Problem z rob. i szpiegami na kompie, Kacperski nie da rady


(Marekmnich Op) #1

Logfile of HijackThis v1.99.1

Scan saved at 11:58:38, on 2007-11-08

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\foobar2000\foobar2000.exe

C:\Documents and Settings\m\Pulpit\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Program Files\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll

O4 - HKLM..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip..{7327E452-A948-4DED-90C7-6BADC2359C6C}: NameServer = 213.241.79.37 83.238.255.76

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe


(Gutek) #2

Możesz podać lokalizację tego szpiega? Co wskazuje Kasperski?


(Marekmnich Op) #3

wydaję mi się ze siedzi na dysku H u mnie , wywaliłem wszystko z tej partycji ale i tak nadal mam zajętego 3,5 g miejsca , czymś czego nie widzę i nie potrafie znależć , probowałem już wszystkiego, Kaspersky nic nie wykazuje, MKS też nie AWG anti-rotkit tez nic nie znalazł, Formast partycji niemozliwy do wykonania windows nie da rady

Złączono Posta : 10.11.2007 (Sob) 19:01


(Gutek) #4

Prawoklik na Mój Komputer>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach. :wink:


(Marekmnich Op) #5

włączone wszystko w msconfig


(Gutek) #6

Jest Ok, na wszelki wypadek daj log:

Pobierz program SDFix

-


(Marekmnich Op) #7

dzieki za info, a co myślisz o pliku SOUNDMAN.exe teraz mam go wyłączonego,usunąłem też kasperskiego bo mi się zwiesił i nic go nie ruszało, zainstalowałem NOD 32, ale ma on problem ze skanem, uszkodzone sektory pamięci MBR 3 i MBR6 co o tym myslisz, apropo co usunie ten programik? i o co chodzi z diagnostyką sieci bo nie bardzo kumam Pokaż zapisane pliki

Usługa internetowa

Domyślna poczta programu Outlook Express Nieskonfigurowane

Domyślne grupy dyskusyjne programu Outlook Express Nieskonfigurowane

Serwer proxy w sieci Web programu Internet Explorer Nieskonfigurowane

Informacje o komputerze

System komputerowy M-54835726582C4

AdminPasswordStatus = 3

AutomaticResetBootOption = PRAWDA

AutomaticResetCapability = PRAWDA

BootROMSupported = PRAWDA

BootupState = Normal boot

Caption = M-54835726582C4

ChassisBootupState = 2

CreationClassName = Win32_ComputerSystem

CurrentTimeZone = 60

DaylightInEffect = FAŁSZ

Description = AT/AT COMPATIBLE

Domain = GRUPA_ROBOCZA

DomainRole = 0

EnableDaylightSavingsTime = PRAWDA

FrontPanelResetStatus = 3

InfraredSupported = FAŁSZ

KeyboardPasswordStatus = 3

Manufacturer = VIA Technologies, Inc.

Model = KT333-8235

Name = M-54835726582C4

NumberOfProcessors = 1

PartOfDomain = FAŁSZ

PauseAfterReset = -1

PowerOnPasswordStatus = 3

PowerState = 0

PowerSupplyState = 2

PrimaryOwnerName = m

ResetCapability = 1

ResetCount = -1

ResetLimit = -1

Status = OK

SystemStartupDelay = 1

SystemStartupOptions = "Microsoft Windows XP Professional" /noexecute=optin /fastdetect

SystemStartupSetting = 0

SystemType = X86-based PC

ThermalState = 2

TotalPhysicalMemory = 670552064

UserName = M-54835726582C4\m

WakeUpType = 6

System operacyjny

Microsoft Windows XP Professional

BootDevice = \Device\HarddiskVolume1

BuildNumber = 2600

BuildType = Uniprocessor Free

Caption = Microsoft Windows XP Professional

CodeSet = 1250

CountryCode = 48

CreationClassName = Win32_OperatingSystem

CSCreationClassName = Win32_ComputerSystem

CSDVersion = Dodatek Service Pack 2

CSName = M-54835726582C4

CurrentTimeZone = 60

DataExecutionPrevention_32BitApplications = FAŁSZ

DataExecutionPrevention_Available = FAŁSZ

DataExecutionPrevention_Drivers = FAŁSZ

DataExecutionPrevention_SupportPolicy = 2

Debug = FAŁSZ

Description = Microsoft Windows XP Professional

Distributed = FAŁSZ

EncryptionLevel = 168

ForegroundApplicationBoost = 2

FreePhysicalMemory = 418924

FreeSpaceInPagingFiles = 2404472

FreeVirtualMemory = 2053960

InstallDate = 07:32:41 2007-09-25

LargeSystemCache = 0

LastBootUpTime = 15:35:28 2007-11-11

LocalDateTime = 15:44:31 2007-11-11

Locale = 0415

Manufacturer = Microsoft Corporation

MaxNumberOfProcesses = -1

MaxProcessMemorySize = 2097024

Name = Microsoft Windows XP Professional|C:\WINDOWS|\Device\Harddisk0\Partition3

NumberOfProcesses = 25

OSLanguage = 1045

OSType = 18

Primary = PRAWDA

ProductType = 1

QuantumLength = 0

QuantumType = 0

RegisteredUser = m

SerialNumber = 55034-647-9973356-23565

ServicePackMajorVersion = 2

ServicePackMinorVersion = 0

SizeStoredInPagingFiles = 2582596

Status = OK

SuiteMask = 272

SystemDevice = \Device\HarddiskVolume2

SystemDirectory = C:\WINDOWS\system32

SystemDrive = C:

TotalVirtualMemorySize = 2097024

TotalVisibleMemorySize = 654836

Version = 5.1.2600

WindowsDirectory = C:\WINDOWS

Wersja

5.1.2600

Version = 5.1.2600

BuildVersion = 2600.0000

Modemy i karty sieciowe

Modemy

Karty sieciowe

NIEPOWODZENIE

[00393219] WAN Miniport (IP) (NIEPOWODZENIE)

Caption = [00393219] WAN Miniport (IP)

DatabasePath = %SystemRoot%\System32\drivers\etc

DefaultIPGateway = 87.205.174.237(Ta sama podsieć) (SUKCES)

Description = WAN (PPP/SLIP) Interface

DHCPEnabled = FAŁSZ

DNSEnabledForWINSResolution = FAŁSZ

DNSHostName = m-54835726582c4

DNSServerSearchOrder (NIEPOWODZENIE)

DomainDNSRegistrationEnabled = FAŁSZ

FullDNSRegistrationEnabled = FAŁSZ

GatewayCostMetric = 1

Index = 393219

IPAddress = 87.205.174.237 (SUKCES)

IPConnectionMetric = 50

IPEnabled = PRAWDA

IPFilterSecurityEnabled = FAŁSZ

IPSubnet = 255.255.255.255

IPXEnabled = FAŁSZ

MACAddress = 00:53:45:00:00:00

ServiceName = NdisWan

TcpWindowSize = 65535

WINSEnableLMHostsLookup = PRAWDA

[00000009] Połączenie TV/wideo firmy Microsoft (SUKCES)

Caption = [00000009] Połączenie TV/wideo firmy Microsoft

DatabasePath = %SystemRoot%\System32\drivers\etc

DefaultIPGateway = 87.205.174.237(Ta sama podsieć) (SUKCES)

Description = WAN (PPP/SLIP) Interface

DHCPEnabled = PRAWDA

DNSEnabledForWINSResolution = FAŁSZ

DNSHostName = m-54835726582c4

DomainDNSRegistrationEnabled = FAŁSZ

FullDNSRegistrationEnabled = PRAWDA

GatewayCostMetric = 1

Index = 9

IPAddress = 87.205.174.237 (SUKCES)

IPConnectionMetric = 50

IPEnabled = PRAWDA

IPFilterSecurityEnabled = FAŁSZ

IPSecPermitIPProtocols = 0

IPSecPermitTCPPorts = 0

IPSecPermitUDPPorts = 0

IPSubnet = 255.255.255.255

IPXEnabled = FAŁSZ

MACAddress = 00:53:45:00:00:00

ServiceName = NdisIP

SettingID = {E51C6015-1217-45FC-866C-22B02E6AFA4C}

TcpipNetbiosOptions = 0

TcpWindowSize = 65535

WINSEnableLMHostsLookup = PRAWDA

Klienci sieci

Usługi terminalowe firmy Microsoft

Description = RDPNP

Manufacturer = Microsoft Corporation

Name = Usługi terminalowe firmy Microsoft

Status = Unknown

Microsoft Windows Network

Caption = Stacja robocza

Description = Tworzy i zachowuje połączenia sieciowe klientów z serwerami zdalnymi. Jeśli ta usługa zostanie zatrzymana, połączenia te staną się niedostępne. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać.

Manufacturer = Microsoft Corporation

Name = Microsoft Windows Network

Status = Unknown

Web Client Network

Caption = WebClient

Description = Umożliwia programom dla systemu Windows tworzenie, dostęp i modyfikowanie plików w Internecie. Jeśli ta usługa zostanie zatrzymana, funkcje te będą niedostępne. Jeśli ta usługa zostanie wyłączona, wszelkie usługi jawnie od niej zależne przestaną się uruchamiać.

Manufacturer = Microsoft Corporation

Name = Web Client Network

Status = OK


(Gutek) #8

gdzie log?


(Marekmnich Op) #9

SDFix: Version 1.114

Run by m on 2007-11-12 at 21:19

Microsoft Windows XP [Wersja 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

C:\WINDOWS

No streams found.

C:\WINDOWS\system32

No streams found.

C:\WINDOWS\system32\svchost.exe

No streams found.

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

Final Check:

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-12 21:23:18

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40]

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]

"DisplayName"="Alcohol 120%"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c]

"Order"=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,..

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services:


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:


Files with Hidden Attributes:

Fri 2 Nov 2007 88 ..SHR --- "C:\WINDOWS\system32\8435A1FBED.sys"

Fri 2 Nov 2007 3,766 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Sun 4 Nov 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Finished!


(Gutek) #10

Powinno być Ok


(Marekmnich Op) #11

dzięki za pomoc, mam nadzieję bo troche poracuje i korzystam z netu i stron bankowych a niechciałbym miec przecieków