theo
(Theo)
23 Listopad 2006 14:46
#1
Witam. Otworzyłem link od kogoś, oczywiscie ten ktoś niczego nie wysyłał. Załapałem jakiegos trojana i zaden program go nie wykrywa. Co jakis czas blokuje mi internet, w taki sposob ze połączenie nie pobiera w ogole adresu IP. Dodatkowo w Outlooku w adresie serwera poczty przychodzącej pojawia się adres: 127.0.0.1 i nie ściagą poczty. Program Windows Worm D? Cleaner wywala komunikat, że svchost memory usage wynosi 21348Ko i każą sprawdzić czymś system. Zamieszczam loga z hijackthis. proszę o pomoc.
Logfile of HijackThis v1.99.1 Scan saved at 15:35:05, on 06-11-23 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\explorer.exe C:\Program Files\McAfee.com \VSO\mcvsshld.exe C:\Program Files\McAfee.com \VSO\oasclnt.exe c:\program files\mcafee.com \agent\mcagent.exe c:\progra~1\mcafee.com \vso\mcvsescn.exe C:\PROGRA~1\McAfee.com \PERSON~1\MpfTray.exe C:\PROGRA~1\mcafee.com \mps\mscifapp.exe C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe C:\WINDOWS\system32\RunDLL32.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Program Files\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Tlen.pl\tlen.exe C:\Program Files\TGTSoft\StyleXP\StyleXP.exe C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe c:\program files\mcafee.com \agent\mcdetect.exe c:\PROGRA~1\mcafee.com \vso\mcshield.exe c:\PROGRA~1\mcafee.com \agent\mctskshd.exe C:\PROGRA~1\McAfee.com \PERSON~1\MpfService.exe C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\McAfee.com \PERSON~1\MpfAgent.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tpi.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=explorer.exe O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\program files\mcafee.com \mps\mcbrhlpr.dll O2 - BHO: McAfee Privacy Service Popup Blocker - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\program files\mcafee.com \mps\popupkiller.dll O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com \vso\mcvsshl.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM…\Run: [VSOCheckTask] “C:\PROGRA~1\McAfee.com \VSO\mcmnhdlr.exe” /checktask O4 - HKLM…\Run: [VirusScan Online] C:\Program Files\McAfee.com \VSO\mcvsshld.exe O4 - HKLM…\Run: [OASClnt] C:\Program Files\McAfee.com \VSO\oasclnt.exe O4 - HKLM…\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com \agent\mcagent.exe O4 - HKLM…\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com \agent\mcupdate.exe O4 - HKLM…\Run: [MPFExe] C:\PROGRA~1\McAfee.com \PERSON~1\MpfTray.exe O4 - HKLM…\Run: [MPSExe] c:\PROGRA~1\mcafee.com \mps\mscifapp.exe /embedding O4 - HKLM…\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe O4 - HKLM…\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe” O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [Komunikator] “C:\Program Files\Tlen.pl\tlen.exe” --confdir=home O4 - HKCU…\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU…\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll O9 - Extra ‘Tools’ menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program files\mcafee\spamkiller\mcapfbho.dll O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus … nicode.cab O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/share … insctl.cab O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program files\mcafee.com \agent\mcdetect.exe O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com \vso\mcshield.exe O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com \agent\mctskshd.exe O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com \Agent\mcupdmgr.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com \PERSON~1\MpfService.exe O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
Bieniol
(Bbieniol)
23 Listopad 2006 15:23
#2
Kosmetycznie usuń ten wpis:
Wrzuć jeszcze log z Silent Runners
theo
(Theo)
23 Listopad 2006 17:43
#3
nie mogę odpalić silent runners…wyskakuje mi monit że dostęp do hosta skryptów jest zablokowany, niczego nie blokowałem…a może nieświadomie jakimś programem, jak go włączyć?
Joan
(Joan Sunshine)
23 Listopad 2006 18:04
#4
Możesz ściągnąć narzędzie noscript.exe i zmienić znaczek z “Enable” na “Disable”, to uruchomi obsługę skryptów.
theo
(Theo)
23 Listopad 2006 19:21
#5
połączyłem otwieranie tego skryptu z wscript.exe , w noscript.exe przestawilem na disable i to nic nie dało niestety, ciągle się pojawia informacja o braku dostępu do skryptów poza tym co jakis czas mi wywala niebieski ekran błędu : STOP 0x000000D1 (0xF600BA4C, 0x00000002, 0x00000000) z komunikatem: DRIVER_IRQL_NOT_LESS_OR_EQUAL. I co któreś włączenie kompa net nie działa i musze resetowac, zeby pobrał IP. Czasami pomoże a czasami zabieg trzeba powtorzyc. HELP…
Bieniol
(Bbieniol)
23 Listopad 2006 19:32
#6
O Silencie poczytaj tutaj -> http://www.searchengines.pl/phpbb203/in … opic=15989
Przeinstaluj sterowniki do karty sieciowej
theo
(Theo)
23 Listopad 2006 21:01
#7
niestety, programem zmieniam blokowanie tych hostów i to nic nie daje. rownież zmienialem wartosci w rejestrze, ciągle ten monit. nie moge uruchomic tego programu. moze format c:\ ?
Bieniol
(Bbieniol)
23 Listopad 2006 21:59
#8