Problem - LOG

Dla specjalistów Bezpieczeństwo
#1

mam problem z kompem … mianowicie wlonczylem dzisiaj kompa i jak chcialem wlonczyc moja przegladarke Mozilla Firefox to komp troche pomyslal (wyswietlila sie klepsydra ) i po pewnym czasie wszystko ustalo a firefox sie nie wlonczyl … wlonczylem skany progami jakie mam i cos tam usunelo … teraz sie wlancza (przynajmniej narazie :stuck_out_tongue: ) … Dlatego wklejam loga (wklejalem chyba 2 dni temu ale wtedy nie bylo tego problemu :? ) … aha i wiem ze mam jakis syf w folderze C:\Program Files\NewDotNet … i czy np. moge go usunac recznie …

Logfile of HijackThis v1.99.1

Scan saved at 19:11:04, on 2005-12-17

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Kalendarz XP\Kalendarz.exe

C:\Program Files\STK016_V2.01\STK016M.exe

C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program Files\Panda Software\Panda Antivirus Platinum\IFACE.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

D:\Moje dokumenty\Programy\HijackThis 1.99.1\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/start.shtml

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe 

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: LinkTracker Class - {85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1} - C:\WINDOWS\system32\hlwin.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program Files\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz 10.0 Pro\odk_mcd.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe

O4 - Global Startup: STK016 PNP Monitor.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O17 - HKLM\System\CCS\Services\Tcpip\..\{FA7942D2-3DB5-4D03-85B6-5E7669679571}: NameServer = 192.168.1.1

O18 - Filter: text/html - {03974811-C15F-462c-B6B0-2D2336AA57D0} - C:\WINDOWS\system32\hlwin.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Program Files\AntiVirenKit\AVKService.exe (file missing)

O23 - Service: Strażnik AVK (AVKWCtl) - Unknown owner - C:\Program Files\AntiVirenKit\AVKWCtl.exe (file missing)

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program Files\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
#2

  1. Wyłączyć Przywracanie systemu w XP TU

  2. Zastartować do trybu awaryjnego bez internetu(opis w linku wyżej).

  3. Zaznaczyć wskazane wpisy w Hijacku i kliknąć Fix checked. Wpisy zostaną usunięte.

  4. Skasować z dysku pliki i foldery, które podkreśliłem na czerwono

  5. Dokończyć skanerami online - Scanery do wyboru

  6. Pokazać nowy log :stuck_out_tongue:

LSP-Fix usuniesz wpisy 010 TU opis działania :stuck_out_tongue:

#3

ok tylko nie wiem czy to wszystko zrobie bo sie nie znam … takze z tym nowym logiem moga byc problemy :slight_smile:

#4

Zastosuj dokładnie isntrukcję krok po kroku :smiley:

#5

mam w takim razie pytanie dla pewnosci oczywiscie … co mam (zaznaczyc) przeniesc jesli wyswietla mi sie http://img268.imageshack.us/my.php?image=abc4nx.png … sory ale wole spytac zeby cos nie zespuc … :slight_smile:

#6

Przenieś newdotnet6… :wink:

#7

mam jeszcze jedno pytanie … mianowicie usunolem zaznaczone wpisy w Hijacku ale nie moge usunac tych plikow i folderow O2 - BHO: LinkTracker Class - {85A77577-A8CA-41b7-AA1E-DDAD4C0B12B1} - C:\WINDOWS\system32\hlwin.dll

O4 - HKLM…\Run: [AQ3HelperStartUp] C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE /partner AQ3

O4 - HKLM…\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s poniewaz nie moge ich znalesc (tak jakby ich nie bylo) … moze podalbys dokladna lokalizacje albo cos … :smiley: …Pozdrawiam

#8

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę

C:\WINDOWS\System32\hlwin.dll i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.

Szukasz folderó w katalogu: C:\Program Files\ i od nazwy AQUATI… oraz NEWDOTNET

Złączono Posta : 17.12.2005 (Sob) 21:53

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę

C:\WINDOWS\System32\hlwin.dll i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.

Szukasz folderó w katalogu: C:\Program Files\ i od nazwy Aquatica Waterworlds Screensaver oraz NEWDOTNET

#9

niestety po zrobieniu tych czynnosci nie znalazlem tych folderow (zreszta chyba nie dokonczyles co mam zrobic ‘‘Szukasz folderó w katalogu: C:\Program Files\ i od nazwy Aquatica Waterworlds Screensaver oraz NEWDOTNET’’…) a teraz sytuacja jest taka ze firefox sie nie wlancza i np. wczoraj zeby odczytac twoje wiadomosci musialem wchodzic na Linuxa :? … i troche bylo roboty przy tym … teraz sie np. wlonczyl na windowsie(firefox) ale to chyba dlatego ze przez noc komp byl wylonczony i puzniej juz sie nie bendzie (jak wczoraj) wlanczal :frowning: … a tak wogole to czemu on sie nie wlancza zawsze ??.. tak wirus dziala ?? … bo jak patrze na uzycie procka to jest tak od 0 do 7-8 %… a to jezt zdjecie z program files http://img213.imageshack.us/my.php?image=abc8ff.png

#10

Jak nie dokończyłem masz lokalizację: dysk C potem Program Files\ i ttutaj powinny być foldery - no co nie ma Widze NewDotNet - na screenie ppo prawej 3 od góry pod Lavasoft

Zrób tak, Start do trybu awaryjngo z linią komend i:

RD /S /Q "C:\PROGRA~1\NEWDOT~1"

RD /S /Q "C:\PROGRA~1\AQUATI~1"

#11

sory ale co to znaczy ‘‘RD /S /Q’’ bo jestem calkowicie zielony … :smiley:

#12

MaYsTeR co napsiałem??? Jak wybierzesz podczas startu F8 dostaniesz czarny ekran na którym masz wybrać strzałką z klawiatury “Tryb awaryjny z obsługą linii komend”. Wylądujesz na czarnym ekranie z migającym C:>. To właśnie linia komend, w której wpisujesz:

RD /S /Q "C:\PROGRA~1\NEWDOT~1"

RD /S /Q “C:\PROGRA~1\AQUATI~1” uf…