CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo nie dziala "ostatnia nadzieja"..

nie dziala "ostatnia nadzieja"..

Hmm wsumie sam niewiem od czego zaczac bo nie wiele bez tego moge zrobic.. Otoz po wcisnieciu ctrl + alt + del nic sie nie dzieje. Komputer wogole na to nie reaguje, tak jakby ktos mu ustawil, ze ma to ignorowac, pozatym zaraz po wlaczeniu komputera mam na dysku plik xz.exe ktory mimo kasownaia pojawia sie tylko po ponownym uruchomieniu. ponizej wklejam log z hijack. prosze o jakies wskazowki w tej sprawie, zdaje sobie sprawe ze to moze byc trudniejsze, poniewaz nie moge zakonczyc zadnego procesu..

Logfile of HijackThis v1.99.1
Scan saved at 19:43:49, on 2005–11–26
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\winupdates\winupdates.exe
C:\WINDOWS\System32\p2pnetworking.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Save\Save.exe
C:\Program Files\SAGEM\SAGEM F@st 800–840\dslmon.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Neostrada TP\NeostradaTP.exe
C:\Program Files\Neostrada TP\ComComp.exe
C:\Program Files\Neostrada TP\Watch.exe
C:\Program Files\Gadu–Gadu\gg.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\occ\Client.exe
C:\Perl\bin\perl.exe
C:\Program Files\mIRC2\mirc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\WebServ\WebServ.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\Rar$EX00.250\HijackThis.exe

R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O4 – HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 – HKLM\..\Run: [nwiz] nwiz.exe /install
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 – HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 – HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 – HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 – HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 – HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe
O4 – HKLM\..\Run: [{0228e555–4f9c–4e35–a3ec–b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 – HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 – HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 – HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
O4 – HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto
O4 – HKLM\..\Run: [winupdate] C:\Program Files\winupdate\winupdate.exe /auto
O4 – HKLM\..\Run: [p2pnetworking] p2pnetworking.exe
O4 – HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 – HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 – HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe"
O4 – Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 – Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800–840\dslmon.exe
O4 – Global Startup: VIA RAID TOOL.lnk = C:\Program Files\VIA\RAID\raid_tool.exe
O9 – Extra button: (no name) – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 – Extra 'Tools' menuitem: Sun Java Console – {08B0E5C0–4FCB–11CF–AAA5–00401C608501} – C:\Program Files\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 – Extra button: 50 FREE MP3s! – {686C970F–1D7D–4469–85D1–4B35763B56CC} – http://www.emusic.com?fref=149133 (file missing)
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O16 – DPF: {631FF594–EC25–4CFF–B869–402DF294E1D6} (Instalator oprogramowania Onet.pl) – http://slimak.onet.pl/_m/kamerzysta/OnetInstalator012s.ocx
O17 – HKLM\System\CCS\Services\Tcpip\..\{ACA6F5EC–B284–4E51–A248–E8930573F88B}: NameServer = 194.204.152.34 217.98.63.164
O23 – Service: MySql – Unknown owner – c:\usr/MYSQL/bin/mysqld.exe
O23 – Service: NVIDIA Driver Helper Service (NVSvc) – NVIDIA Corporation – C:\WINDOWS\System32\nvsvc32.exe

Odpowiedzi: 6

Żółty:
Poczytaj http://www.sophos.com/virusinfo/analyses/w32alcrab.html – zakładka Zaawansowane (Advanced) – jest podane co trzeba usunąć jeszcze.


A myślałem źe to juź koniec .........
Peter_l
Dodano
26.11.2005 21:29:51
Poczytaj http://www.sophos.com/virusinfo/analyses/w32alcrab.html – zakładka Zaawansowane (Advanced) – jest podane co trzeba usunąć jeszcze.
Żółty
Dodano
26.11.2005 21:25:57
Co do regedit – jestem pewny źe było to nie dawniej niź 3 dni temu :arrow: ARCHIWUM
Peter_l
Dodano
26.11.2005 21:15:39
ok thx juz dziala :) mam jeszcze problem z regedit, po wpisaniu regedit w uruchom wyskakuje dosowe okienko, bez zadnych napisow, po pewnym czasie wyskakuje komunikat " c:\widows\system32\regedit.com
ntvdm cpu: napotkano niedozwolona instrukcje.
cs:0f36 ip:0102 op:36 0f 02 32 eb wybierz przycisk zamknij aby zakonczyc dzialaie aplikacji. "
Nasedo
Dodano
26.11.2005 21:11:19
Damiancore – z twojego postu tylko File Missing mozna zrobic – reszta u mnie u góry
Peter_l
Dodano
26.11.2005 21:10:32
Z loga usuń:
C:\Program Files\winupdates\winupdates.exe
C:\WINDOWS\System32\p2pnetworking.exe
C:\Program Files\Save\Save.exe
R3 – URLSearchHook: Search Class – {08C06D61–F1F3–4799–86F8–BE1A89362C85} – C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O4 – HKLM\..\Run: [winupdates] C:\Program Files\winupdates\winupdates.exe /auto
O4 – HKLM\..\Run: [winupdate] C:\Program Files\winupdate\winupdate.exe /auto
O4 – HKLM\..\RunServices: [p2pnetworking] p2pnetworking.exe
O4 – HKCU\..\Run: [WhenUSave] "C:\Program Files\Save\Save.exe
O9 – Extra button: 50 FREE MP3s! – {686C970F–1D7D–4469–85D1–4B35763B56CC} – http://www.emusic.com?fref=149133 (file missing)
O9 – Extra button: Related – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm
O9 – Extra 'Tools' menuitem: Show &Related Links – {c95fe080–8f5d–11d2–a20b–00aa003c157a} – C:\WINDOWS\web\related.htm


Nie wiem co z tym:
O16 – DPF: {631FF594–EC25–4CFF–B869–402DF294E1D6} (Instalator oprogramowania Onet.pl) – http://slimak.onet.pl/_m/kamerzysta/OnetInstalator012s.ocx
O4 – HKLM\..\Run: [p2pnetworking] p2pnetworking.exe
damiancore
Dodano
26.11.2005 21:02:44
Nasedo
Dodano:
26.11.2005 20:48:54
Komentarzy:
6
Strona 1 / 1