rav130
(Rav130)
15 Październik 2005 14:50
#1
prosilbym o sprawdzenie loga gdyz wydaje mi sie ze komputer mam zainfekowany po wlaczeniu komputera on sam sie laczy na dole pojawia sie ikonka jak outlooku gdy sie laczy z serwerem a tam pare razy pojawiaja sie te ikonki i co chwila z innym adresem a o to log:
Logfile of HijackThis v1.99.1 Scan saved at 16:36:52, on 2005-10-15 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\windows\system32\mdms.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\System32\cidaemon.exe D:\00\HijackThis.exe C:\Program Files\Winamp\winamp.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: PopUpCop - {DB43E4E6-FF8A-4018-8C8E-F68587A44A73} - C:\PROGRA~1\POPUPCOP\PopUpCop.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [sysMemory manager] c:\windows\system32\mdms.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O8 - Extra context menu item: Open Image in New Window - res://C:\Program Files\PopUpCop\popupcop.dll/imagenew O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/180so … ge-c18.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
z gury serdecznie dziekuje
adpawl
(adpawl)
15 Październik 2005 14:58
#2
Usówasz poniższe wpisy a oznaczony plik kasujesz ręcznie z dysku.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = blank.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = blank.htm O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM…\Run: [sysMemory manager] c:\windows\system32\mdms.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/180so … ge-c18.cab
Na koniec możesz wyłączyć z autostartu: nwiz, nerocheck, jushed …możesz też jeszcze: soundman i gg
Zainstaluj sobie firewalla …np. Kerio (do pobrania z Vortalu)
Koniecznie też zainstaluj ServicePack2 i pozostałe poprawki!
rav130
(Rav130)
15 Październik 2005 15:11
#3
eh dziekuje serdecznie to powinno chyba pomuc
Gutek
(Gutek)
15 Październik 2005 20:35
#4
No nie wiem, masz przecież
poczytaj Usuwanie Trojan.Repsamo
Panel sterowania >>> System >>> Zaawansowne >>> Uruchamianie i odzyskiwanie
Klikasz Ustawienia i w sekcji Zapisywanie informacji o debugowaniu ustaw opcję na Brak.
rav130
(Rav130)
15 Październik 2005 21:46
#5
Yyy szczerze powiedziawszy to nie kumam o co chodzi z tym debugowaniem a tamto co poradzil mi “adpawl” to tez dziala tak jak on powiedzial ponowne puszczenie hi jack`a nie wykazuje tego pliku (O4 - HKLM…\Run: [sysMemory manager] c:\windows\system32\mdms.exe) a z usunieciem go w trubie awaryjnym nie bylo problemu.Prosze mi powiedziec po co te debugowanie wylaczone ma byc??
z góry dziekuje za odpowiedz
adpawl
(adpawl)
15 Październik 2005 22:25
#6
Chodzi o to, że trojan ten ( bo nie jest to systemowy debuger mdm.exe a syfek, który go udaje pod nieco inną mylącą nazwą mdms.exe) posiada jeszcze plik(i) i wpisy ukryte, których nie widać w hijacku. Tak więc wykonaj jeszcze czynności opisane w poście który zapodał gutek2222 i będzie ok:
http://www.searchengines.pl/phpbb203/in … mdms&st=30
potem jeszcze dla pewności przeleć system spybotem, ad-aware i spy-sweeperem
co do debugera - możesz go wyłączyć (chocaż nie jest to niezbędne)
Nie jest to nic innego jak program interpretujący poprawność kodu i monitorujący kernel systemowy… w przypadku wykrycia błędu (krytycznego) zrzuca pamięć jądra wraz z dokładną informacją na temat tegoż błędu do katalogu dumb. Jest to opcja zbędna dla zwykłych zjadaczy chleba