Jestem grzeczny - A LOG czeka :D


(Adi171717) #1

Wszystko zaczelo sie w tym temacie

Potem wyszlo spod kontroli...

Archiwum

Logfile of HijackThis v1.98.2

Scan saved at 22:56:12, on 2004-09-28

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Programy\Sygate\SPF\smc.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Programy\AntiVirenKit\AVKPOP.EXE

D:\Programy\A4Tech\Mouse\Amoumain.exe

D:\Programy\PESTPA~1\PPMemCheck.exe

D:\Program Files\Windows SyncroAd\SyncroAd.exe

D:\Programy\Spyware Doctor\spydoctor.exe

D:\Programy\SysInfoMyWork\SysInfoMyWork.exe

D:\Program Files\Windows SyncroAd\WinSync.exe

D:\Programy\AntiVirenKit\AVKService.exe

D:\Programy\AntiVirenKit\AVKWCtl.exe

D:\WINDOWS\System32\GEARSec.exe

E:\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

D:\Programy\Avant Browser\iexplore.exe

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\System32\svchost.exe

D:\Programy\gg\gg.exe

G:\Internet\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = www.idgsearch.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.wp.pl

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRAMY\FLASHG~1.6\fgiebar.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVK Mail Checker] "D:\Programy\AntiVirenKit\AVKPOP.EXE"

O4 - HKLM\..\Run: [SmcService] D:\Programy\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Hidder] D:\Programy\SEKRET~1\Hidder.exe /start

O4 - HKLM\..\Run: [WheelMouse] D:\Programy\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [PPMemCheck] D:\Programy\PESTPA~1\PPMemCheck.exe

O4 - HKLM\..\Run: [Windows SyncroAd] D:\Program Files\Windows SyncroAd\SyncroAd.exe

O4 - HKCU\..\Run: [Spyware Doctor] "D:\Programy\Spyware Doctor\spydoctor.exe" /Q

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\gg\Powergg.exe" /tray

O4 - Startup: SysInfoMyWork.lnk = D:\Programy\SysInfoMyWork\SysInfoMyWork.exe

O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - D:\Programy\Avant Browser\AddAllToADBlackList.htm

O8 - Extra context menu item: Dodaj do listy blokowanych reklam - D:\Programy\Avant Browser\AddToADBlackList.htm

O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - D:\Programy\Avant Browser\OpenAllLinks.htm

O8 - Extra context menu item: Podświetl - D:\Programy\Avant Browser\Highlight.htm

O8 - Extra context menu item: Szukaj - D:\Programy\Avant Browser\Search.htm

O8 - Extra context menu item: Yahoo! Dictionary - file:///D:\Program Files\Yahoo!\Common/ycdict.htm

O8 - Extra context menu item: Yahoo! Search - file:///D:\Program Files\Yahoo!\Common/ycsrch.htm

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Programy\FlashGet1.6\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Programy\FlashGet1.6\jc_all.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMY\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRAMY\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - file://c:\x.cab

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab

O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) - http://www.windowsecurity.com/trojanscan/TDECntrl.CAB

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GINBILLARD8 Class) - http://gryonline.wp.pl/files/billard8_2_0_0_6.cab

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - D:\Programy\Wirtualna Polska\WPKontakt\url_wpmsg.dll


Dodam, ze do kwarantanny AVK dostal sie plik z lokalizacji: 

D:\Documents and Settings\***\Ustawienia lokalne\Temporary Internet Files\Content.IE5\L3F3XLGE

(Golden Finger) #2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl/ 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/stp/ymsgr*http://my.yahoo.com 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr/*http://www.yahoo.com 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr/*http://www.yahoo.com 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = www.idgsearch.com 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = www.wp.pl 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 



O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) 

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) 

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)


O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - file://c:\x.cab


O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll 

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} - http://download.rfwnad.com/cab/crack.CAB

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GINBILLARD8 Class) - http://gryonline.wp.pl/files/billard8_2_0_0_6.cab

Usuwasz

Dodam, ze do kwarantanny AVK dostal sie plik z lokalizacji: 

D:\Documents and Settings\***\Ustawienia lokalne\Temporary Internet Files\Content.IE5\L3F3XLGE

Wywal go z kwarantanny. Wszystkie Katalogi z Katalogu Content.IE5 (zostawiasz tylko plik .dat i .ini ) możesz usuwać ręcznie przed wyłaczeniem komputera, a po zakończeniu działania w sieci i zamknięciu programów pocztowych i przeglądarek :stuck_out_tongue:

Jak już wielokrotnie pisałem, brak SP1 nie pozwala uaktualniać systemu o poprawki krytyczne przede wszystkim.

U Ciebie jak widać nie ma SP1

Pozdrawiam :okulary:


(Marsmo) #3

Kontynuuję temat komendy "netstat"! 8)

Poprawnie jest "netstat", a nie "nestat" (uprzednio literówka :oops: ), ale jak Klient pisze: intuicyjne

wpisanie "netstat" również nie dawało rezultatu. Wszystko się zgadza, miało prawo nie dawać!

Poprzednia część w Archiwum, link do tego -> w poście Klienta powyżej... :lol:

Komendą tą mieliśmy mieć podgląd otwartych portów na kompie i tym samym, dużą możliwość

wychwycenia miejsca, skąd hacker chce nam przejąć trojanem komp. Bo jak wiadomo z opisu

tego trojana (link "temat" - wyżej w poście Klienta :lol: ) - to nie jest problem upierdliwości

startpage, lecz próba przejęcia kompa! :evil:

Klient - niekiedy zwykłe polecenie "netstat" nie skutkuje! :frowning:

Nawiasem mówiąc, najlepiej to polecenie wzbogacić jeszcze dodaniem -an.

Ukaże się nam wtedy w logu - dodatkowa kolumna pt. PID. PID - to nic innego,

jak numer procesu, identyczny z numerem procesu, który

zabijamy ctrl-alt-del.

Podaję inne sposoby na zdobycie loga z aktywności portów!

  1. Uruchom -> cmd Ukazuje się nam czarne okienko dosowe, wpisujemy -> netstat -an (pamiętamy

o spacji przed -an), log powinien się dać zapisać do pliku txt.

  1. Mogą być jednak dalsze problemy. Puszczamy więc kolejny myk:

Uruchom -> cmd/c netstat -an>Pulpit\netstat.txt

Utworzy się nam wtedy plik loga na Pulpicie! :slight_smile:

  1. Trzeci myk - to ściągnięcie malutkiej aplikacji TCPView , która dokładnie

wykona za nas cały skan portów, wystarczy zapisać plik.

  1. Czwarty myk - program Active Ports, to samo jw.

Jak to sprawdzić?

Najwazniejsza jest intuicja i świadomość, co się dzieje na kompie.

Ale jest lista portów, na których najchętniej usadawiają się trojany.

Jak pisałam we wspomnianej I części topica (Archiwum), nie

wszystkie trojany dają się łatwo spersonalizować! :evil:

Znalazłam wreszcie w swoich zakamarkach - stronę z portami,

na których siedzą trojany.

Oto link

Oczywiście wszystkie bad porty należy zamknąć! :twisted:

Klient!

To z tymi portami, jest niezależnie od tego - co Ci poradził usunąć Golden Finger.

Wiedz bowiem, że ktos Cię w sieci hackuje! Nieważne jakiego typu, to jest sieć.

Czy związana z netem jako łączem, czy też P2P. Opowiastki o

SP i firewoolach, można sobie grzecznie darować!

Myślę, że wiesz - że wszystkie wpisy do kasacji robisz wg znanego schematu:

Wyłączyć przywracanie systemu, Tryb awaryjny.

Jeżeli Ci się jakiś plik nie usunie, nie mówiąc już o tym co masz w kwarantannie (po usunięciu go,

przepatrz ręcznie wspomniany katalog Dokuments and Settings na dysku), to polecam Ci

niezawodny progsik CopyLock. Usuwa nawet najbardziej upierdliwe trojany, wirusy

i zwykłe pliki (bez tzw. prawa dostępu).

Oczywiście, jak będziesz miał czystego kompa - czym prędzej ściągasz SP1!

Sprawdzenie czystości kompa musi się odbyć wieloma narzędziami: antyvirek stacjonarny,

skanery online, antytrojany - Trojan Remover, Cleaner, AntiTrojan, CW Shredder, PestPatrole itd.

PS.

A jak to nie pomoże, to zabijemy trojana jego własną bronią! :rotfl: :stuck_out_tongue:


Przeformatowano :evil:

Asterisk


(Adi171717) #4

Wielkie dzieki, zrobilem tak jak mowiliscie, folder L3F3XLGE usunalem, hijack zalatwiony,

programy Waterproof scianiete i przejrzane (nic podejrzanego same procesy systemowe).

Jedyne zastrzezenie do tego pliku .txt

To nie dziala, znowu literowka :smiley:

Powinno byc cmd_/c netstat_-an>lokalizacja\nazwa_pliku.txt

Ale to taka dygresja, dla innych uzytkownikow, bo mnie sie udalo i tylko z Wasza pomoca :smiley:

Dzieki All !!


(Asterisk) #5

Post OT , raczej na PW - kasacja

Zamykam