Czy to było włamanie?

Ja-shu · 16 Maj 2005 17:53

Dizsiaj komp zaczal sie dziwnie zachowywac - wieszał sie itd… wszedłem w system32 i znalazłem plik ntsdd.txt a w nim:

user nettraf

fkIeXmd

binary

get ntolesvc32.exe

quit

:hmmm: nie wiem co mam o tym myslec …

znaleziony rowniez plik ntolesvc32.exe usunąłem …

do tego dorzucam jeszcze pojawiające sie spools.exe :evil:

detektyw · 16 Maj 2005 18:02

daj loga z hijacka 8)

Gutek · 16 Maj 2005 18:03

Pobierz hijackthis 1.99.1 i zrób log przez naciśnięcie “Do a system scan and save a logfile”, zapisz ten log np. na pulpicie, a zawartość skopiuj i wklej na forum

Ja-shu · 16 Maj 2005 18:25

wystarczylo napisac wklej loga z HiJacka

Logfile of HijackThis v1.99.1

Scan saved at 20:25:47, on 2005-05-16

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE

C:\Program Files\AVPersonal\AVGNT.EXE

C:\Program Files\Ad-aware 6\Ad-watch.exe

C:\Program Files\AVPersonal\AVGUARD.EXE

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Total commander\TOTALCMD.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\Progzy\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://o2.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll

O2 - BHO: (no name) - {D5378675-05F9-6351-CCED-66EDFEA675A3} - C:\WINDOWS\System32\qcvn.dll

O2 - BHO: (no name) - {E51AB604-28CF-2565-E1DD-56C0CD9658E0} - C:\WINDOWS\System32\qcvn.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll

O4 - HKLM…\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P23 “EPSON Stylus C45 Series” /O6 “USB001” /M “Stylus C45”

O4 - HKLM…\Run: [AVGCtrl] C:\Program Files\AVPersonal\AVGNT.EXE /min

O4 - HKLM…\Run: [Ad-watch] C:\Program Files\Ad-aware 6\Ad-watch.exe

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_22.cab

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE

Kyniu6 · 16 Maj 2005 18:45

Niewiem co do tego:

Ale ogólnie log wydaje się czysty

PS. Nie usuwaj narazie tego bo niewiem co to ;D

boczi · 16 Maj 2005 18:55

Znajdź na dysku qcvn.dll. Usuń.

Google o tym nic nie mówią. Zapewne to losowa nazwa jakiegoś syfu.

Zrób potem skan skanerami on-line, skorzystaj z programów anty, pobierz wszystkie łatki z http://www.windowsupdate.com, a w szczególności zainstaluj SP2.

Johny · 16 Maj 2005 19:20

Bez zabezpieczeń stale będziesz łapał trojany i to one mogą odstawiac cuda na kompie

Gutek · 16 Maj 2005 21:09

Pocket Killbox Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę C:\WINDOWS\System32\qcvn.dll Program poprosi o reset kompa … czyli resetujesz.

Oczywiście zmień przegądarkę i uaktualnij XP oraz zainstaluj firewalla