:\Documents and Settings\Marsi\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominięty

C:\Documents and Settings\Marsi\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\cl96r96n.default\Cache\_CACHE_001_	Object is locked	pominięty

C:\Documents and Settings\Marsi\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\cl96r96n.default\Cache\_CACHE_002_	Object is locked	pominięty

C:\Documents and Settings\Marsi\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\cl96r96n.default\Cache\_CACHE_003_	Object is locked	pominięty

C:\Documents and Settings\Marsi\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\cl96r96n.default\Cache\_CACHE_MAP_	Object is locked	pominięty

C:\Documents and Settings\Marsi\Ustawienia lokalne\Historia\History.IE5\index.dat	Object is locked	pominięty

C:\Documents and Settings\Marsi\Ustawienia lokalne\Historia\History.IE5\MSHist012008052720080528\index.dat	Object is locked	pominięty

C:\Documents and Settings\Marsi\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat	Object is locked	pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT	Object is locked	pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG	Object is locked	pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominięty

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcrst.dll	Object is locked	pominięty

C:\Program Files\Common Files\Symantec Shared\EENGINE\EPERSIST.DAT	Object is locked	pominięty

C:\Program Files\Common Files\Symantec Shared\NFWEVT.LOG	Object is locked	pominięty

C:\Program Files\Common Files\Symantec Shared\SNDALRT.log	Object is locked	pominięty

C:\Program Files\Common Files\Symantec Shared\SNDCON.log	Object is locked	pominięty

C:\Program Files\Common Files\Symantec Shared\SNDDBG.log	Object is locked	pominięty

C:\Program Files\Common Files\Symantec Shared\SNDFW.log	Object is locked	pominięty

C:\Program Files\Common Files\Symantec Shared\SNDIDS.log	Object is locked	pominięty

C:\Program Files\Common Files\Symantec Shared\SNDSYS.log	Object is locked	pominięty

C:\Program Files\Norton Internet Security\Norton AntiVirus\AVApp.log	Object is locked	pominięty

C:\Program Files\Norton Internet Security\Norton AntiVirus\AVError.log	Object is locked	pominięty

C:\Program Files\Norton Internet Security\Norton AntiVirus\AVVirus.log	Object is locked	pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominięty

C:\WINDOWS\Debug\PASSWD.LOG	Object is locked	pominięty

C:\WINDOWS\SchedLgU.Txt	Object is locked	pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Object is locked	pominięty

C:\WINDOWS\Sti_Trace.log	Object is locked	pominięty

C:\WINDOWS\system32\CatRoot2\edb.log	Object is locked	pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb	Object is locked	pominięty

C:\WINDOWS\system32\config\ACEEvent.evt	Object is locked	pominięty

C:\WINDOWS\system32\config\AppEvent.Evt	Object is locked	pominięty

C:\WINDOWS\system32\config\default	Object is locked	pominięty

C:\WINDOWS\system32\config\default.LOG	Object is locked	pominięty

C:\WINDOWS\system32\config\Internet.evt	Object is locked	pominięty

C:\WINDOWS\system32\config\SAM	Object is locked	pominięty

C:\WINDOWS\system32\config\SAM.LOG	Object is locked	pominięty

C:\WINDOWS\system32\config\SecEvent.Evt	Object is locked	pominięty

C:\WINDOWS\system32\config\SECURITY	Object is locked	pominięty

C:\WINDOWS\system32\config\SECURITY.LOG	Object is locked	pominięty

C:\WINDOWS\system32\config\software	Object is locked	pominięty

C:\WINDOWS\system32\config\software.LOG	Object is locked	pominięty

C:\WINDOWS\system32\config\SysEvent.Evt	Object is locked	pominięty

C:\WINDOWS\system32\config\system	Object is locked	pominięty

C:\WINDOWS\system32\config\system.LOG	Object is locked	pominięty

C:\WINDOWS\system32\h323log.txt	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Object is locked	pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Object is locked	pominięty

C:\WINDOWS\wiadebug.log	Object is locked	pominięty

C:\WINDOWS\wiaservc.log	Object is locked	pominięty

C:\WINDOWS\WindowsUpdate.log	Object is locked	pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominięty


Proces skanowania został zakończony.

huber2t · 27 Maj 2008 18:26

W raporcie czysto

Powinno być ok

Tmekm · 27 Maj 2008 18:51

jak narazie nie ma zablokowanego komunikatu

Monczkin · 28 Maj 2008 11:44

Tmekm , popraw posty z logami. Inaczej otrzymasz ostrzeżenie.

viewtopic.php?f=16&t=213350