Czy to trojan?


(antiferno) #1

Ostatnio Comodo pokazuje mi w połaczeniach "SYSTEM" :expressionless:

i jak np teraz

Bytes In : 104 818Kb

Out: 0

:expressionless:

Log z Hj

Logfile of HijackThis v1.99.1

Scan saved at 17:18:25, on 2007-09-23

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

F:\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

F:\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

F:\Comodo\Firewall\CPF.exe

F:\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\VM303_STI.EXE

F:\Clock Tray Skins\ClockTraySkins.exe

F:\SAGEM\SAGEM F@st 800-840\dslmon.exe

F:\AntiVir PersonalEdition Classic\sched.exe

F:\Comodo\Firewall\cmdagent.exe

C:\WINDOWS\system32\svchost.exe

F:\Konnekt\konnekt.exe

F:\Opera\Opera.exe

E:\instalki\#Protect\malware spyware itp\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

R3 - Default URLSearchHook is missing

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [COMODO Firewall Pro] "F:\Comodo\Firewall\CPF.exe" /background

O4 - HKLM\..\Run: [avgnt] "F:\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKCU\..\Run: [SkinClock] F:\Clock Tray Skins\ClockTraySkins.exe

O4 - HKCU\..\Run: [Konnekt] "F:\Konnekt\konnekt.exe" /autostart

O4 - Global Startup: DSLMON.lnk = F:\SAGEM\SAGEM F@st 800-840\dslmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\jre1.6.0_02\bin\ssv.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{298EACEA-34BF-4B45-B2D3-C9DBB60B3405}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{298EACEA-34BF-4B45-B2D3-C9DBB60B3405}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - F:\Comodo\Firewall\cmdagent.exe

(jessica) #2

Sfiksuj ten pusty wpis:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Log jest czysty.

Możesz dać jeszcze log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi


(antiferno) #3

po uruchomieniu tego avira zaczal krzyczec o pojawieniu sie wirusa - -'

Złączono Posta : 23.09.2007 (Nie) 17:46

http://wklej.org/id/d7b746e2f9


(jessica) #4

Ten pendrive nie wygląda na będący w porządku.

Nic tu więcej podejrzanego nie widzę.

EDIT:

Możesz jeszcze, na wszelki wypadek, użyć -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

jessi


(antiferno) #5
SDFix: Version 1.107


Run by 696 on 2007-09-23 at 18:07


Microsoft Windows XP [Wersja 5.1.2600]


Running From: C:\SDFix


Safe Mode:

Checking Services: 



Restoring Windows Registry Values

Restoring Windows Default Hosts File

Restoring Missing Security Center Service 


Rebooting...



Normal Mode:

Checking Files: 


No Trojan Files Found





Removing Temp Files...


ADS Check:


C:\WINDOWS

No streams found. 


C:\WINDOWS\system32

No streams found. 


C:\WINDOWS\system32\svchost.exe

No streams found.


C:\WINDOWS\system32\ntoskrnl.exe

No streams found.




                                 Final Check:


Remaining Services:

------------------





Authorized Application Key Export:


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]


Remaining Files:

---------------



Files with Hidden Attributes:



Finished!

ten od pena usunalem ...


(Gutek) #6

Już powinno być ok


(antiferno) #7

no w tej chwili nie pokazuje nic ... ale to raz bylo raz nie ...

zobaczymy za jakis czas jak cos to napisze ;]

Złączono Posta : 25.09.2007 (Wto) 8:39

i znów sie to pojawilo ... :expressionless:

Złączono Posta : 25.09.2007 (Wto) 16:20

pokazuje połaczenie

Source : 10.0.0.2

Destination: mój ip

ocb?