Proszę o sprawdzenie loga

Dla specjalistów Bezpieczeństwo
#1

mam problem, poniewaz przy kazdym uruchomieniu systemu (XP) pokazuje mi sie okienko ze nie znaleziono pliku c:\program files…\ibm 00001.exe.

Poza tym wlasnie od czasu gdy mi sie to zaczelo pojawiac strasznie dlugo mi sie loguje. Bym byl wdzieczny za pomoc a napewno ktos sie na tym zna. Z gory thx

Zamieszczam loga:

Logfile of HijackThis v1.99.1

Scan saved at 00:32:53, on 2005-11-04

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\Explorer.EXE

E:\Program Files\Gadu-Gadu\gg.exe

E:\WINDOWS\System32\nvsvc32.exe

E:\WINDOWS\System32\svchost.exe

E:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

E:\Program Files\Internet Explorer\IEXPLORE.EXE

E:\Documents and Settings\zibek1\Pulpit\Nowy folder\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wp.pl/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5} - (no file)

O2 - BHO: (no name) - {87BFBE02-CFFC-4FAB-A51A-88D73C8AA7D7} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KAVPersonal50] "E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Program Files\Gadu-Gadu\gg.exe" /tray

O17 - HKLM\System\CCS\Services\Tcpip\..\{B0274473-29C9-48E8-86C5-A17C91B8EF9A}: NameServer = 192.168.2.1,194.204.159.1

O20 - Winlogon Notify: avpu32 - avpu32.dll (file missing)

O20 - Winlogon Notify: st3 - E:\WINDOWS\

O20 - Winlogon Notify: st3i - E:\WINDOWS\

O21 - SSODL: SysTray.Excn2 - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file)

O21 - SSODL: SysTray.Exsn - {2368D1FC-2F5C-4f1b-B124-E67214FC78E2} - (no file)

O21 - SSODL: SysTray.Exsh - {1768ECFC-4F5C-4f5b-B134-D67294FC78E9} - (no file)

O23 - Service: kavsvc - Kaspersky Lab - E:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\System32\HPZipm12.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - E:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
#2

Usuń: (wszystko oczywiście robisz w trybie awaryjnym z wyłączonym przywracaniem systemu)

Pliki na czerwono usun ręcznie z dysku

Plik ibm00001.exe usuń programem Pocket Killbox czyli odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżke:

C:\Program Files\Common Files\Microsoft Shared\Web Folders** ibm00001.exe**

następnie program będzie pytał o restart (oczywiście zgadzasz sie)

Wyczyść rejestr programem jv16 PowerTools

Opcje rejestru =>Klikamy “Czyszczenie rejestru” (opcja pokazana na na poniższym obrazku) następnie klikamy “Kontynuuj” po czym klikamy “Start” po tym jak program sprawdzi rejestr klikamy Wybierz => Wybór specjalny i klikamy “Pozycje które można bezpiecznie usunąć” i na koniec klikamy “Usuń”

jpt3kj.jpg

Uwaga: Jak wklejasz loga to obejmuj go znacznikiem (tagiem) CODE lub QUOTE

Proponuje poczytać TEN temat i zobacz jaka jest prośba do userów wklejających loga.

#3

Nie będzie tak łatwo. To jest ciężki przypadek = rootkit sterownikowy.

POo tym wszystkim prosż edla mnie 2 log-i z hijacka i z Silent Runners