Możecie sprawdzić tego loga?

Dla specjalistów Bezpieczeństwo
#1

Powiedzcie co jest nie tak i co usunąć :

Logfile of HijackThis v1.99.0

Scan saved at 15:59:06, on 2005-01-31

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\wscntfy.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

D:\Program Files\SED\SED.exe

D:\WINDOWS\system32\wsxsvc\wsxsvc.exe

D:\WINDOWS\system32\vmss\vmss.exe

D:\WINDOWS\system32\krquor.exe

D:\WINDOWS\system32\rundll32.exe

D:\PROGRA~1\NEOSTR~1\NeostradaTP.exe

D:\PROGRA~1\NEOSTR~1\ComComp.exe

D:\PROGRA~1\NEOSTR~1\Watch.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Gadu-Gadu\gg.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\Documents and Settings\Komp\Pulpit\hijackthis1.99\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM…\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM…\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM…\Run: [sESync] “D:\Program Files\SED\SED.exe”

O4 - HKLM…\Run: [ntechin] D:\WINDOWS\system32\n20050308.exe

O4 - HKLM…\Run: [Dvx] D:\WINDOWS\system32\wsxsvc\wsxsvc.exe

O4 - HKLM…\Run: [vmss] D:\WINDOWS\system32\vmss\vmss.exe

O4 - HKCU…\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [skype] “D:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 4809842421

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{BE3D2B69-D926-4B74-AAEE-4636ECD8E3E4}: NameServer = 194.204.152.34

O17 - HKLM\System\CCS\Services\Tcpip…{E2F44E52-C91D-4390-B9AE-9DF917B35A9E}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Ati HotKey Poller - Unknown - D:\WINDOWS\System32\Ati2evxx.exe

#2

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

fixuj te wpisy powyzej

a te napraw spfix -programik:O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

#3

Usuń W trybie awaryjnym !

O1 - Hosts: 69.20.16.183 auto.search.msn.com

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

O1 - Hosts: 69.20.16.183 ieautosearch

Zastanawia mnie to:

O4 - HKLM…\Run: [ntechin] D:\WINDOWS\system32\n20050308.exe

O4 - HKLM…\Run: [Dvx] D:\WINDOWS\system32\wsxsvc\wsxsvc.exe

O4 - HKLM…\Run: [vmss] D:\WINDOWS\system32\vmss\vmss.exe

Usuń:

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

O10 - Unknown file in Winsock LSP: d:\windows\system32\dolsp.dll

Ściągnij plik LSP-FIX (google) i usuń z tamtąd dolsp.dll.

Jeżeli nie używasz messengera:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

Szpiedzy (i inne świństwa)

…::X-Scan::…

http://www.spywareinfo.com/xscan.php

Skanery Antywirusowe:

…::mks_vir::…

http://skaner.mks.com.pl

…::GeCAD (RAV)::…

http://www.ravantivirus.com/scan/

…::F-Secure::…

http://support.f-secure.com/enu/home/ols.shtml

…::BitDefender::…

http://www.bitdefender.com/scan/licence.php

…::Symantec {Norton}::…

http://security.symantec.com

…::HouseCall::…

http://pl.trendmicro-europe.com/consume … ll_pre.php

Ad-Aware Se Personal

CWShredder 2.0

ETD Security Scanner 3.0 - Antyszpieg

PestPatrol

Opis Konfiguracji PestPatrol’a

Spybot -Search & Destroy

[ZRÓB JE WSZYSTKIE] I daj jeszcze raz log hijackthis !

#4

Potem napraw ciąg LSP tym programem: http://www.cexx.org/lspfix.zip

Tu jest instrukcja: LINK

Jeżeli jest, usuń za pomocą tego programu plik dolsp.dll lub podobny… z łańcucha.

Tylko pozostaw prawidłowe wpisy:

lsp4ru.jpg

I jeszcze koniecznie zrób skan podanymi wyżej programami!

Tu jest info o kasowaniu VX2/Look2Me: http://sarc.com/avcenter/venc/data/adware.look2me.html

BTW

Mnie nie podoba się jeszcze ten pliczek:

D:\WINDOWS\system32** krquor.exe**

Sharki , jeszcze raz sorki za częściowego, niecelowego klona… :wink:

#5

Jest to do usunięcia

Tak jak Shark napisał jeżeli nie używasz Windows Messenger to go usuń:

Start=>Uruchom=>Wpisz polecenie

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

#6

D:\Program Files\SED\SED.exe

D:\WINDOWS\system32\wsxsvc\wsxsvc.exe

D:\WINDOWS\system32\vmss\vmss.exe

zastanawiaja mnie jeszcze te procesy :slight_smile:

#7

Jeżeli usunie:

To ich nie będzie.

Ale koniecznie skanery i ponowny log !

adpawl - Powielka informacji :wink:

#8

zainstalowałem powyższe oprogramowanie, ale ciągle wyskakuje mi taka strona : http://c.azjmp.com/az/ch.php?f=1185&i=1 … x=&bypass= , nie wiem co mam robić, oto log :

Logfile of HijackThis v1.99.0

Scan saved at 17:23:54, on 2005-02-01

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\Ati2evxx.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\rundll32.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\system32\wscntfy.exe

D:\WINDOWS\system32\Ati2evxx.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\SOUNDMAN.EXE

D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

D:\PROGRA~1\NEOSTR~1\CnxMon.exe

D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

D:\Program Files\Tlen.pl\tlen.exe

D:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Gadu-Gadu\gg.exe

D:\PROGRA~1\NEOSTR~1\NeostradaTP.exe

D:\PROGRA~1\NEOSTR~1\ComComp.exe

D:\PROGRA~1\NEOSTR~1\Watch.exe

C:\Program Files\Gadu-Gadu\gg.exe

D:\PROGRA~1\PESTPA~1\CookiePatrol.exe

D:\PROGRA~1\PESTPA~1\PPMemCheck.exe

D:\PROGRA~1\PESTPA~1\ppcontrol.exe

D:\Program Files\Internet Explorer\iexplore.exe

D:\Documents and Settings\Komp\Pulpit\hijackthis1.99\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O1 - Hosts: 69.20.16.183 search.netscape.com

O1 - Hosts: 69.20.16.183 ieautosearch

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [ATIPTA] D:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM…\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM…\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM…\Run: [Narrator] D:\WINDOWS\system32\krquor.exe

O4 - HKLM…\Run: [PPMemCheck] D:\PROGRA~1\PESTPA~1\PPMemCheck.exe

O4 - HKLM…\Run: [CookiePatrol] D:\PROGRA~1\PESTPA~1\CookiePatrol.exe

O4 - HKLM…\Run: [PestPatrol Control Center] D:\PROGRA~1\PESTPA~1\PPControl.exe

O4 - HKCU…\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [skype] “D:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [ETD Security Scanner] “D:\Program Files\ETD Security Scanner\ETD Security Scanner.exe” /s

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v … 4809842421

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{BE3D2B69-D926-4B74-AAEE-4636ECD8E3E4}: NameServer = 194.204.152.34

O17 - HKLM\System\CCS\Services\Tcpip…{E2F44E52-C91D-4390-B9AE-9DF917B35A9E}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Ati HotKey Poller - Unknown - D:\WINDOWS\System32\Ati2evxx.exe

#9

Widze że nie dałeś rady tego usunąć.

#10 
O4 - HKLM\..\Run: [Narrator] D:\WINDOWS\system32\krquor.exe
  • tego nie znam! możliwe, że to syfek.
#11

Windows XP (plik HOST - otwierasz w notatniku):

Lokalizacja: [partycja]:\WINDOWS\system32\drivers\etc

Otwierasz ten plik host w notat.

Później będziesz miał tam coś podobnego:

Copyright © 1993-1999 Microsoft Corp.

To jest przykładowy plik HOSTS używany przez Microsoft TCP/IP

w systemie Windows.

Ten plik zawiera mapowania adresów IP na nazwy komputerów

Każdy wpis powinien być w osobnej linii.

W pierwszej kolumnie powinny być umieszczone adresy IP, a następnie

odpowiadające im nazwy komputerów. Adres i nazwa powinny być oddzielone

co najmniej jedną spacją

Dodatkowo, komentarze (takie jak te) można wstawiać w poszczególnych

liniach lub po nazwie komputera, oznaczając je symbolem ‘#’.

Na przykład:

102.54.94.97 rhino.acme.com # serwer źródłowy

38.25.63.10 x.acme.com # komputer kliencki x

127.0.0.1 localhost

kasujesz wszystko pod localhost. Localhost zostawiasz/jeżeli się obawiasz skopiuj treść pliku HOST tutaj !

#12

Wykasuj tak jak napisał to Shark i zapisz zmiany…

W tym pliku wystarczy zostawić tylko linię

127.0.0.1 localhost

A potem użyj SpywareBlaster’a do zablokowania niebezpiecznych stron.

mozna go zassać z tej strony : http://www.javacoolsoftware.com/sbdownload.html

#13

W pliku Hosts mam coś takiego :

127.0.0.1 http://www.igetnet.com

127.0.0.1 code.ignphrases.com

127.0.0.1 clear-search.com

127.0.0.1 r1.clrsch.com

127.0.0.1 sds.clrsch.com

127.0.0.1 status.clrsch.com

127.0.0.1 http://www.clrsch.com

127.0.0.1 clr-sch.com

127.0.0.1 sds-qckads.com

127.0.0.1 status.qckads.com

Start of entries inserted by Spybot - Search & Destroy

End of entries inserted by Spybot - Search & Destroy

69.20.16.183 search.netscape.com

69.20.16.183 ieautosearch

69.20.16.183 auto.search.msn.com

69.20.16.183 ieautosearch

Co mam usunąć ?

#14

UPS, otworzyłem nie ten plik Hosts, mogliście mi powiedzieć, że chodzi o Hosts.bak, teraz już wiem co zrobić.

#15

usunalem juz te wpisy w pliku Hosts, zainstalowałem SpywareBlaster’a, teraz nie wiem co dalej, powiedzcie ci krok po kroku co w tym programie zrobić

#16

  1. Chodzi o plik hosts znajdujący się w podanej lokalizacji: C:\WINDOWS\system32\drivers\etc

  2. Najpierw pobierasz aktualizacje: Download latest protection updates , przenośi cię zo zakładki Updates, gdzie klikaszprzycisk Check for updates

potem wracasz do zakładki Protection, gdzie klikasz Enable all protection.

sb4qo.jpg

I to już wszystko…