NIS Ryzyko wysokie

nowy10 · 1 Wrzesień 2005 22:08

potrzebuje panowie pomocy, wyskoczylo mi takie cos

http://img144.imageshack.us/my.php?imag … tuu6sl.jpg

mam nadzieje ze to zbieg okolicznosci, bo stalo sie to jak kliknalem na

http://forum.dobreprogramy.pl/viewtopic.php?t=40991

z reszta widac w tle

wklejam log i prosze o pomoc

Złączono Posta : 02.09.2005 (Pią) 0:12

Logfile of HijackThis v1.99.1

Scan saved at 00:12:53, on 2005-09-02

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

C:\Program Files\wincmd\WINCMD32.EXE

C:\Program Files\Internet Explorer\iexplore.exe

F:\Programy\Hijack\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Program Files\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [AceGain LiveUpdate] C:\Program Files\AceGain\LiveUpdate\LiveUpdate.exe

O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition Port.lnk = C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Szukaj w NetSprint.pl - res://C:\Program Files\IEToolbar\toolbar.dll/SEARCH.HTML

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll

O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mpeg: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin3.dll

O14 - IERESET.INF: START_PAGE_URL=www.onet.pl

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119464926312

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_23.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

Złączono Posta : 02.09.2005 (Pią) 0:13

mks go nie wykryl online

Złączono Posta : 02.09.2005 (Pią) 0:17

to na bank dzieje sie tylko jak klikam ten link, co sie dzieje?

Złączono Posta : 02.09.2005 (Pią) 0:18

probowalem znalezc ale nie ma tego pliku

caly czas stoi u mnie na kompie NIS 2004 i microsoft antispy, codziennie skanuje spy i ad aware i stad moj niepokoj

squeet · 1 Wrzesień 2005 22:25

Szczerze Ci powiem, że to nie pierwsza taka sytuacja… :hmmm:

nowy10 -> http://forum.dobreprogramy.pl/viewtopic.php?t=40819

Wejdź tu i zobacz, czy nie ma alertu?

Mi osobiście wydaje się, że są to alarmy fałszywe, ewentualnie spowodowane zawartością logów… AV mogą brać nazwy z logów, a jak przeglądasz stronę to wiadomo, że zawartość www zapisuje się na dysk… Ale to tylko txt i tyle… Osobiście uważam, że nie masz się czego bać…

nowy10 · 1 Wrzesień 2005 22:28

zmienia mi sie tylko nr pliku sos jak klikam na ten link

Złączono Posta : 02.09.2005 (Pią) 0:29

tez tak mysle wlasie ze to z loga bo nie mam innego pomyslu

squeet · 1 Wrzesień 2005 22:29

Czyli również masz alert?

Nie tylko Tobie się tak dzieje

nowy10 · 1 Wrzesień 2005 22:30

jest alert tu gdzie dales link squeet

Złączono Posta : 02.09.2005 (Pią) 0:31

jest taki alert, plik ten sam sos tylko sie nr zmieniaja, np10, 11. 12A, 12b itd

Złączono Posta : 02.09.2005 (Pią) 0:34

ale dalem ten link ziomkowi, on tez ma nortona 2004 i mu nie wykryl

squeet · 1 Wrzesień 2005 22:35

Poczytaj:

Olać! Bloodhound.Exploit 6 to nie jest wirus tylko HEURYSTYCZNIE WYKRYTY EXPLOIT. Heurystycznie oznacza iż na oko budowa strony jest określana jako “wadliwa”, “nieprawidłowa”, “potencjalnie groźna” a że wszystko jest przypuszczeniem antywirusa może być jego błędem interpretacji. Heurystyka dopuszcza błąd zrozumienia zastanego zjawiska. EXPLOIT zaś to jest luka zabezpieczeń, która może być wykorzystana na U-dupienie cię. Może lecz nie musi. Zauważ, że: 1. Jest zawsze wykrywane w Tymczasowych plikach internetowych bo kopie przeglądanej strony zawierają jej kod z ową luką. Pod pojęciem kod strony rozumiem to jak jest zbudowana. 2. Wykrywane jest to niezależnie od przeglądarki i przyczyną jest konstrukcja strony torrent.org.pl a nie TWÓJ komp. Jeśli Windows i twoje browsery są aktualne i mają wszystkie możliwe łaty to ja bym se dała siana w tej tematyce … Słowa klucze: exploit, potencjalnie, prawdopodobnie, być może, heurystycznie … i najmocniejsze: u picasso też to czasem wykrywa na pewnych KONKRETNYCH i cągle tych samych NIESZKODLIWYCH stronach! Tym Bloodhound.Exploit’ów czyli heurystycznych przypuszczeń Nortona jest już cała numeryka: 13, 15 …

źródło: http://www.searchengines.pl/phpbb203/in … pic=21331#

Więc się nie przejmuj

nowy10 · 1 Wrzesień 2005 22:39

ok thx troche sie uspokoilem

Złączono Posta : 02.09.2005 (Pią) 0:41

a log czysty?

squeet · 1 Wrzesień 2005 22:43

Nie chcę sprawdzać po łebkach - spokojnie połóż się spać, jak wpadną specjaliści, wtedy zobaczą :spoko:

Gutek · 1 Wrzesień 2005 22:57

LOG Ok czytsy, kilka zbędników w autostarcie ale to pryszcz