Proszę o sprawdzenie loga....po włączeniu kompa


(Łowczy67) #1

Po włączeniu się kompa system szuka mi ibm.0001.exe

oczywiście wcześniej został zaatakowany komp przez wirka.

Synek na gadu otworzył link prowadzący do zdjęcia...słynne ,,zdjęcie ładnej krakowianki,,

Logfile of HijackThis v1.99.1

Scan saved at 12:40:38, on 2005-10-17

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\Program Files\MKS\Bin\NetMonSV.exe

F:\Program Files\MKS\Bin\mksmonsv.exe

F:\WINDOWS\System32\nvsvc32.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\SOUNDMAN.EXE

F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

F:\Program Files\MKS\Bin\mks_menu.exe

F:\Program Files\MKS\Bin\ABregmon.exe

F:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe

F:\Program Files\Kalendarz XP\Kalendarz.exe

F:\Program Files\D-Link AirPlus\AirPlus.exe

F:\Program Files\Corel\Graphics9\Register\Remind32.exe

F:\WINDOWS\System32\wuauclt.exe

F:\Program Files\MKS\Bin\mks_scan.exe

F:\WINDOWS\explorer.exe

F:\Program Files\Internet Explorer\iexplore.exe

F:\Documents and Settings\Radek\Pulpit\Nie ruszać\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://w3cache.galas.tuchow.pl/proxy.pac

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=explorer.exe "F:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe"

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {78364D99-A640-4ddf-B91A-67EFF8373045} - F:\WINDOWS\system32\appwiz.dll (file missing)

O2 - BHO: (no name) - {91259102-F52D-E42A-57ed-EDA392644311} - F:\WINDOWS\System32\svcpy.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] F:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe

O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [MKS_MENU] F:\Program Files\MKS\Bin\mks_menu.exe

O4 - HKLM\..\Run: [ABREGMON] F:\Program Files\MKS\Bin\ABregmon.exe

O4 - Startup: Rejestrowanie produktów Corela.lnk = F:\Program Files\Corel\Graphics9\Register\Remind32.exe

O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Microtek Scanner Finder.lnk = F:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe

O4 - Global Startup: Kalendarz XP.lnk = F:\Program Files\Kalendarz XP\Kalendarz.exe

O4 - Global Startup: D-Link AirPlus.lnk = ?

O12 - Plugin for .bcf: F:\Program Files\Internet Explorer\Plugins\NPBelv32.dll

O12 - Plugin for .spop: F:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120758474530

O16 - DPF: {82CF9738-0BDA-4AAF-AB08-5AC5875FF3BB} (YMultiRecord Class) - file://F:\Program Files\Angielski z Cambridge - demo\lekcje\localplayer\recording\yrecording.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{63FEDFAC-6D06-4BF1-8742-72DC1E1B8963}: NameServer = 192.168.3.1

O20 - Winlogon Notify: tcpG4T - tcpG4T.dll (file missing)

O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - F:\WINDOWS\System32\onfhpdgc.dll (file missing)

O21 - SSODL: Internet Explorer - {F28A40D7-AD0E-034A-C651-5F0ED76232E6} - F:\WINDOWS\System32\Kceoedhl.dll (file missing)

O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit sp. z o.o. - F:\Program Files\MKS\Bin\NetMonSV.exe

O23 - Service: MkSUpdateInt - MkS Sp. z o. o. - F:\Program Files\MKS\bin\MkSUpdateInt.exe

O23 - Service: MkS_Vir Monitor (MksVirMonSvc) - Unknown owner - F:\Program Files\MKS\Bin\mksmonsv.exe

O23 - Service: MkS_Scan - Unknown owner - F:\Program Files\MKS\Bin\mks_scan.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe

Złączono Posta : 17.10.2005 (Pon) 13:04

z góry dziękuje za pomoc :smiley:


(Kuz5) #2

Co ty za bzdury piszesz, sp2 instaluje sie na czysty system a nie zasyfiony :?

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Backdoor.Haxdoor.AG jak sie go pozbyć masz TUTAJ

Pliki na czerwono usun ręcznie z dysku

Plik ibm00001.exe usun programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

F:\Program Files\Common Files\Microsoft Shared\Web Folders**** ibm00001.exe

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

Wyczyść rejestr programem jv16 PowerTools

Opcje rejestru =>Klikamy "Czyszczenie rejestru" (opcja pokazana na na poniższym obrazku) następnie klikamy "Kontynuuj" po czym klikamy "Start" po tym jak program sprawdzi rejestr klikamy Wybierz => Wybór specjalny i klikamy "Pozycje które można bezpiecznie usunąć" i na koniec klikamy "Usuń"

jpt3kj.jpg


(Gutek) #3

Użyj też narzędzia CWS.Systime Removal 3.5


(Łowczy67) #4

Dzięki chłopcy za pomoc.... :smiley: