Siimo264
(Siimo264)
3 Październik 2009 11:42
#1
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:21:15, on 2009-10-03 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\windows\system32\spoolsv.exe C:\windows\Explorer.EXE C:\windows\system32\nvsvc32.exe C:\windows\system32\ctfmon.exe C:\Program Files\Huawei technologies\Mobile Connect\Mobile Connect.exe C:\windows\system32\svchost.exe C:\Program Files\XPSysPad\XPSysPad.exe C:\Program Files\XPSysPad\XPSysPad.exe C:\DOCUME~1\Simo\USTAWI~1\Temp\winhwpbi.exe C:\DOCUME~1\Simo\USTAWI~1\Temp\winqkmxw.exe C:\DOCUME~1\Simo\USTAWI~1\Temp\wfe7348.exe C:\DOCUME~1\Simo\USTAWI~1\Temp\qlbaj.exe C:\Documents and Settings\Simo\Pulpit\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://speedbit.com/CancelInstall.asp?p … ome_DAPVA1 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM…\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM…\Run: [unlockerAssistant] “C:\Program Files\Unlocker\UnlockerAssistant.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip…{C84286DA-64D2-476A-80A4-DED9207032FC}: NameServer = 213.158.199.1 213.158.199.5 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe – End of file - 3363 bytes
Chodzi mi o te pogrubione pliki . Ciągle mi sie pojawiaja w tym folderze co w logu lub w C:\Windows\Temp. Obserwuje je od dłuższego czasu i nie moge wyczaić z kad sie biorą. Skanowalem Anty-virusami kazdego rodzaju i nic. Probowalem je usuwac lecz gdy je usune to po jakisc 30-1h znow sie pojawiaja i o dziwo maja inna nazwe niz przedtem. Kazdy z tych programow otwiera port na moim kompie i daje dostep do consoli z sieci … wiec komputer jest narazony na wlamanie .nie mam pojecia jak je usunac a formata nie chce robic bo mam wazne dane. #-o . Poza tym ciągle mi wylacza menadzera zadan i edytor rejestru poza tym gdy zmienie ustawienie zeby ukryte pliki byly pokazywane po chwili znowu sa ukrywane … co z tym g… zrobic ??
ciemnowidz
(Henio Mazurek)
3 Październik 2009 11:47
#2
Typowe dla Sality, najprostszy byłby format wszystkiego co tam masz, ale jak chcesz powalczyć to zajrzyj w ten temat
http://www.searchengines.pl/index.php?s … pic=122692
Siimo264
(Siimo264)
3 Październik 2009 11:49
#3
On moze takze siedziec na pendrive ??
Sality infekuje .exe / .dll / .scr , więc jeśli kopiowałeś któryś plik z tym rozszerzeniem na pendrive to może być zarażony.