antiferno
(antiferno)
23 Wrzesień 2007 15:18
#1
Ostatnio Comodo pokazuje mi w połaczeniach “SYSTEM”
i jak np teraz
Bytes In : 104 818Kb
Out: 0
Log z Hj
Logfile of HijackThis v1.99.1
Scan saved at 17:18:25, on 2007-09-23
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
F:\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
F:\Comodo\Firewall\CPF.exe
F:\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\VM303_STI.EXE
F:\Clock Tray Skins\ClockTraySkins.exe
F:\SAGEM\SAGEM F@st 800-840\dslmon.exe
F:\AntiVir PersonalEdition Classic\sched.exe
F:\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\system32\svchost.exe
F:\Konnekt\konnekt.exe
F:\Opera\Opera.exe
E:\instalki\#Protect\malware spyware itp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "F:\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [avgnt] "F:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKCU\..\Run: [SkinClock] F:\Clock Tray Skins\ClockTraySkins.exe
O4 - HKCU\..\Run: [Konnekt] "F:\Konnekt\konnekt.exe" /autostart
O4 - Global Startup: DSLMON.lnk = F:\SAGEM\SAGEM F@st 800-840\dslmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Java\jre1.6.0_02\bin\ssv.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{298EACEA-34BF-4B45-B2D3-C9DBB60B3405}: NameServer = 194.204.159.1 217.98.63.164
O17 - HKLM\System\CS1\Services\Tcpip\..\{298EACEA-34BF-4B45-B2D3-C9DBB60B3405}: NameServer = 194.204.159.1 217.98.63.164
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - F:\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - F:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - F:\Comodo\Firewall\cmdagent.exe
jessica
(jessica)
23 Wrzesień 2007 15:24
#2
Sfiksuj ten pusty wpis:
>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked .
Log jest czysty .
Możesz dać jeszcze log z ComboFix (na dole tej strony z linku) -
Log wklej na http://wklej.org/ , a w poście daj tylko link.(czyli skopiuj adres z paska adresów).
jessi
antiferno
(antiferno)
23 Wrzesień 2007 15:41
#3
po uruchomieniu tego avira zaczal krzyczec o pojawieniu sie wirusa - -’
Złączono Posta : 23.09.2007 (Nie) 17:46
http://wklej.org/id/d7b746e2f9
jessica
(jessica)
23 Wrzesień 2007 15:56
#4
Ten pendrive nie wygląda na będący w porządku.
>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK> >rozwiń ten klucz, klikają na (+): >(+)HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 >zaznacz: {2ac38ccf-5cb8-11dc-826b-806d6172696f}>>prawoklik>>usuń >zwiń ten klucz, klikając na (-).
Nic tu więcej podejrzanego nie widzę.
EDIT:
Możesz jeszcze, na wszelki wypadek, użyć -->SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym .
Pokaż Report.txt znajdujący się w folderze SDFix.
Instrukcja obsługi: Dwuklik na SDFix.exe, program wypakuje się na C:\SDFix (standardowo) Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed startem Windowsa) Wejdź do folderu z SDFix, dwuklik na plik RunThis.bat Wciśnij Y, nastąpi proces usuwania. Kiedy usuwanie się ukończy, wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania. Kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. Pokaż Report.txt znajdujący się w folderze SDFix.
jessi
antiferno
(antiferno)
23 Wrzesień 2007 16:12
#5
SDFix: Version 1.107
Run by 696 on 2007-09-23 at 18:07
Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Rebooting...
Normal Mode:
Checking Files:
No Trojan Files Found
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
Files with Hidden Attributes:
Finished!
ten od pena usunalem …
antiferno
(antiferno)
23 Wrzesień 2007 20:16
#7
no w tej chwili nie pokazuje nic … ale to raz bylo raz nie …
zobaczymy za jakis czas jak cos to napisze ;]
Złączono Posta : 25.09.2007 (Wto) 8:39
i znów sie to pojawilo …
Złączono Posta : 25.09.2007 (Wto) 16:20
pokazuje połaczenie
Source : 10.0.0.2
Destination: mój ip
ocb?