Podejrzane pliki


(Kopec86) #1

Prosilbym o sprawdzenie loga. Pojawily mi sie na dysku dziwne pliczki...

screen:

help1.jpg

ktorych nie moge usunac... przelecialem av NOD32... ale nic nie dalo...

bo pokazuje sie takie cos :

help.jpg

no i do tego komp troche przymula...

LOG:

Logfile of HijackThis v1.99.1

Scan saved at 13:18:23, on 2006-05-24

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Sygate\SPF\smc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\wupdmgr.exe

C:\WINDOWS\osaupd.exe

C:\Program Files\Opera\Opera.exe

C:\Documents and Settings\Mariusz\Pulpit\Anty\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.liporn.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\System32\azesearch4.ocx

O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll

O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Program Files\Burn4Free Toolbar\v2.0.0.2\Burn4Free_Toolbar.dll

O3 - Toolbar: Search Toolbar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\System32\azesearch4.ocx

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [SystemTools] C:\WINDOWS\System32\kernels8.exe

O4 - Startup: Rainmeter.lnk = C:\Program Files\Rainmeter\Rainmeter.exe

O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: Eksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {18506D80-9B80-11D4-82C2-0080C8D7ED4A} (GameDesire Roulette) - http://67.15.101.3/g_bin/pl/roulette_2_0_0_15.cab

O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://www.miniclip.com/supergerball/miniclipGameLoader.dll

O16 - DPF: {41ACD49D-1974-791A-0981-AA9872721044} (Ganymede Board Games) - http://67.15.101.3/g_bin/pl/boards_2_0_0_21.cab

O16 - DPF: {4539348E-01D7-11D5-9A39-0080C8D85044} (GameDesire Slots 90th) - http://67.15.101.3/g_bin/pl/slots90_2_0_0_24.cab

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_36.cab

O16 - DPF: {881290B9-F53C-4676-8DAF-3DBEFC297308} (GameDesire Makao) - http://67.15.101.3/g_bin/pl/makao_2_0_0_15.cab

O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_36.cab

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/1/sux.cab

O16 - DPF: {ECEAD8AE-01D6-11D5-9A39-0080C8D85044} (GameDesire Slots 80th) - http://67.15.101.3/g_bin/pl/slots80_2_0_0_24.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_23.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{01C2A4F2-CE4E-44FE-9F3B-75BFA22327DC}: NameServer = 194.204.152.34

O17 - HKLM\System\CS1\Services\Tcpip\..\{01C2A4F2-CE4E-44FE-9F3B-75BFA22327DC}: NameServer = 194.204.152.34

O17 - HKLM\System\CS2\Services\Tcpip\..\{01C2A4F2-CE4E-44FE-9F3B-75BFA22327DC}: NameServer = 194.204.152.34

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Z góry dzięki za pomoc :mrgreen:


(Monczkin) #2

Takie są efekty łażenia po stronach porno :?


(Kopec86) #3

master_zonk6 --> dzieki :wink:

ta strona startowa to pierwszy raz widze :expressionless: zawsze mialem http://www.millenet.pl :stuck_out_tongue:

Monczkin --> jakich stron porno ? :? :? :?


(system) #4

Odinstaluj program Burn4Free - (program instaluje ze sobą oprogramowanie dodatkowe - spyware)

W trybie awaryjnym z wyłączonym przywracaniem systemu usuń wpisy hijackiem, a pliki zaznaczone na czerono usuń ręcznie

W logu pozostałości po Nortonie

Użyj Norton Removal Tool


(Kopec86) #5

BIG PROBLEM !!

nie moge uruchomic trybu awaryjnego :expressionless: naciskam F8... ale nic sie nie dzieje...


(Kuz5) #6

Daruj sobie takie sprawdzanie logów :evil:

Burn4Free może zostawić, a ty jedynie mozesz mu zaproponowac odinstalowanie go

Skąd ta pewność, może warto zapytać zainteresowanego czy nie posiada już nortona (nie podchodzcie do logów tak chaotycznie)

Do ciachniecia jeszcze to

Pobierz program Ewido zrób update i przeskanuj

Wklej loga SilentRunners

To spróbuj F5

Update:

Dodatkowo użyj SmitFraudFix


(adam9870) #7

Może źle robisz.

Wyłącz kompa.

Naciśnij klawisz uruchamiający go i szybciutko naciskasz (i trzymasz) wciśnięty klawisz F5 jak nie zadziała to F8. Pojawi się okienko z wyborem systemu (jak się pojawi to możesz puścić klawisz), wybierasz Tryb awaryjny. I powinno być ok :slight_smile:


(Kopec86) #8

dobra... pokazał sięten tryb awaryjny.. tyle ze mi klawiatura nie działa podczas uruchamiania kompa :frowning: i nie moge wybrac tego trybu awaryjnego :frowning:


(Kopec86) #9

Ejj.. prosze bez offtopow :confused: pozatym ja po zadnych porno stronach nie wlaze... nie mam 10 lat :expressionless:

lepiej pnapiszcie mi jak mam uruchomic tryb awaryjny :(:(:frowning:


(Kuz5) #10

A ktos mu zabrania :evil:

Jak nie masz nic ciekawego do napisania to ..... :x

Spróbuj usunąć programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\WINDOWS**** osaupd.exe

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

I to samo robisz ze ścieżkami:

C:\WINDOWS**** wupdmgr.exe

C:\WINDOWS\System32**** azesearch4.ocx

C:\WINDOWS\System32**** iasada.dll

C:\WINDOWS\System32**** kernels8.exe


(Kopec86) #11

te pliki juz usunolem :slight_smile: ale trybu awaryjnego zeby usunac wpisy hijackiem nadal nie moge... jakies pomysly ? :smiley:


(Bbieniol) #12

Jeżeli nie możesz przef F5 lun F8, to będąc w trybie normalnym wejdź:

Start --> uruchom --> msconfig

w zakładce BOOT.INI zaznacz /SAFEBOOT i ok.

Poprosi o restart kompa - oczywiście się zgadzasz :slight_smile:

Pojawi się czarne i wszystko normalnie jak przy wchodzeniu w awaryjny :slight_smile:

Jest tylko jedną ale - pojawi się wybór kont (zawsze będą conajmniej dwa konta (Twoje i Administrator) - wybierasz TWOJE i juz jesteś w awaryjnym :slight_smile:


(system) #13

kuz 5 napisał:

Moim zdaniem bardzo dziwna to opinia na forum

Bezpieczeństwo i logi HijackThis

Wszystko, co dotyczy szeroko pojętego bezpieczeństwa, w szczególności walka z wirusami, spyware i adware

o programie, który instaluje spyware.

kuz 5 napisał:

Skąd ta pewność - z logu. Myślę, że kopec86 udzieli nam odpowiedzi.


(Kuz5) #14

Dziwne to ty masz podejście do sprawy

A co z programami np. FlashGet, Dap, BearShare, eDonkey, iMesh, Spyware Doctor i wiele, wiele innych (wszystkie te programy zawieraja komponenty adware jak i spyware)

I co sadzisz że będe kazać wszystkim wywalać te programy => NIE, jedynie moge zaproponować usuniecie takiego programu

Fakt nie zauwazyłem w poście wyżej


(Kopec86) #15

Dobra ludzie dizeki za pomoc :smiley: wszystko sie juz pousuwalo itp :smiley: Burn4Free usunolem tez bo i tak go nie uzywalem :stuck_out_tongue:

WIEEEELKIE DZIEKI ZA POMOC :mrgreen: :mrgreen: :mrgreen: