Mnostwo wirkow

Dla specjalistów Bezpieczeństwo
#1

Objawy to oczywiscie zamulony komp, zawieszajacy sie…a sam o juz wiecej nic nie probuje bo ostanio jak jeden plik wykillowalem to sie juz windowsa nie dalo wlaczyc…wydaje mi sie ze mnostwo jest tu tego smiecia, ale ja tam sie nieznam…

LOG:

Logfile of HijackThis v1.99.1

Scan saved at 20:56:56, on 2006-06-08

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\UG+zZXRlaw\command.exe

D:\WINDOWS\System32\mssvcc.exe

D:\WINDOWS\System32\csrs.exe

D:\Program Files\ipwins\ipwins.exe

D:\WINDOWS\System32\rundll32.exe

D:\WINDOWS\System32\ctfmon.exe

D:\PROGRA~1\COMMON~1\MANTEC~1\regedit.exe

D:\Program Files\Network Monitor\netmon.exe

D:\WINDOWS\win32host.exe

D:\WINDOWS\system32\cmd.exe

D:\WINDOWS\Explorer.exe

C:\Program Files\Opera\Opera.exe

D:\Documents and Settings\Zioooom\Ustawienia lokalne\Temp\Katalog tymczasowy 1 dla hijackthis.zip\HijackThis.exe

C:\Documents and Settings\Krzysiek\Pulpit\killbox.exe

D:\WINDOWS\System32\win32bootcfg.exe

D:\Program Files\Common Files\wYazzle1122OinAdmin.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {C7742F32-99A3-B172-F7BF-932C871E5C99} - D:\WINDOWS\System32\nicxhy.dll

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\winsock\csrss.exe

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - D:\WINDOWS\System32\geefe.dll

O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe

O4 - HKLM\..\RunServices: [Windows Base Services] wbse32.exe

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [TClock.exe] D:\Program Files\TClock\tclock_install.exe

O4 - HKCU\..\Run: [Wmta] "D:\PROGRA~1\COMMON~1\MANTEC~1\regedit.exe" -vt yazb

O4 - HKCU\..\Run: [Pgvyh] D:\Documents and Settings\Zioooom\Dane aplikacji\??stem32\n?lookup.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{C34D5D7E-A3BD-45F4-8313-90BBF408501B}: NameServer = 217.30.129.149,217.30.137.200

O20 - AppInit_DLLs: D:\WINDOWS\System32\alg.dll

O20 - Winlogon Notify: geefe - D:\WINDOWS\SYSTEM32\geefe.dll

O23 - Service: Command Service (cmdService) - Unknown owner - D:\WINDOWS\UG+zZXRlaw\command.exe

O23 - Service: Network Monitor - Unknown owner - D:\Program Files\Network Monitor\netmon.exe

O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - D:\WINDOWS\win32host.exe

O23 - Service: Windows TCP/IP Socket Driver (winsck) - Unknown owner - D:\WINDOWS\winsock\csrss.exe
#2

Pliki i foldery na czerwono usuń ręcznie z dysku a wpisy w HijackThis (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Start => Uruchom => wpisz services.msc => zatrzymaj i wyłącz usługi Command Service, Network Monitor,Windows TCP/IP Socket Driver i Win32 Kernel Update następnie odpalasz HijackThis Misc Tools => Delete NT service => wpisz pojedyńczo cmdService, winsck i Win32Kernel => Ok i zresetuj komputer.

Ten wpis z kreseczką “_” usuniesz edytorem rejestru Registrar Lite

Uruchom edytor w pole Address wklej ścieżke

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} wszystkie inne wpisy z taką samą kreseczką także kasujesz i z prawokliku kasujesz wpisy.

Użyj narzedzia VundoFix

Zmień tytuł tematu na konkretny