LoG HiJaCkThIs


(Beed) #1

Poprosze o o sprawdzenie loga, a dokładniej wpisów które są podejrzane (wg. mnie)

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O9 - Extra button: Researcher (HKLM)

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

Pozdro


(3dm Racek) #2

Może wkleiłbyś cały LOG ?

To ułatwi kolegom pracę :wink:


(Xiao19) #3

z tego co podales tylko to do kasacji na 100%

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O9 - Extra button: Researcher (HKLM)

i posluchaj Raqa :stuck_out_tongue: :stuck_out_tongue: :wink: :wink:


(Beed) #4

Dobrze oto i cały log:

Logfile of HijackThis v1.97.7

Scan saved at 19:03:19, on 2004-10-03

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe

C:\WINDOWS\System32\nvsvc32.exe

D:\Programy\Panda\Firewall\PavFires.exe

C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

D:\Programy\Panda\APVXDWIN.EXE

C:\WINDOWS\System32\RUNDLL32.EXE

D:\Programy\GADU-G~1\gg.exe

D:\Internet\Nowy folder\NEWS\tlen.exe

C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe

C:\Program Files\Netropa\Onscreen Display\OSD.exe

C:\Program Files\MSI\PC Alert III\alert.exe

D:\Programy\Rainlendar\Rainlendar.exe

D:\TAPETY\Fajne\ZMatrix\matrix.exe

D:\Programy\Panda\pavsrv51.exe

D:\Programy\Panda\AVENGINE.EXE

D:\Programy\Panda\pavProxy.exe

D:\Programy\FOOBAR~1\FOOBAR~1.EXE

D:\Programy\Opera\opera.exe

C:\Documents and Settings\beed\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe

O4 - HKLM\..\Run: [SCANINICIO] "D:\Programy\Panda\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "D:\Programy\Panda\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\RunServices: [RunAlert] C:\Program Files\MSI\PC Alert III\AService.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\GADU-G~1\gg.exe" /tray

O4 - HKCU\..\Run: [Komunikator] D:\Internet\Nowy folder\NEWS\tlen.exe

O4 - Startup: Skrót do Rainlendar.lnk = D:\Programy\Rainlendar\Rainlendar.exe

O4 - Startup: ZMatrix.lnk = D:\TAPETY\Fajne\ZMatrix\matrix.exe

O4 - Global Startup: PC Alert III.lnk = C:\Program Files\MSI\PC Alert III\alert.exe

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\Programy\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\Programy\FlashGet\jc_all.htm

O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)

O9 - Extra button: Researcher (HKLM)

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0050F8F0-CE80-4213-8978-05C5F8EF0641}: NameServer = 217.30.137.200 217.30.129.149

O17 - HKLM\System\CS1\Services\Tcpip\..\{0050F8F0-CE80-4213-8978-05C5F8EF0641}: NameServer = 217.30.137.200 217.30.129.149

Nie wklejałem całego bo reszte sprawdziłem na stroce, która była podana w innym temacie :slight_smile:


(Xiao19) #5

log czysty

kasujesz tylko

O17 - HKLM\System\CS1\Services\Tcpip..{0050F8F0-CE80-4213-8978-05C5F8EF0641}: NameServer = 217.30.137.200 217.30.129.149

(dubel)

O9 - Extra button: Researcher (HKLM)

cytat.

Identyczna sytuacja jak z O8: znasz i potrzebujesz nie ruszasz, nie znasz kasujesz. Te wejścia generalnie zawsze można usuwać bez uszczerbku "na zdrowiu".

http://www.searchengines.pl/phpbb203/in ... =15989&hl=

post.2) hihi tez juz napisalam wyzej

potem masz zabezpieczuyc kompa


(Beed) #6

A te tesh mam usunąć?


(S Man1) #7

Z tego wynika, że owszem :slight_smile: