Hijack prosba o sprawdzenie loga

Dla specjalistów Bezpieczeństwo
#1

Moj log czy ktos mi moze pomoc co mam zrobic zeby usunac ten syf?

Logfile of HijackThis v1.99.0

Scan saved at 00:43:25, on 2005-02-08

Platform: Windows 2000 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\telcmd.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\System32\hicom.exe

C:\WINNT\System32\hiden.exe

C:\WINNT\System32\ieexec.exe

C:\WINNT\System32\internat.exe

C:\Documents and Settings\ErokAi\Dane aplikacji\pceb.exe

C:\WINNT\System32\w?auclt.exe

C:\Program Files\Realtek\Rtl8180\RtlWake.exe

C:\WINNT\system32\rundll32.exe

C:\Program Files\Winamp\winamp.exe

C:\WINNT\explorer.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\ErokAi\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.allwebsearcher.com/1211.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allwebsearcher.com/1211.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.allwebsearcher.com/1211.htm

F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\system32_tmp0234.exe

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O2 - BHO: (no name) - {0A36C849-23D2-0D5A-8E0F-2C27C2E1BEB3} - C:\WINNT\System32\liklym.dll

O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM…\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe

O4 - HKLM…\Run: [mTvwx] C:\WINNT\System32\nipnmz.exe

O4 - HKLM…\Run: [startup] C:\WINNT\System32\winlogon32.exe

O4 - HKLM…\Run: [hiden.exe] hiden.exe

O4 - HKLM…\Run: [desktop] C:\WINNT\System32\desktop.exe

O4 - HKLM…\Run: [regcheck] C:\WINNT\system32_tmp0234.exe

O4 - HKLM…\Run: [ieexec.exe] ieexec.exe

O4 - HKLM…\RunServices: [desktop] C:\WINNT\System32\desktop.exe

O4 - HKLM…\RunServices: [mTvwx] C:\WINNT\System32\nipnmz.exe

O4 - HKCU…\Run: [internat.exe] internat.exe

O4 - HKCU…\Run: [Nbsr] C:\Documents and Settings\ErokAi\Dane aplikacji\pceb.exe

O4 - HKCU…\Run: [Dptqaid] C:\WINNT\System32\w?auclt.exe

O4 - Global Startup: RtlWake.lnk = C:\Program Files\Realtek\Rtl8180\RtlWake.exe

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

O4 - Global Startup: PrecisionTime.lnk = C:\Program Files\PrecisionTime\PrecisionTime.exe

O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML

O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll

O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll

O23 - Service: Usługa administracyjna Menedżera dysków logicznych - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Manageer Network Connections - Unknown - C:\WINNT\System32\telcmd.exe

O23 - Service: Working Network Connections - Unknown - C:\WINNT\System32\hicom.exe

Asterisk :twisted:

#2

Do usunięcia w trybie awaryjnym:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.allwebsearcher.com/1211.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allwebsearcher.com/1211.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.allwebsearcher.com/1211.htm

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM…\Run: [ieexec.exe] ieexec.exe

O4 - HKCU…\Run: [Nbsr] C:\Documents and Settings\ErokAi\Dane aplikacji\pceb.exe

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe

Zastanawiają mnie to ale poczekaj na opinie które to potwierdzą (narazie nie kasuj)

O2 - BHO: (no name) - {0A36C849-23D2-0D5A-8E0F-2C27C2E1BEB3} - C:\WINNT\System32\liklym.dll

O4 - HKLM…\Run: [mTvwx] C:\WINNT\System32\nipnmz.exe

O4 - HKLM…\Run: [hiden.exe] hiden.exe

O4 - HKLM…\Run: [startup] C:\WINNT\System32\winlogon32.exe

O4 - HKLM…\RunServices: [mTvwx] C:\WINNT\System32\nipnmz.exe

#3

Usunalem wszystko ale nadal wyskakuje ta stronka"http://www.allwebsearcher.com/1211.htm "…podczas wczytywania widac ze pobiera jakis plik z winnt\system32 ale nie widac calej sciezki bo szybko znika…trzeba chyba jeszcze cos usunac ale co;/

#4

Zrobiłeś tak jak jest napisane.

#5

:o :o :o

Wow ale masz tego. Najszybciej i najpewniej bedzie sie uporac z tym formatujac dysk i reinstalujac windowsa. Jak chcesz sie bawic to poinstaluj programy antywirusowe i antyspywareowe i przeskanuj nimi komp.

Moge polecic: cwsshredder, ad-aware lub spyboot S&D, mks-vir, najnowsza szczepionke firmy g-data

To co zostanie pokasuj recznie w trybie awaryjnym, lecz na wszelki wypadek rob kopie bezpieczenstwa tych plikow i rejestru.

Na wypadek jakichs problemow przydal by sie MINIWIN czyli mini live Windows XP botowalny z plyty. Mozna go zrobic samemu o ile sie ma orginalnego Windowsa XP lub 2003. Poszukaj w google na temat Bart’s PE Builder.

Tu kilka najgorszych wpisow z automatycznego analizatora logow http://www.hijackthis.de :

C:\WINNT\System32\ieexec.exe Nasty

Nasty running process. (ieexec.exe)

Added as a result of the ALADINZ.N VIRUS! This is a nasty process! You should fix it and try to delete it manually!

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.allwebsearcher.com/1211.htm Nasty

Nasty This entry should be fixed by HijackThis! This entry should be fixed by HijackThis!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allwebsearcher.com/1211.htm Nasty

Nasty This entry should be fixed by HijackThis! This entry should be fixed by HijackThis!

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.allwebsearcher.com/1211.htm Nasty

Nasty This entry should be fixed by HijackThis! This entry should be fixed by HijackThis!

O1 - Hosts: 69.20.16.183 auto.search.msn.com Nasty

Nasty This entry should be fixed immediately! Must be fixed!

O1 - Hosts: 69.20.16.183 search.netscape.com Nasty

Nasty This entry should be fixed immediately! Must be fixed!

O1 - Hosts: 69.20.16.183 ieautosearch Nasty

Nasty This entry should be fixed immediately! Must be fixed!

O1 - Hosts: 69.20.16.183 ieautosearch Nasty

Nasty This entry should be fixed immediately! Must be fixed!

O4 - HKLM…\Run: [hiden.exe] hiden.exe Possibly nasty

Possibly nasty

Hit rate: 6 % (result) It seems that the name of this program is the same as the name of the file. In the most cases this is the result of trojans. To be sure, you should check this file.

O4 - HKLM…\Run: [ieexec.exe] ieexec.exe Nasty

Nasty Added as a result of the ALADINZ.N VIRUS!

Hit rate: 50 % (result) Must be fixed!

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe Nasty

Nasty Gator spyware variant. See Gator

Hit rate: 89 % (result) Must be fixed!

O4 - Global Startup: Date Manager.lnk = C:\Program Files\Date Manager\DateManager.exe Nasty

Nasty Date Manager - calender program. Spyware/adware based provided by The Gator Corporation

Hit rate: 85 % (result) Must be fixed!

O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll Nasty

Nasty This entry should not be fixed! Your best bet to repair it is to try the LSPFix from Cexx.org. Check your hard disc drive with Spybot S&D from Kolla.de or LSPFix from Cexx.org.

O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll Nasty

Nasty This entry should not be fixed! Your best bet to repair it is to try the LSPFix from Cexx.org. Check your hard disc drive with Spybot S&D from Kolla.de or LSPFix from Cexx.org.

O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll Nasty

Nasty This entry should not be fixed! Your best bet to repair it is to try the LSPFix from Cexx.org. Check your hard disc drive with Spybot S&D from Kolla.de or LSPFix from Cexx.org.

O10 - Unknown file in Winsock LSP: c:\winnt\system32\aklsp.dll Nasty

Nasty This entry should not be fixed! Your best bet to repair it is to try the LSPFix from Cexx.org. Check your hard disc drive with Spybot S&D from Kolla.de or LSPFix from Cexx.org.

#6

Co to za porada :shock:

A za dwa dni będzie to samo .

Baniak a zrobiłeś dokładnie to co poradzili koledzy?

Czyli przywracanie systemu wyłączone ?

#7

Radze nie używać tego analizatora często sie myli.

A ty gzehoo jeżeli nie potrafisz odczytać loga to lepiej nie podawaj co kto ma usunąć.

#8

zgadzam sie i podpisuje obiema rekami.Analizator zupelnie nie radzi sobie z poskimi wpisami ,adresami, czasami" ostrzega" o prawidlowym wpisie np.MKS i uwaza go za bład.Nie polecam osobom malo obeznanym

:slight_smile:

#9

W trybie awaryjnym + Wyłączone przywracanie systemu.

Usuwasz:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.allwebsearcher.com/1211.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.allwebsearcher.com/1211.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.allwebsearcher.com/1211.htm

Zastanawia mnie to: [spróbuj usunąć]

F2 - REG:system.ini: Shell=explorer.exe C:\WINNT\system32_tmp0234.exe

Usuń:

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM…\Run: [ieexec.exe] ieexec.exe

O4 - HKCU…\Run: [Nbsr] C:\Documents and Settings\ErokAi\Dane aplikacji\pceb.exe

O2 - BHO: (no name) - {0A36C849-23D2-0D5A-8E0F-2C27C2E1BEB3} - C:\WINNT\System32\liklym.dll

O4 - HKLM…\Run: [hiden.exe] hiden.exe

Znasz ? /NIE/usuwasz POCZEKAJ PRZEANALIZUJE TE PROCESY.

O4 - HKLM…\Run: [mTvwx] C:\WINNT\System32\nipnmz.exe

O4 - HKLM…\RunServices: [mTvwx] C:\WINNT\System32\nipnmz.exe

Ściągasz program LSP-Fix:

http://www.cexx.org/lspfix.htm

I usuwasz z niego DLL:

aklsp.dll

Opis Tutaj:

http://www.searchengines.pl/phpbb203/ht … opic=12510

Nautic

Usuń w takim razie:

O4 - HKLM…\Run: [startup] C:\WINNT\System32\winlogon32.exe

Windows Worms Doors Cleaner v1.4.1 - zamykasz wszystkie porty w tym programie

Nie widzę, żadnego Firewalla - zainstaluj chociaż Kerio [www.dobreprogramy.com]

__________________________________________

PÓŹNIEJ WSZYSTKIE SKANERY Z :

http://forum.dobreprogramy.com/viewtopic.php?t=17671

I JESZCZE RAZ LOG HIJACKTHIS !

[Zainstaluj Sp2 i łatki z Windows update.]

_____________________________________________

Po daniu 2 log’a HijackThis zainstaluj jakiegoś Antywirusa!

F-Secure:

http://www.f-secure.pl/main.php

NOD32

http://www.nod32.pl/

NortonAntywirus itp.

#10

hM…zaraz sprobuje usunac te co mi podaliscie i zobaczymy co sie stanie…ale pewnie nic to nie da…;/

hM…gdzie to sie wylacza w tym programie czy gdzies w windowsie…?

#11

Panel sterowania>>>system>>>Przywracanie systemu