Window security

Dla specjalistów Bezpieczeństwo
#1

Prosze o pomoc co mam usunac bo tez mam windows securi alert

Logfile of HijackThis v1.99.1 

Scan saved at 16:25:48, on 2007-09-04 

Platform: Windows XP (WinNT 5.01.2600) 

MSIE: Internet Explorer v6.00 (6.00.2600.0000) 


Running processes: 

C:\WINDOWS\System32\smss.exe 

C:\WINDOWS\system32\winlogon.exe 

C:\WINDOWS\system32\services.exe 

C:\WINDOWS\system32\lsass.exe 

C:\WINDOWS\system32\svchost.exe 

C:\WINDOWS\System32\svchost.exe 

C:\WINDOWS\system32\spoolsv.exe 

C:\WINDOWS\Explorer.exe 

C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe 

C:\WINDOWS\System32\CTHELPER.EXE 

C:\WINDOWS\SOUNDMAN.EXE 

C:\Program Files\Winamp\winampa.exe 

C:\WINDOWS\System32\CTHELPER.EXE 

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe 

C:\WINDOWS\System32\WinAvXX.exe 

C:\WINDOWS\System32\ctfmon.exe 

C:\Program Files\Messenger\msmsgs.exe 

C:\WINDOWS\System32\nvsvc32.exe 

C:\WINDOWS\System32\svchost.exe 

C:\Program Files\Internet Explorer\IEXPLORE.EXE 

C:\Program Files\Gadu-Gadu\gg.exe 

C:\Program Files\Winamp\winamp.exe 

C:\Program Files\Internet Explorer\IEXPLORE.EXE 

C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe 

C:\Program Files\Internet Explorer\iexplore.exe 

C:\Program Files\Internet Explorer\IEXPLORE.EXE 

C:\Program Files\WinRAR\WinRAR.exe 

C:\DOCUME~1\Jacek\USTAWI~1\Temp\Rar$EX08.298\HijackThis.exe 


R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.219.28.144:8080 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza 

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\printer.exe 

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx 

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL 

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe 

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup 

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install 

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE 

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE 

O4 - HKLM\..\Run: [Jet Detection] C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe 

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE 

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe 

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe 

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE 

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" 

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe 

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k 

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe 

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe 

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background 

O4 - HKCU\..\Run: [µTorrent] "D:\utorrent.exe" 

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\System32\WinAvXX.exe 

O4 - Startup: system.exe 

O4 - Global Startup: autorun.exe 

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll 

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll 

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL 

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm 

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm 

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182853916437 

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ 

O21 - SSODL: DvMLFp - {A0A1D914-0A0B-73BE-EE2E-3A6899E6EF5C} - C:\WINDOWS\System32\gkpb.dll 

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
#2

Jeśli nie masz jakiegoś narzędzia usuwającego, to ściągnij OTMoveIt

Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:

Następnie wciśnij przycisk MoveIt!

Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes.

Po restarcie usuń ręcznie folder C:** _OTMoveIt** (Prawoklik >>> Usuń >>> Opróżnij Kosz).

Potem: Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Potem daj tu log z Hijacka oraz log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

jessi

#3

http://wklej.org/id/6001197b7e

O to log i co ok ??

#4

Znów uruchom MoveIt.

Do pola Paste List of Files/Folders to be Moved wklej poniższe ścieżki:

Następnie wciśnij przycisk MoveIt!

Pojawi się komunikat, że jest potrzebny restart do usunięcia podanych plików/folderów- wciśnij Yes.

Po restarcie usuń ręcznie folder C:** _OTMoveIt** (Prawoklik >>> Usuń >>> Opróżnij Kosz).

Potem, jeśli chcesz, to możesz jeszcze, na wszelki wypadek użyć SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

jessi

#5

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-04 19:19:49

Windows 5.1.2600 NTFS

scanning hidden processes …

scanning hidden services …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Raport

#6

Co Ty tu dałeś?

Ja chciałam, byś ewentualnie użył SDFix, a nie Catchme. :slight_smile: :slight_smile:

Chyba możesz też jeszcze raz dać nowy log z ComboFixa - może ktoś inny świeżym okiem obejrzy go?

jessi

#7

Pobierz program SDFix - niżej opis co i i jak: