CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo log

log

Sprawdzilem na www.hijackthis.de/en ale unknown wole pozostawic wam

Logfile of HijackThis v1.99.1
Scan saved at 10:07:36, on 2006-11-04
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\tcpip.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\v1201.exe
C:\WINDOWS\system32\adirss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wservice.exe
C:\PROGRA~1\FNTS~1\wuauboot.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Właściciel\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://cafesuite.kei.pl/redirect.php?ad=1470&id=500185&comp=109&url=2
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [ACTX1] C:\WINDOWS\v1201.exe
O4 - HKLM\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
O4 - HKLM\..\Run: [adir] C:\WINDOWS\system32\adirss.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
O4 - HKCU\..\Run: [Nrit] "C:\PROGRA~1\FNTS~1\wuauboot.exe" -vt tzt
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Program Files\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Program Files\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Program Files\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Program Files\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O17 - HKLM\System\CCS\Services\Tcpip\..\{7616E804-A212-4D39-9D30-539EE2946AB0}: NameServer = 194.204.159.1,213.241.4.4,212.85.112.32,212.51.192.2,153.19.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{7998A88C-E843-4CBD-A4B2-D3E4511A02AE}: NameServer = 213.241.4.4,212.75.96.2
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE27-738B1E346F99} - (no file)
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll

Odpowiedzi: 1

kierzniak:

Sprawdzilem na www.hijackthis.de/en ale unknown wole pozostawic wam

No sporo zostawiłeś ;)

Obejrzyj właściwości tego pliku, jego rozmiar i wydawcę.

C:\WINDOWS\system32\tcpip.exe

Zabij za pomocą menadżera zadań

C:\WINDOWS\v1201.exe
C:\WINDOWS\system32\adirss.exe
C:\WINDOWS\system32\wservice.exe
C:\PROGRA~1\FNTS~1\wuauboot.exe

Do fixa

Pliki i foldery wyboldowane usuń z dysku.

R3 - URLSearchHook: (no name) - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - 3 - URLSearchHook: (no name) - _{A8B28872-3324-4CD2-8AA3-7D555C872D96} - (no file)
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [ACTX1] C:\WINDOWS\v1201.exe
O4 - HKLM\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
O4 - HKLM\..\Run: [adir] C:\WINDOWS\system32\adirss.exe
O4 - HKCU\..\Run: [UpdateService] C:\WINDOWS\system32\wservice.exe
O4 - HKCU\..\Run: [Nrit] "C:\PROGRA~1\FNTS~1\wuauboot.exe" -vt tzt
O18 - Filter: text/html - {994D478A-45D0-4DB4-AE27-738B1E346F99} - (no file)
O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll

Uzyj tego - https://www-secure.symantec.com/avcenter/venc/data/adware.netoptimizer.html removera.

Sprawdź czy VSAdd-in nie ma w panelu Dodaj/Usuń programy - jak jest to go odinstaluj i dopier wtedy tnij ewentualne resztki.

Zajrzyj również na stronę:

http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453099478 w związku z A8B28872-3324-4CD2-8AA3-7D555C872D9

New.Net odinstaluj z Dodaj/Usun programy, ewentualne resztki wyrzuć. Ściągnij sobie również LSPFix i w razie braku internetu po usunięciu New.Net wyrzuć bibliotekę tego badziewia z łańcucha LSP

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net

Jeszcze DNS'y

O17 - HKLM\System\CCS\Services\Tcpip\..\{7616E804-A212-4D39-9D30-539EE2946AB0}: NameServer = 194.204.159.1,213.241.4.4,212.85.112.32,212.51.192.2,153.19.0.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{7998A88C-E843-4CBD-A4B2-D3E4511A02AE}: NameServer = 213.241.4.4,212.75.96.2

Te pierwsze jakieś dziwne są. Możesz je zweryfikować ??

Po wszystkim pokaż nowe logi - Hijack This i SilentRunners bo dużo tego i nie wiem czy czegoś nie pominąłem.

Żółty

Dodano: 04.11.2006 18:13:12

kierzniak

Dodano:: 04.11.2006 11:09:44
Komentarzy:: 1

Strona 1 / 1