You have a secruity problem

Dla specjalistów Bezpieczeństwo
#1

Czesc

Dam tutaj loga!

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:45:24, on 2008-12-25

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20583)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\lxdxcoms.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\Program Files\Neostrada TP\taskbaricon.exe

D:\Program Files\DAEMON Tools\daemon.exe

D:\Program Files\Winamp\winampa.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe

C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe

C:\WINDOWS\system32\ctfmon.exe

E:\Kalendarz XP\Kalendarz.exe

C:\Program Files\Neostrada TP\NeostradaTP.exe

C:\Program Files\Neostrada TP\ComComp.exe

C:\Program Files\Neostrada TP\Watch.exe

D:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\6lmAXrht.exe

D:\Program Files\Webzen\Mu\WINMU.EXE

D:\Program Files\Webzen\Mu\BigMu.exe

C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\a.exe

C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp~tmpb.exe

C:\WINDOWS\system32\ctfmon.exe

C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp~tmpc.exe

C:\Program Files\Mozilla Firefox\firefox.exe

E:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.gametop.com/?utm_source=Ci … dium=start

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

O2 - BHO: Lexmark Pasek narzędzi - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O3 - Toolbar: Lexmark Pasek narzędzi - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll

O4 - HKLM…\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] C:\Program Files\Neostrada TP\taskbaricon.exe

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [DAEMON Tools] “d:\Program Files\DAEMON Tools\daemon.exe” -lang 1033

O4 - HKLM…\Run: [WinampAgent] “D:\Program Files\Winamp\winampa.exe”

O4 - HKLM…\Run: [Google Desktop Search] “C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe” /startup

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [lxdxmon.exe] “C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe”

O4 - HKLM…\Run: [lxdxamon] “C:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe”

O4 - HKLM…\Run: [FaxCenterServer] “C:\Program Files\Lexmark Fax Solutions\fm3032.exe” /s

O4 - HKLM…\Run: [hosted] C:\Windows\system32\system.exe

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [bitComet] “C:\Program Files\BitComet\BitComet.exe” /tray

O4 - HKCU…\Run: [iPLA!] d:\Program Files\IPLA\IPLA.exe /autorun

O4 - HKCU…\Run: [Nowe Gadu-Gadu] “C:\Program Files\Nowe Gadu-Gadu\gg.exe”

O4 - HKCU…\Run: [Cognac] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp~tmpb.exe

O4 - HKCU…\Run: [MSFox] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\a.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-19…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-20…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS\S-1-5-18…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - HKUS.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘Default user’)

O4 - Global Startup: Kalendarz XP.lnk = E:\Kalendarz XP\Kalendarz.exe

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)

O17 - HKLM\System\CCS\Services\Tcpip…{1D7B373D-2478-4F4B-B212-4371A4884128}: NameServer = 194.204.159.1 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip…{1D7B373D-2478-4F4B-B212-4371A4884128}: NameServer = 194.204.159.1 217.98.63.164

O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)

O23 - Service: Menedżer Google Desktop 5.7.805.16405 (GoogleDesktopManager-051608-133132) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: lxdxCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdxserv.exe

O23 - Service: lxdx_device - - C:\WINDOWS\system32\lxdxcoms.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

End of file - 7173 bytes

#2

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

#3

  1. ComboFix 08-12-24.01 - Administrator 2008-12-25 17:17:20.3 - FAT32 x86

  2. Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1023.545 [GMT 1:00]

  3. Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe

  4. * Utworzono nowy punkt przywracania

  6. UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA!!

  7. .

  9. ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

  10. .

  12. c:\windows\system32\msxml71.dll

  14. .

  15. ((((((((((((((((((((((((( Pliki utworzone od 2008-11-25 do 2008-12-25 )))))))))))))))))))))))))))))))

  16. .

  18. 2012-12-24 12:27 . 2012-12-24 12:27

  19. 2012-12-22 11:38 . 2012-12-22 11:39 515,646 --ah----- C:\hosted.exe

  20. 2012-12-18 12:35 . 2012-12-18 12:35

  21. 2008-12-25 07:51 . 2008-12-25 07:51

  22. 2008-12-07 11:07 . 2008-12-07 11:07

  23. 2008-12-04 22:22 . 2008-12-04 22:22

  24. 2008-12-04 11:40 . 2008-12-04 11:40

  25. 2008-11-25 11:57 . 2008-11-25 11:57

  27. .

  28. (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

  29. .

  30. 2008-12-07 11:49 22,328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys

  31. 2008-12-07 11:49 103,736 ----a-w c:\windows\system32\PnkBstrB.exe

  32. 2008-11-21 15:18 716,272 ----a-w c:\windows\system32\drivers\sptd.sys

  33. 2008-11-20 19:38 66,872 ----a-w c:\windows\system32\PnkBstrA.exe

  34. 2008-11-20 16:19 107,888 ----a-w c:\windows\system32\CmdLineExt.dll

  35. 2008-11-20 16:19 --------- d–h--r c:\documents and settings\Administrator\Dane aplikacji\SecuROM

  36. 2008-10-28 16:50 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\ThumbnailCache4R

  37. 2008-10-28 05:48 --------- d-----w c:\documents and settings\Administrator\Dane aplikacji\FaxCtr

  38. 2008-10-27 17:55 --------- d-----w c:\documents and settings\Administrator\Dane aplikacji\Lexmark Productivity Studio

  39. 2008-10-27 17:43 --------- d-----w c:\program files\Lexmark Fax Solutions

  40. 2008-10-27 17:43 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\FaxCtr

  41. 2008-10-27 17:42 --------- d-----w c:\program files\Abbyy FineReader 6.0 Sprint

  42. 2008-10-27 17:40 --------- d-----w c:\program files\Lexmark Toolbar

  43. 2008-10-27 17:38 --------- d-----w c:\program files\Lexmark 3600-4600 Series

  44. 2008-10-25 20:43 --------- d-----w c:\program files\microsoft frontpage

  45. 2008-10-25 16:40 60,928 ----a-w c:\windows\system32\6lmAXrht.exe

  46. 2008-07-08 20:19 122,880 ----a-w c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

  47. 2008-11-15 10:30 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll

  48. 2008-11-15 10:30 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll

  49. 2008-11-15 10:30 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll

  50. 2008-11-15 10:30 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll

  51. 2008-11-15 10:30 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll

  52. 2008-06-06 13:13 16,384 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

  53. 2008-06-06 13:13 32,768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat

  54. 2008-06-06 13:13 16,384 --sha-w c:\windows\system32\config\systemprofile\Cookies\index.dat

  55. .

  57. ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

  58. .

  59. .

  60. *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

  61. REGEDIT4

  63. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

  64. “ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2004-08-04 15360]

  65. “Gadu-Gadu”=“d:\program files\Gadu-Gadu\gg.exe” [2007-04-17 2113536]

  66. “BitComet”=“c:\program files\BitComet\BitComet.exe” [2008-03-25 2196280]

  67. “IPLA!”=“d:\program files\IPLA\IPLA.exe” [2008-06-17 1633528]

#4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\hosted.exe

c:\windows\system32\6lmAXrht.exe


Folder::

C:\FOUND.011

C:\FOUND.012

C:\FOUND.010

C:\FOUND.009

C:\FOUND.008

C:\FOUND.007

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

#5

http://wklej.eu/index.php?id=562dfebf7c

#6

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

c:\windows\Tasks\At11.job 

c:\windows\Tasks\At12.job 

c:\windows\Tasks\At13.job 

c:\windows\Tasks\At14.job 

c:\windows\Tasks\At15.job 

c:\windows\Tasks\At16.job 

c:\windows\Tasks\At17.job

c:\windows\Tasks\At18.job

c:\windows\Tasks\At19.job 

c:\windows\Tasks\At20.job 

c:\windows\Tasks\At21.job

c:\windows\Tasks\At22.job 

c:\windows\Tasks\At23.job 

c:\windows\Tasks\At24.job

c:\windows\system32\6lmAXrht.exe


Driver::

lxdx_device

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

#7

http://wklej.eu/index.php?id=7e8d1c44ab

#8

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!

#9

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!

#10

Ok już wszystko jest dobrze.