Prośba o spr.loga

Dla specjalistów Bezpieczeństwo
#1

Będę dozgonnie wdzięczny za sprawdzenie loga, sprawdzałem je również automatem lecz nie mam 100% pewności.

Logfile of HijackThis v1.99.1

Scan saved at 11:01:02, on 2005-04-09

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

D:\różne\HijackThis.exe

C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\dorota\USTAWI~1\Temp\se.dll/spage.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOCUME~1\dorota\USTAWI~1\Temp\se.dll/spage.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - Default URLSearchHook is missing

O2 - BHO: Search Bar - {4E7BD74F-2B8D-469E-A1F6-FC7EB590A97D} - C:\WINDOWS\DOWNLO~1\search3.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: (no name) - {7025C772-EA39-4722-96D2-26EFAB539077} - C:\WINDOWS\System32\llce.dll

O2 - BHO: (no name) - {76290F5A-EE9F-BE3E-E814-B9EEFAF0BDBB} - C:\WINDOWS\System32\xuygv.dll

O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)

O3 - Toolbar: Search Bar - {4E7BD74F-2B8D-469E-A1F6-FC7EB590A97D} - C:\WINDOWS\DOWNLO~1\search3.dll

O4 - HKLM…\Run: [MSSecureHtml] C:\WINDOWS\System32\mshtm6.exe

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM…\Run: [winupdtl] C:\WINDOWS\System32\winupdt.exe

O4 - HKLM…\Run: [AUNPS2] RUNDLL32 AUNPS2.DLL,_Run@16

O4 - HKLM…\Run: [bMan] C:\Documents and Settings\All Users\Dane aplikacji\msw\BMan1.exe

O4 - HKLM…\Run: [etbrun] C:\windows\system32\elitetcu32.exe

O4 - HKLM…\Run: [AutoLoader0F4M1RKWLWaW] “C:\WINDOWS\System32\gpu3msp.exe”

O4 - HKLM…\Run: [0sni3FX] gpu3msp.exe

O4 - HKLM…\Run: [KavSvc] C:\WINDOWS\System32\razvvl.exe

O4 - HKLM…\Run: [ClamWin] “C:\Program Files\ClamWin\bin\ClamTray.exe” --logon

O4 - HKLM…\Run: [sp] rundll32 C:\DOCUME~1\dorota\USTAWI~1\Temp\se.dll,DllInstall

O4 - HKLM…\Run: [NGEODLL] C:\WINDOWS\NGEODLL.EXE

O4 - HKLM…\Run: [AFXRENC] C:\WINDOWS\AFXRENC.EXE

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [smrs] C:\WINDOWS\System32\osrh.exe

O4 - HKCU…\Run: [Hvf] C:\WINDOWS\System32??rss.exe

O4 - HKCU…\Run: [HB4sRPb2Q] gpksrv.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - http://advnt03.com/dialer/internazionale_ver10.CAB

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {E95CF138-A587-4C54-8175-3AD80997CB14} (GINSOCCER Class) - http://67.15.101.3/g_bin/pl/soccer_2_0_0_7.cab

O17 - HKLM\System\CCS\Services\Tcpip…{DFB392CA-0B87-44B6-A93A-186ED2BDEEC5}: NameServer = 213.172.186.4,213.172.186.5

O18 - Filter: text/html - {820E4CB2-8FB7-4ACC-B8DD-00FA4D981AD2} - C:\WINDOWS\System32\llce.dll

O18 - Filter: text/plain - {820E4CB2-8FB7-4ACC-B8DD-00FA4D981AD2} - C:\WINDOWS\System32\llce.dll

#2

CWS: about:blank / Temp\sp.html i reszta:

To wszystko do wywalenioa najpierw start do awaryjnego potem kasacja hijackiem i ręcznie usuwasz wpisy zaznaczone na czerwono. Użyj zestawu FxAgentB.exe + CWShredder + Ad-aware. Dokończyć skanerami online - Scanery do wyboru

Użyj Elite Toolbar Remover, Program uruchamiamy w trybie awaryjnym i klikamy Kill Elite Toolbar

Problem bedzie z tym ??rss.exe jak usunąć, poczytaj Usuwanie pliku "z pytajnikiem"

#3

Przedewszystkim to wielkie dzięki dla Guteka2222 za pomoc w “walce”.Wywaliłem wszystko to co mi kazałeś a nawet więcej bo do wczoraj doszły nowe loga.W każdym razie następne logo po czyszczeniu:

Logfile of HijackThis v1.99.1

Scan saved at 00:41:07, on 2005-04-14

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.exe

C:\WINDOWS\system32\spoolsv.exe

c:\windows\system32\urckezl.exe

C:\Program Files\ClamWin\bin\ClamTray.exe

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\System32\razvvl.exe

D:\różne\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM…\Run: [AUNPS2] RUNDLL32 AUNPS2.DLL,_Run@16

O4 - HKLM…\Run: [ClamWin] “C:\Program Files\ClamWin\bin\ClamTray.exe” --logon

O4 - HKLM…\Run: [nzjoth] c:\windows\system32\urckezl.exe

O4 - HKLM…\Run: [KavSvc] C:\WINDOWS\System32\razvvl.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{DFB392CA-0B87-44B6-A93A-186ED2BDEEC5}: NameServer = 213.172.186.4,213.172.186.5

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe

Zapodałem dodatkowo zestawy czyszczące z tym że ETRemover mi nie zadziałał…niewiedzieć czemu…Zrobiłem również skan MKSem online i nie wywalił mi kilku wirów…

C\Windows\System32\peyttby.dll - Trojan Downloader Qoologic I

C\Windows\System32\ggupp.dat

C\Windows\System32\razvvl.exel

C\Windows\System32\urckezl.exe

Co z tym zrobić bo nie mogę tego namierzyć??

Jeszcze jedno pytanko : w kompie mam anty wira ClamWin…nim również skanowałem i coś tam znalazł…jaka jest ocena tego programu???

#4

No już log wygląda o wiele lepiej

Usuń tak jak Gutek2222 napisał jeżeli nie dasz rady to spróbuj usunąć programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżki do plikó których nie możesz usunąć:

Po każdorazowym wklejeniu ścieżki program będzie pytał o restart (oczywiście zgadzasz sie)

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe

O4 - HKLM…\Run: [AUNPS2]RUNDLL32 AUNPS2.DLL,_Run@16

O4 - HKLM…\Run: [nzjoth] c:\windows\system32\urckezl.exe

O4 - HKLM…\Run: [KavSvc] C:\WINDOWS\System32\razvvl.exe

#5

Jeszcze te usuń, co do wpisu023: Proszę zastartować do awaryjnego >>> otworzyć HijackThis >>> Misc Tools >>> Delete NT Service >>> wklepać SvcProc >>> potwierdzić >>> reset kompa i wtedy usunąć Pocket Killbox :stuck_out_tongue:

#6

Oto mój log po ostatnim czyszczeniu, net działa już nieby bez problemów. Zapodałem sobie dodatkowo kerio. Jeszcze raz wielkie dzięki za pomoc.

Logfile of HijackThis v1.99.1

Scan saved at 11:22:37, on 2005-04-17

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\ClamWin\bin\ClamTray.exe

C:\Program Files\Kerio\Personal Firewall\persfw.exe

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\wuauclt.exe

D:\różne\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM…\Run: [ClamWin] “C:\Program Files\ClamWin\bin\ClamTray.exe” --logon

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{DFB392CA-0B87-44B6-A93A-186ED2BDEEC5}: NameServer = 213.172.186.4,213.172.186.5

O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Mam nadzieję że jest już oki , z tym że myślę że ostatni wpis-O23- również powinien już zniknąć a został. Skanowałem mks-online znalazł 2 wiry ale usunął…niby czysto.

#7

Log jest czysty

A robiłeś tak jak napisał Gutek2222

#8

Ok jezeli nie poszło zrób tak:

Start do Konsoli Odzyskiwania wg TEJ instrukcji i łupnięcie tam komendą:

disable , po tym reset kompa i możesz wykonać już to:

w Hijacku Misc Tools >> Delete NT service >> wpisz:SvcProc >>> zatwierdź i zresetuj komputer.