Prosze o sprawdzenie loga

Dla specjalistów Bezpieczeństwo
#1

Witam, jest to kontynuacja tego tematu http://forum.dobreprogramy.pl/viewtopic … 529#335529

Dodam ze Avast caly czas blokuje DCOM exploit, a ZA udalo sie zainstalowac.

Logfile of HijackThis v1.99.1

Scan saved at 19:31:50, on 2005-09-23

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Documents and Settings\x\Pulpit\wwdc.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe

C:\Documents and Settings\x\Moje dokumenty\izulcia@neostrada.pl\hijackthis1\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127379531178

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7CAB18B5-7ED6-44EA-9E1D-C0F17B0CADEA}: NameServer = 194.204.159.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F4EACE9-CD4B-4093-9B32-23BBEEB79F4B}: NameServer = 194.204.152.34 217.98.63.164

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - C:\Program Files\Wirtualna Polska\wpkontakt\url_wpmsg.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
#2

te rzeczy fiksujesz w trybie awaryjnym z wyłączonym przywracaniem systemu:

znasz tą aplikacje? jak nie to usuń

reszta logu jest ok.

BTW

jak blokuje to dobrze. nie obawiaj się :slight_smile:

a przeglądasz jakieś strony które potencjalnie mogą być zawirusowane? lub coś w tym stylu? dostajesz mail`e od osób których nie znasz.

kiedy ostatnio skanowałaś system antywirem?

#3

Wyłącz przywracanie systemu:

Mój komputer -> Właściwości-> Przywracanie systemu -> Wyłącz przywracanie systemu na wszystkich dyskach i zaptaszczasz wszystko

Reset budy - wchodzisz w tryb awaryjny

F8 przy startowaniu trzymasz i z menu wybierasz tryb awaryjny.

W hijacku poprzez Fix Checked kasujesz wpisy:

kosmetycznie mozesz wyłączyć w autostarcie:

Start - Uruchom -> wpisujesz “msconfig” i w zakładce uruchamianie odchaczasz:

Messengera jak nie używasz usuwasz tym:

http://www.amnezja.org/modules.php?name … e&sid=1014

Złączono Posta : 23.09.2005 (Pią) 19:44

po co to ma usuwać ? :?

#4

naprawiłem swój błąd i zedytowałem post zanim dołączyłeś posta :slight_smile:

#5

A jakie to sa strony? Nie otwieram stron XXX :oops:

Maile sprawdzam przez www.

Ostatnio dosyc czesto uzywalam antywirusow, po powrocie kompa z serwisu tylko Avasta i Spybota.

Zaraz usune podane wpisy.

Dziekuje za dotychczasowa pomoc :slight_smile:

#6

strony xxx nie tylko mogą mieć szkodliwy kod w sobie :roll:

inne “egzotyczne” odnośniki do których przez przypadek się wejdzie mogą również być nie przyjemne.

http://forum.dobreprogramy.pl/viewtopic … 529#335529 - na tej stronie napisałaś że nie masz problemów z portami. chodzi mi o ten cytat:

wg mnie ten program jest zbędny a najlepszym rozwiązaniem blokującym otwarte porty które nie nadają się do niczego i mogą być złe w skutakach zablokuje firewall. a ja nie widze żebyś korzystała w tej chwili z firewalla. polecam Kerio lub Outpost.

#7

Wszystko wrocilo do normy. Dziekuje za pomoc. Pozdrawiam, w razie czego jeszcze tu wroce :lol:

EDIT: Juz wrocilam. Okazalo sie, ze panda wykryla pare rzeczy. Wiekszosc udalo sie usunac w trybie awaryjnym. Oto log z ostatniego skanu Panda (tlen juz odinstalowany, a poprzednio zostal usuniety tool2.exe, teraz przenioslo sie na tool1):

Adware:adware/cws.searchmeup Nie wyleczalny C:\WINDOWS\tool1.exe                                                                                                                                                                                                                                            

Adware:adware/savenow Nie wyleczalny Windows Registry                                                                                                                                                                                                                                                

Adware:Adware/DoZa Nie wyleczalny C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl                                                                                                                                                                                                                

Adware:Adware/WUpd Nie wyleczalny C:\RECYCLER\S-1-5-21-583907252-746137067-1343024091-1003\Dc99.exe
#8

Plik na czerwono usun recznie z dysku w trybie awaryjnym z wyłączonym przywracaniem

Wyczyść kosz

Wyczyść rejestr programem jv16 PowerTools

Opcje rejestru =>Klikamy “Czyszczenie rejestru” (opcja pokazana na na poniższym obrazku) następnie klikamy “Kontynuuj” po czym klikamy “Start” po tym jak program sprawdzi rejestr klikamy Wybierz => Wybór specjalny i klikamy “Pozycje które można bezpiecznie usunąć” i na koniec klikamy “Usuń”

jpt3kj.jpg

#9

Robie wszystko tak jak napisales. Wyswietlilo sie 1800 wpisow bezpiecznych do usuniecia, ale jak klikne ‘usun’ to nic sie nie dzieje. Dlaczego?

#10

Zaznaczyłaś wszystkie? (Ctrl+A)

Lub “zaptaszasz” wybrane.

#11

Tak, wszystkie sa zaznaczone tak jak mowil kuz5 (Wybierz\wybor specjalny\pozycje ktore mozna bezpieczne usunac). Jak klikne ‘usun’ nic sie nie dzieje. Jak zaznacze jeden wpis, tez nie chce sie usunac…

#12

Spróbuj w trybie awarjnym [F8] w czasie bootowania komputera.

Lub pobierz nowszą wersję jv16 (z Vortalu, ta jest niestety tylko 30-dniowa) i sprawdź. PS - obsługa trochę inna - ale równie prosta.

#13

Jest czysciutko, :smiley: serdecznie dziekuje za pomoc. Pozdrawiam.