Kolegi log

Dla specjalistów Bezpieczeństwo
#1 
Logfile of HijackThis v1.99.1 

Scan saved at 20:55:35, on 2005-09-29 

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) 

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) 


Running processes: 

C:\WINDOWS\System32\smss.exe 

C:\WINDOWS\SYSTEM32\winlogon.exe 

C:\WINDOWS\system32\services.exe 

C:\WINDOWS\system32\lsass.exe 

C:\WINDOWS\system32\svchost.exe 

C:\WINDOWS\System32\svchost.exe 

C:\WINDOWS\system32\spoolsv.exe 

C:\WINDOWS\System32\dllhost.exe 

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe 

C:\WINDOWS\System32\nvsvc32.exe 

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe 

C:\WINDOWS\taskcntr.exe 

C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE 

C:\WINDOWS\spool.exe 

C:\WINDOWS\Explorer.EXE 

C:\WINDOWS\SOUNDMAN.EXE 

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe 

C:\PROGRA~1\NEOSTR~1\CnxMon.exe 

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe 

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe 

C:\WINDOWS\system32\cmd.exe 

C:\Program Files\Common Files\services.exe 

C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe 

C:\PROGRA~1\NEOSTR~1\ComComp.exe 

C:\PROGRA~1\NEOSTR~1\Watch.exe 

C:\WINDOWS\System32\mswin.pif 

C:\Program Files\Wirtualna Polska\wpkontakt\wpkontakt.exe 

C:\Documents and Settings\wiesław\Pulpit\Nowy folder\HijackThis\HijackThis.exe 


R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.eza1netsearch.com/sp2.php 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl 

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.eza1netsearch.com/sp2.php 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza 

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL 

O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7  

[05-09-29 20:57] O2 - BHO: Internet Explorer Web Content Catcher - {FFF4E223-7019-4ce7-BE03-D7D3C8CCE884} - C:\Program Files\DNS\Catcher.dll 

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx 

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE 

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup 

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" 

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit 

O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe" 

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s 

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe 

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe 

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe 

O4 - HKLM\..\Run: [mtuxoj] C:\WINDOWS\mtuxoj.exe 

O4 - HKLM\..\Run: [xujggv] C:\WINDOWS\System32\aycwjz.exe r 

O4 - HKLM\..\Run: [System service70] C:\WINDOWS\etb\pokapoka70.exe 

O4 - HKLM\..\Run: [MS Sys Security] mswin.pif 

O4 - HKLM\..\RunServices: [MS Sys Security] mswin.pif 

O4 - HKCU\..\Run: [services32] C:\Program Files\Common Files\Windows\mc-58-12-0000111.exe 

O4 - HKCU\..\Run: [DNS] C:\Program Files\Common Files\mc-58-12-0000111.exe 

O4 - HKCU\..\Run: [Instant Access] rundll32.exe p2esocks_1045.dll,InstantAccess 

O4 - HKCU\..\Run: [MS Sys Security] mswin.pif 

O4 - HKCU\..\RunServices: [Windows System Security] sys32.pif 

O4 - HKCU\..\RunServices: [MS Sys Security] mswin.pif 

O4 - HKCU\..\RunServices: [MS System Security] mswin32.pif 

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe 

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE 

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present 

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - re  

[05-09-29 20:58] O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE 

O9 - Extra 'Tools' menuitem: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll 

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll 

O9 - Extra button: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\freeprod.dll 

O9 - Extra 'Tools' menuitem: Freeprod Toolbar - {77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F} - C:\Program Files\Freeprod Toolbar\freeprod.dll 

O17 - HKLM\System\CCS\Services\Tcpip\..\{CFB6D921-CFB8-4254-888F-6BDFB933EA36}: NameServer = 194.204.152.34 217.98.63.164 

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll 

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe 

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe 

O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe 

O23 - Service: Windows Spooler (winspool32) - Unknown owner - C:\WINDOWS\spool.exe

====================================

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

Pozdrawiam kuz5

#2

Wszystkie czynności wykonujesz w trybie awaryjnym [F8] w czasie bootowania komputera z wyłączonym przywracaniem systemu. Gdybyś nie wiedział, jak to zrobić, zobacz TU.

Pogrubione kasujesz z dysku oraz wszystkie wpisy z Hijacka.

Ten wpis likwidujesz tak:

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz proces Windows Spooler nastepnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz winspool32 => Ok i zresetuj komputer.

I wyszukujesz na nowo C:\WINDOWS\ spool.exe i kasujesz.

Tak samo robisz z:

O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz proces TASKESV nastepnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz TESV => Ok i zresetuj komputer.

I wyszukujesz na nowo C:\WINDOWS\ taskcntr.exe i kasujesz.

Uwaga. Nie myl ścieżek plików i nazw. Niektóre są podobne do usług systemowych.

Po czynnościach nowy LOG, i skan programami ANTY zalinkowanych w tym dziale.

Opróżnij katalogi TEMP, Prefetch z katalogu systemowego WINDOWS.

#3

Dzieki boczi