Problem +log

Dla specjalistów Bezpieczeństwo
#1

problem jest tkai jak na zdjeciu probowalem sie go pozbyc ale niestety nieudalo mi sie

aa3xn.jpg

Logfile of HijackThis v1.99.1

Scan saved at 21:21:16, on 2005-07-18

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\windows\system32\mdms.exe

c:\usr\Apache\apache.exe

c:\usr\MySQL\bin\mysqld.exe

C:\WINDOWS\system32\nvsvc32.exe

c:\usr\Apache\apache.exe

C:\Downloads\kolas\mirc.exe

C:\WINDOWS\system32\wuauclt.exe

E:\!Instalki\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - _{CA0E28FA-1AFD-4C21-A8DC-70EB5BE2F076} - (no file)

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"

O4 - HKLM\..\Run: [SysMemory manager] c:\windows\system32\mdms.exe

O4 - HKLM\..\Run: [secboot] C:\WINDOWS\system32\mszx23.exe 

O4 - HKCU\..\Run: [wupd] C:\WINDOWS\system32\symcsvc.exe

O8 - Extra context menu item: Show domain links - C:\PROGRA~1\GDATA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe

O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll

O23 - Service: Apache - Unknown owner - c:\usr\Apache\apache.exe" --ntservice (file missing)

O23 - Service: MySql - Unknown owner - c:\usr\MySQL\bin\mysqld.exe

O23 - Service: NVIDIA Display Driver Service (Omega 1.6177) (P) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe[/code]
#2

A to pies zjadł ?? :

O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\ drct16.dll

(pogrubione kasujemy ręcznie z dysku)

To kasujemy tak:

Ściągasz program Registrar Lite, uruchom edytor w pole Address wklej ścieżke

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go, po czym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{08C06D61-F1F3-4799-86F8-BE1A89362C85}. Kasujesz go jak i inne widoczne wpisy z kreseczką. “_”

UPDATE:

Myślisz detektyw, że takie niedokładne sprawdzanie logów, a potem uzupełnianie ich poprzez opcję “zmień”, jest wporządku ??

#3

zmieniłem chwile po wysłaniu żeby sie upewnić w 100% co do wpisu 020. Wiec nie wiem o co Ci chodzi :evil:

Chyba lepiej miec pewność niż kazać coś dobrego usunąć :lol:

#4

No nie detektyw 997 skasowałem twojego całego posta przecież takie usuwanie nie ma sensu.

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Ten wpis z kreseczką “_” usuniesz edytorem rejestru Registrar Lite

Uruchom edytor w pole Address wklej ścieżke

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks i kliknij Go poczym zostaniesz przeniesiony do tego klucza. Po prawej stronie będzie widoczny wpis _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} wszystkie inne wpisy z taką samą kreseczką także kasujesz i z prawokliku kasujesz wpisy.

Załapałeś Backdoor.Haxdoor wersja D

Sposób usunięcia jestTUTAJ pierwsze co ubij go.

Pliki na czerwono usun ręcznie z dysku

Zrób skan:

:arrow: Panda

:arrow: Kaspersky

:arrow: mks_vir

:arrow: Trend

:arrow: Dr.Web

:arrow: BitDefender

Dodatkowy skan programami:

:arrow: PestPatrol

:arrow: Spybot Search & Destroy 1.4

:arrow: Ad-aware SE Personal

:arrow: CWShredder

Z tym sie zgodze ale nie ma sensu po kawałku usuwać syf.

Damian ty także nie dałeś wpełni odpowiedz jak to usunąć a pliki kto usunie te wszystki wpisy i pliki są z rodzinki Backdoor.Haxdoor a co za tym idzie że nie łatwo ich tak usunąć sam fix checked może nie pomóc.

A ty panie SniFFeR obejmuj logi znacznikiem (tagiem) CODE i nie wklejaj takich wielkich obrazków bo sie forum rozjeżdża