Te pliki z ostatniego zrzutu sa ok
To elementy Panelu Sterowania >> przekonaj sie wpisujac w uruchom te nazwy

W logu z HJT niczego nie masz (apropos >> log wkleja sie na forum w formie tekstowej kopiujac zawartosc)

Przykrywka:

On ma neostrade i mu sie ip zmienia mam racje czy nie ???

Tak na neo jest zmienne IP wiec raczej sam goscia nie wytropisz
Jezeli administratorzy sieci nie zrobia z tym nic to porady na wiele sie nie zdadzą

co to sa za pliki

wczoraj teź sprawdzałem netstat ale pokazywał coś innego były inne ip a dziś teź co innego.
Podpuściłem kumpla i powidział mi źe taki jeden koleś włamał sie do serwer tego głuwnego co nam nete rozdziela i co chce to robi.On ma neostrade i mu sie ip zmienia mam racje czy nie ???
Log z hitjack

Protok Adres lokalny Obcy adres Stan
TCP 0.0.0.0:135 0.0.0.0:0 NASUCHIWANIE
TCP 0.0.0.0:445 0.0.0.0:0 NASUCHIWANIE
TCP 0.0.0.0:1025 0.0.0.0:0 NASUCHIWANIE
TCP 0.0.0.0:1038 0.0.0.0:0 NASUCHIWANIE
TCP 0.0.0.0:5000 0.0.0.0:0 NASUCHIWANIE
TCP 127.0.0.1:1027 0.0.0.0:0 NASUCHIWANIE
TCP 127.0.0.1:1027 127.0.0.1:1060 CZAS_OCZEKIWANIA
TCP 127.0.0.1:1123 127.0.0.1:1027 CZAS_OCZEKIWANIA
TCP 127.0.0.1:1124 127.0.0.1:1027 CZAS_OCZEKIWANIA
TCP 127.0.0.1:1133 127.0.0.1:1027 CZAS_OCZEKIWANIA
TCP 127.0.0.1:1134 127.0.0.1:1027 CZAS_OCZEKIWANIA
TCP 127.0.0.1:1137 127.0.0.1:1027 CZAS_OCZEKIWANIA
TCP 127.0.0.1:1139 127.0.0.1:1027 CZAS_OCZEKIWANIA
TCP 127.0.0.1:12025 0.0.0.0:0 NASUCHIWANIE
TCP 127.0.0.1:12110 0.0.0.0:0 NASUCHIWANIE
TCP 127.0.0.1:12143 0.0.0.0:0 NASUCHIWANIE
TCP 192.168.1.86:1062 62.111.180.25:80 CZAS_OCZEKIWANIA
TCP 192.168.1.86:1066 62.111.180.25:80 CZAS_OCZEKIWANIA
TCP 192.168.1.86:1068 62.111.180.25:80 CZAS_OCZEKIWANIA
TCP 192.168.1.86:1069 62.111.180.25:80 CZAS_OCZEKIWANIA
TCP 192.168.1.86:1088 216.239.59.99:80 CZAS_OCZEKIWANIA
TCP 192.168.1.86:1104 62.111.180.25:80 CZAS_OCZEKIWANIA
TCP 192.168.1.86:1108 62.111.180.25:80 CZAS_OCZEKIWANIA
TCP 192.168.1.86:1114 62.111.180.25:80 CZAS_OCZEKIWANIA
TCP 192.168.1.86:1118 62.111.180.25:80 CZAS_OCZEKIWANIA
TCP 192.168.1.86:1120 62.111.180.25:80 CZAS_OCZEKIWANIA
TCP 192.168.1.86:1127 62.111.180.25:80 CZAS_OCZEKIWANIA
TCP 192.168.1.86:1128 62.111.180.25:80 CZAS_OCZEKIWANIA
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1026 *:*
UDP 0.0.0.0:1033 *:*
UDP 0.0.0.0:1078 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1054 *:*
UDP 127.0.0.1:1073 *:*
UDP 127.0.0.1:1900 *:*
UDP 192.168.1.86:123 *:*
UDP 192.168.1.86:1900 *:*

Dobra po kolei
Najpierw wpisz w uruchom >> cmd /c netstat –an > Pulpit etstat.txt

Pojawi Ci sie na pulpicie pliczek netstat, otworz go i wklej zawartosc na forum

Jezeli koles robi to z rozmyslem to takie cos powinno sie zglaszac odpowiednim sluzba
Mozliwe jednak ze ma jakis "syf" ktory z jego komputera zrobil sobie centrum do atakowania/zarazania komputerow w sieci

Skanowales system jakims AV z aktulana baza wirusow ??
Wklej w koncu log z HJT bo mozna przypuszczac ze ty tez cos zalapales

Masz SP2 albo jaki firewall ??
Poblokuj zakres IP

dobra napisze w skrócie
mam neta przez lan,serwer od neta ma ip 192.168.1.250 włącze obojetnie jakiego firewalla to w logach pokazuje mi źe jak uźywam neta to łączy mi się z innym ip–192.168.1.255. Pytaliśmy się w firmie od kturej mamy neta to źe to jest jakiś inny komp i nic źe wszystko jest w poźądku.ale jest chaczyk jak przez CMD wpisuje ip .255 to wysyła bajty i odpowiada z innego jeszcze ip niepamiętam końcówki i teraz sprawdzić nie moge bo nie mam nawet w starcie "Uruchom".Serwer jest ustawwiony źe kaźdy mo określoną transfer umnie 20 a mam ood 0,1 do 12. nie mam źadnych włączonych programów a na w firewallu pokazuje aktywność sieci szczególnie kilobajty przychodzące i wychodzące.
odpalam netmeter pokazuje UL:co sekunde skoki miedzy 0,1 do 3KB/s a DL:co sekunde skoki od 0,1 do prawie
4 KB/s.
Raz mi się udało i to z początku zrobić wtedy wszysko dobrze było albo lepiej:–) bo jak ściągałem w nocy (po 12 mamy nieograniczony dostep)to ściągałem z predokścią 250 KB/s i tak było przez 30 minut. Zobaczyłem źe na DECE komunikator do lana wszedł koleś z sieci i tranfer spadł do takiego
ood 0,1 do 12.kurwica.oczywiście odrazu z nowu to
UL:co sekunde skoki miedzy 0,1 do 3KB/s a DL:co sekunde skoki od 0,1 do prawie 4 KB/s.
prubowałem zrobić to jak wcześniej zablokować w fire wallu to i owo nie pamiętam juź, tak ale nic nie pomagało instalowałem nowsze bardziej polecane ale nic zawsze tak samo,instalowałem antywirusu teź najnowsze polecane z aktualnymi bazami ale nic nigdy nic nie znajduje.szukałem na stronach prubowałem robić tak jak tłumaczyli ale nic. Zaczełem szperać w katalogach co ja znalazłem i ilość plików nieznanych albo huj wie do czego to aź szkoda gadać. Profil uźytkownika zajmuje 1,42 GB aktualnie(dziwne).poznajdowałem pliki tekstowe poukrywane nie kturych dowiedziałem sie np: źe on widzi co ja robie co chce to moźe mi popiepszyć na kompie, ma jakieś dziwne zabieczenia źe wyłancza firewale i antywirusy u mnie. albo źe firewall pracuje normal, i pokazuje ze wysyła do np 1 i do 2 i do 3 do 4 pakiety przez net biosa albo przez upd ale wzeczywistości to sa generowane ip przez jakiś program wgrany przez niego. WreScie nie wytrzymałem format 4 partucji instalacja winxp odrazu firewall,antywir serwice pack 1 z płytki.kabel do karty sieciowej odpięty i i i co znowu te same pliki te same procesy mina mi zbrzędła. no to co instalka win me to samo hahahah win 98 odrazu po instalacji padł hahah znowu format odpaliłem dosa "fdisk" stworzyłem 1 partycje iiiiii instalka win xp i znowu. wiec zostawiłem jak jest i mam profil uzytkownika 1,42GB i windowssystem32 tam jest plików 2077 i połowa to huj wie co to. W counter–strike teź sobie nie moge pograć bo mam ping 1000 a przed tem jak nie miałem tego hujostwa 40–100. koleś się na mnie uwziął.a najśmniejsze jest to bo jak kumpel przynióśł kompa źadnej styczności z netem (komputer oczywiście) to teź pograliśmy w csa 10 min i po 10 min zaczeło się 1000 pingu .profil uźytkownika zwiekszył sie itp.starczy tego opisu to trzeba zobaczyć na własne oczy. ja to juź z 7 nocy łącznie nieprzespanych nad tym siedzie i rozszyfrowuje to. a jescze jedno on mi wpieprza jakie sie da wirusy bo troche poczytałem chociaź te nieprzespane noce nie poszły na darmo:–)

Napisz wreszcie co sie dzieje :!:

Kurna nie lubie takich dlugich logow
Wklej z HJT

coś tam zrobiłem ale jak zwykle juź zaczynają mi błedy windowsa i programów antyvir wyskakiwać
zrobiłem ale startowy log z hitjacka
StartupList report, 2004–11–24, 17:10:42
StartupList version: 1.52.2
Started from : C:Documents and SettingspioterPulpithijackthisHijackThis.EXE
Detected: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================

Running processes:

C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSExplorer.EXE
C:Program FilesNorton Personal FirewallSymProxySvc.exe
C:Program FilesNorton Personal FirewallNISSERV.EXE
C:Program FilesGadu–Gadugg.exe
C:Program FilesNorton Personal FirewallNISUM.EXE
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
C:Documents and SettingspioterPulpithijackthisHijackThis.exe

––––––––––––––––––––––––––––––––––––––––––––––––––

Listing of startup folders:

Shell folders Startup:
[C:Documents and SettingspioterMenu StartProgramyAutostart]
*No files*

Shell folders AltStartup:
*Folder not found*

User shell folders Startup:
*Folder not found*

User shell folders AltStartup:
*Folder not found*

Shell folders Common Startup:
[C:Documents and SettingsAll UsersMenu StartProgramyAutostart]
*No files*

Shell folders Common AltStartup:
*Folder not found*

User shell folders Common Startup:
*Folder not found*

User shell folders Alternate Common Startup:
*Folder not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Checking Windows NT UserInit:

[HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
UserInit = C:WINDOWSsystem32userinit.exe,

[HKLMSoftwareMicrosoftWindowsCurrentVersionWinlogon]
*Registry key not found*

[HKCUSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
*Registry value not found*

[HKCUSoftwareMicrosoftWindowsCurrentVersionWinlogon]
*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun

XPSecurity2004e = C:Program FilesXPSecurityXPSecurity.exe

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce

*No values found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx

*No values found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices

*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun

Gadu–Gadu = "C:Program FilesGadu–Gadugg.exe" /tray

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce

*No values found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceEx

*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices

*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindows NTCurrentVersionRun

*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKCUSoftwareMicrosoftWindows NTCurrentVersionRun

*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
*No subkeys found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
*No subkeys found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
*No subkeys found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKCUSoftwareMicrosoftWindowsCurrentVersionRun
*No subkeys found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnce
*No subkeys found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices
*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKLMSoftwareMicrosoftWindows NTCurrentVersionRun
*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries in Registry subkeys of:
HKCUSoftwareMicrosoftWindows NTCurrentVersionRun
*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

File association entry for .EXE:
HKEY_CLASSES_ROOTexefileshellopencommand

(Default) = "%1" %*

––––––––––––––––––––––––––––––––––––––––––––––––––

File association entry for .COM:
HKEY_CLASSES_ROOTcomfileshellopencommand

(Default) = "%1" %*

––––––––––––––––––––––––––––––––––––––––––––––––––

File association entry for .BAT:
HKEY_CLASSES_ROOTatfileshellopencommand

(Default) = "%1" %*

––––––––––––––––––––––––––––––––––––––––––––––––––

File association entry for .PIF:
HKEY_CLASSES_ROOTpiffileshellopencommand

(Default) = "%1" %*

––––––––––––––––––––––––––––––––––––––––––––––––––

File association entry for .SCR:
HKEY_CLASSES_ROOTscrfileshellopencommand

(Default) = "%1" /S

––––––––––––––––––––––––––––––––––––––––––––––––––

File association entry for .HTA:
HKEY_CLASSES_ROOThtafileshellopencommand

(Default) = C:WINDOWSSystem32mshta.exe "%1" %*

––––––––––––––––––––––––––––––––––––––––––––––––––

File association entry for .TXT:
HKEY_CLASSES_ROOT xtfileshellopencommand

(Default) = %SystemRoot%system32NOTEPAD.EXE %1

––––––––––––––––––––––––––––––––––––––––––––––––––

Enumerating Active Setup stub paths:
HKLMSoftwareMicrosoftActive SetupInstalled Components
(* = disabled by HKCU twin)

[>{22d6f312–b0f6–11d0–94ab–0080c74c7e95}]
StubPath = C:WINDOWSinfunregmp2.exe /ShowWMP

[>{26923b43–4d38–484f–9b9e–de460746276c}] *
StubPath = %systemroot%system32shmgrate.exe OCInstallUserConfigIE

[>{60B49E34–C7CC–11D0–8953–00A0C90347FF}MICROS] *
StubPath = RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

[>{881dd1c5–3dcf–431b–b061–f3f88e8be88a}] *
StubPath = %systemroot%system32shmgrate.exe OCInstallUserConfigOE

[{2C7339CF–2B09–4501–B3F3–F3508C9228ED}] *
StubPath = %SystemRoot%system32 egsvr32.exe /s /n /i:/UserInstall %SystemRoot%system32 hemeui.dll

[{306D6C21–C1B6–4629–986C–E59E1875B8AF}] *
StubPath = "C:WINDOWSSystem32 undll32.exe" "C:Program FilesMessengermsgsc.dll",HideIconsUser

[{44BBA840–CC51–11CF–AAFA–00AA00B6015C}] *
StubPath = "%ProgramFiles%Outlook Expresssetup50.exe" /APP:OE /CALLER:WINNT /user /install

[{44BBA842–CC51–11CF–AAFA–00AA00B6015B}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFmsnetmtg.inf,NetMtg.Install.PerUser.NT

[{5945c046–1e7d–11d1–bc44–00c04fd912be}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFmsmsgs.inf,BLC.QuietInstall.PerUser

[{6BF52A52–394A–11d3–B153–00C04F79FAA6}] *
StubPath = rundll32.exe advpack.dll,LaunchINFSection C:WINDOWSINFwmp.inf,PerUserStub

[{7790769C–0471–11d2–AF11–00C04FA35D02}] *
StubPath = "%ProgramFiles%Outlook Expresssetup50.exe" /APP:WAB /CALLER:WINNT /user /install

[{89820200–ECBD–11cf–8B85–00AA005B4340}] *
StubPath = regsvr32.exe /s /n /i:U shell32.dll

[{89820200–ECBD–11cf–8B85–00AA005B4383}] *
StubPath = %SystemRoot%system32ie4uinit.exe

––––––––––––––––––––––––––––––––––––––––––––––––––

Enumerating ICQ Agent Autostart apps:
HKCUSoftwareMirabilisICQAgentApps

*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Load/Run keys from C:WINDOWSWIN.INI:

load=*INI section not found*
run=*INI section not found*

Load/Run keys from Registry:

HKLM..Windows NTCurrentVersionWinLogon: load=*Registry value not found*
HKLM..Windows NTCurrentVersionWinLogon: run=*Registry value not found*
HKLM..WindowsCurrentVersionWinLogon: load=*Registry key not found*
HKLM..WindowsCurrentVersionWinLogon: run=*Registry key not found*
HKCU..Windows NTCurrentVersionWinLogon: load=*Registry value not found*
HKCU..Windows NTCurrentVersionWinLogon: run=*Registry value not found*
HKCU..WindowsCurrentVersionWinLogon: load=*Registry key not found*
HKCU..WindowsCurrentVersionWinLogon: run=*Registry key not found*
HKCU..Windows NTCurrentVersionWindows: load=
HKCU..Windows NTCurrentVersionWindows: run=*Registry value not found*
HKLM..Windows NTCurrentVersionWindows: load=*Registry value not found*
HKLM..Windows NTCurrentVersionWindows: run=*Registry value not found*
HKLM..Windows NTCurrentVersionWindows: AppInit_DLLs=

––––––––––––––––––––––––––––––––––––––––––––––––––

Shell & screensaver key from C:WINDOWSSYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=C:WINDOWSSystem32logon.scr
drivers=*Registry value not found*

Policies Shell key:

HKCU..Policies: Shell=*Registry value not found*
HKLM..Policies: Shell=*Registry value not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Checking for EXPLORER.EXE instances:

C:WINDOWSExplorer.exe: PRESENT!

C:Explorer.exe: not present
C:WINDOWSExplorerExplorer.exe: not present
C:WINDOWSSystemExplorer.exe: not present
C:WINDOWSSystem32Explorer.exe: not present
C:WINDOWSCommandExplorer.exe: not present
C:WINDOWSFontsExplorer.exe: not present

––––––––––––––––––––––––––––––––––––––––––––––––––

Checking for superhidden extensions:

.lnk: HIDDEN! (arrow overlay: yes)
.pif: HIDDEN! (arrow overlay: yes)
.exe: not hidden
.com: not hidden
.bat: not hidden
.hta: not hidden
.scr: not hidden
.shs: HIDDEN!
.shb: HIDDEN!
.vbs: not hidden
.vbe: not hidden
.wsh: not hidden
.scf: HIDDEN! (arrow overlay: NO!)
.url: HIDDEN! (arrow overlay: yes)
.js: not hidden
.jse: not hidden

––––––––––––––––––––––––––––––––––––––––––––––––––

Verifying REGEDIT.EXE integrity:

– Regedit.exe found in C:WINDOWS
– .reg open command is normal (regedit.exe %1)
– Company name OK: 'Microsoft Corporation'
– Original filename OK: 'REGEDIT.EXE'
– File description: 'Edytor rejestru'

Registry check passed

––––––––––––––––––––––––––––––––––––––––––––––––––

Enumerating Browser Helper Objects:

*No BHO's found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Enumerating Task Scheduler jobs:

*No jobs found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Enumerating Download Program Files:

[DirectAnimation Java Classes]
CODEBASE = file://C:WINDOWSJavaclassesdajava.cab
OSD = C:WINDOWSDownloaded Program FilesDirectAnimation Java Classes.osd

[Microsoft XML Parser for Java]
CODEBASE = file://C:WINDOWSJavaclassesxmldso.cab
OSD = C:WINDOWSDownloaded Program FilesMicrosoft XML Parser for Java.osd

––––––––––––––––––––––––––––––––––––––––––––––––––

Enumerating Winsock LSP files:

NameSpace #1: C:WINDOWSSystem32mswsock.dll
NameSpace #2: C:WINDOWSSystem32winrnr.dll
NameSpace #3: C:WINDOWSSystem32mswsock.dll
Protocol #1: C:WINDOWSsystem32mswsock.dll
Protocol #2: C:WINDOWSsystem32mswsock.dll
Protocol #3: C:WINDOWSsystem32mswsock.dll
Protocol #4: C:WINDOWSsystem32 svpsp.dll
Protocol #5: C:WINDOWSsystem32 svpsp.dll
Protocol #6: C:WINDOWSsystem32mswsock.dll
Protocol #7: C:WINDOWSsystem32mswsock.dll
Protocol #8: C:WINDOWSsystem32mswsock.dll
Protocol #9: C:WINDOWSsystem32mswsock.dll
Protocol #10: C:WINDOWSsystem32mswsock.dll
Protocol #11: C:WINDOWSsystem32mswsock.dll

––––––––––––––––––––––––––––––––––––––––––––––––––

Enumerating Windows NT/2000/XP services

Sterownik Microsoft ACPI: System32DRIVERSACPI.sys (system)
Microsoft Kernel Acoustic Echo Canceller: system32driversaec.sys (manual start)
Środowisko obsługi sieci AFD: SystemRootSystem32driversafd.sys (autostart)
Service for Avance AC97 Audio (WDM): system32driversALCXWDM.SYS (manual start)
Urządzenie alarmowe: %SystemRoot%System32svchost.exe –k LocalService (manual start)
Usługa bramy warstwy aplikacji: %SystemRoot%System32alg.exe (manual start)
Sterownik procesora AMD K7: System32DRIVERSamdk7.sys (system)
Zarządzanie aplikacjami: %SystemRoot%system32svchost.exe –k netsvcs (manual start)
Sterownik multimediów asynchronicznych RAS: System32DRIVERSasyncmac.sys (manual start)
Standardowy kontroler dysku twardego IDE/ESDI: System32DRIVERSatapi.sys (system)
Protokół klienta ARP ATM: System32DRIVERSatmarpc.sys (manual start)
Windows Audio: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Sterownik Audio Stub: System32DRIVERSaudstub.sys (manual start)
Usługa inteligentnego transferu w tle: %SystemRoot%System32svchost.exe –k netsvcs (manual start)
Przeglądarka komputera: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Sterownik stacji dysków CD–ROM: System32DRIVERScdrom.sys (system)
Usługa indeksowania: %SystemRoot%system32cisvc.exe (disabled)
ClipBook: %SystemRoot%system32clipsrv.exe (manual start)
Aplikacja systemowa modelu COM+: C:WINDOWSSystem32dllhost.exe /Processid:{02D4B3F1–FD88–11D1–960D–00805FC79235} (manual start)
Usługi kryptograficzne: %SystemRoot%system32svchost.exe –k netsvcs (autostart)
d344bus: System32DRIVERSd344bus.sys (system)
d344prt: System32Driversd344prt.sys (system)
Klient DHCP: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Sterownik dysku: System32DRIVERSdisk.sys (system)
Usługa administracyjna Menedźera dysków logicznych: %SystemRoot%System32dmadmin.exe /com (manual start)
dmboot: System32driversdmboot.sys (disabled)
Sterownik Menedźera dysków logicznych: System32driversdmio.sys (system)
dmload: System32driversdmload.sys (system)
Menedźer dysków logicznych: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Syntezator Microsoft Kernel DLS: system32driversDMusic.sys (manual start)
Klient DNS: %SystemRoot%System32svchost.exe –k NetworkService (autostart)
Microsoft Kernel DRM Audio Descrambler: system32driversdrmkaud.sys (manual start)
Usługa raportowania błędów: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Dziennik zdarzeń: %SystemRoot%system32services.exe (autostart)
System zdarzeń COM+: C:WINDOWSSystem32svchost.exe –k netsvcs (manual start)
Zgodność szybkiego przełączania uźytkowników: %SystemRoot%System32svchost.exe –k netsvcs (manual start)
Sterownik kontrolera stacji dyskietek: System32DRIVERSfdc.sys (manual start)
Sterownik stacji dyskietek: System32DRIVERSflpydisk.sys (manual start)
Sterownik Menedźera woluminów: System32DRIVERSftdisk.sys (system)
Rodzajowy klasyfikator pakietu: System32DRIVERSmsgpc.sys (manual start)
Pomoc i obsługa techniczna: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Dostęp do urządzeń interfejsu HID: %SystemRoot%System32svchost.exe –k netsvcs (disabled)
Sterownik portu klawiatury i8042 i myszy PS/2: System32DRIVERSi8042prt.sys (system)
Sterownik filtru nagrywania dysków CD: System32DRIVERSimapi.sys (system)
Usługa COM nagrywania dysków CD IMAPI: C:WINDOWSSystem32imapi.exe (manual start)
Sterownik filtru ruchu IP: System32DRIVERSipfltdrv.sys (manual start)
Sterownik IP w tunelu IP: System32DRIVERSipinip.sys (manual start)
Translator adresów sieciowych IP: System32DRIVERSipnat.sys (manual start)
Sterownik IPSEC: System32DRIVERSipsec.sys (system)
Usługa wyliczania IR: System32DRIVERSirenum.sys (manual start)
Sterownik PnP magistrali ISA/EISA: System32DRIVERSisapnp.sys (system)
Sterownik klasy klawiatury: System32DRIVERSkbdclass.sys (system)
Microsoft Kernel Wave Audio Mixer: system32driverskmixer.sys (manual start)
Serwer: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Stacja robocza: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Pomoc TCP/IP NetBIOS: %SystemRoot%System32svchost.exe –k LocalService (autostart)
Posłaniec: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
NetMeeting Remote Desktop Sharing: C:WINDOWSSystem32mnmsrvc.exe (manual start)
Sterownik klasy myszy: System32DRIVERSmouclass.sys (system)
Readresator klienta WebDav: System32DRIVERSmrxdav.sys (manual start)
MRXSMB: System32DRIVERSmrxsmb.sys (system)
Distributed Transaction Coordinator: C:WINDOWSSystem32msdtc.exe (manual start)
Instalator Windows: C:WINDOWSSystem32msiexec.exe /V (manual start)
Serwer proxy usługi Microsoft Streaming: system32driversMSKSSRV.sys (manual start)
Serwer proxy zegara Microsoft Streaming: system32driversMSPCLOCK.sys (manual start)
Serwer proxy menedźera jakości Microsoft Streaming: system32driversMSPQM.sys (manual start)
Sterownik usługi Dostęp zdalny NDIS TAPI: System32DRIVERS distapi.sys (manual start)
Protokół We/Wy trybu uźytkownika NDIS: System32DRIVERS disuio.sys (manual start)
Sterownik usługi Dostęp zdalny NDIS WAN: System32DRIVERS diswan.sys (manual start)
Interfejs NetBIOS: System32DRIVERS etbios.sys (system)
NetBT: System32DRIVERS etbt.sys (system)
DDE sieci: %SystemRoot%system32 etdde.exe (manual start)
DSDM DDE sieci: %SystemRoot%system32 etdde.exe (manual start)
Logowanie do sieci: %SystemRoot%System32lsass.exe (manual start)
Połączenia sieciowe: %SystemRoot%System32svchost.exe –k netsvcs (manual start)
Norton Personal Firewall Service: C:Program FilesNorton Personal FirewallNISSERV.EXE (autostart)
Norton Personal Firewall Accounts Manager: C:Program FilesNorton Personal FirewallNISUM.EXE (manual start)
Rozpoznawanie lokalizacji w sieci (NLA): %SystemRoot%System32svchost.exe –k netsvcs (manual start)
Usługa NT LM Security Support Provider: %SystemRoot%System32lsass.exe (manual start)
Magazyn wymienny: %SystemRoot%system32svchost.exe –k netsvcs (manual start)
nv: System32DRIVERS v4_mini.sys (manual start)
NVIDIA Driver Helper Service: %SystemRoot%System32 vsvc32.exe (autostart)
Sterownik filtru ruchu IPX: System32DRIVERS wlnkflt.sys (manual start)
Sterownik usług przesyłania dalej ruchu IPX: System32DRIVERS wlnkfwd.sys (manual start)
Sterownik portu równoległego: System32DRIVERSparport.sys (manual start)
PCI Bus Driver: System32DRIVERSpci.sys (system)
Plug and Play: %SystemRoot%system32services.exe (autostart)
Usługi IPSEC: %SystemRoot%System32lsass.exe (autostart)
WAN Miniport (PPTP): System32DRIVERS aspptp.sys (manual start)
Magazyn chroniony: %SystemRoot%system32lsass.exe (autostart)
Sterownik bezpośredniego połączenia kablowego: System32DRIVERSptilink.sys (manual start)
PxHelp20: System32DRIVERSPxHelp20.sys (system)
Sterownik automatycznego połączenia dostępu zdalnego: System32DRIVERS asacd.sys (system)
Menedźer autopołączenia dostępu zdalnego: %SystemRoot%System32svchost.exe –k netsvcs (manual start)
WAN Miniport (L2TP): System32DRIVERS asl2tp.sys (manual start)
Menedźer połączeń usługi Dostęp zdalny: %SystemRoot%System32svchost.exe –k netsvcs (manual start)
Sterownik usługi Dostęp zdalny PPPOE: System32DRIVERS aspppoe.sys (manual start)
Bezpośrednie połączenie kablowe: System32DRIVERS aspti.sys (manual start)
Rdbss: System32DRIVERS dbss.sys (system)
RDPCDD: System32DRIVERSRDPCDD.sys (system)
Sterownik przekierowania urządzenia serwera terminali: System32DRIVERS dpdr.sys (manual start)
Menedźer sesji pomocy pulpitu zdalnego: C:WINDOWSsystem32sessmgr.exe (manual start)
Sterownik filtru odtwarzania audio cyfrowych dysków CD: System32DRIVERS edbook.sys (system)
Routing i dostęp zdalny: %SystemRoot%System32svchost.exe –k netsvcs (disabled)
Rejestr zdalny: %SystemRoot%system32svchost.exe –k LocalService (autostart)
Lokalizator usługi zdalnego wywołania procedury (RPC): %SystemRoot%System32locator.exe (manual start)
Zdalne wywoływanie procedur (RPC): %SystemRoot%system32svchost –k rpcss (autostart)
QoS RSVP: %SystemRoot%System32 svp.exe (manual start)
Sterownik NT karty Realtek RTL8139(A/B/C)–based PCI Fast Ethernet: System32DRIVERSRTL8139.SYS (manual start)
Menedźer kont zabezpieczeń: %SystemRoot%system32lsass.exe (autostart)
Pomocnik karty inteligentnej: %SystemRoot%System32SCardSvr.exe (manual start)
Karta inteligentna: %SystemRoot%System32SCardSvr.exe (manual start)
Harmonogram zadań: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Secdrv: System32DRIVERSsecdrv.sys (autostart)
Logowanie pomocnicze: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Zawiadomienie o zdarzeniu systemowym: %SystemRoot%system32svchost.exe –k netsvcs (autostart)
Sterownik filtru Serenum: System32DRIVERSserenum.sys (manual start)
Sterownik portu szeregowego: System32DRIVERSserial.sys (system)
Zapora połączenia internetowego / Udostępnianie połączenia internetowego: %SystemRoot%System32svchost.exe –k netsvcs (manual start)
Wykrywanie sprzętu powłoki: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Microsoft Kernel Audio Splitter: system32driverssplitter.sys (manual start)
Bufor wydruku: %SystemRoot%system32spoolsv.exe (autostart)
Sterownik filtru Przywracania systemu: System32DRIVERSsr.sys (system)
Usługa przywracania systemu: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Srv: System32DRIVERSsrv.sys (manual start)
Usługa odnajdywania SSDP: %SystemRoot%System32svchost.exe –k LocalService (manual start)
Windows Image Acquisition (WIA): %SystemRoot%System32svchost.exe –k imgsvc (manual start)
Sterownik magistrali programowej: System32DRIVERSswenum.sys (manual start)
Syntezator tablicy dźwięków WAVE Microsoft Kernel GS: system32driversswmidi.sys (manual start)
MS Software Shadow Copy Provider: C:WINDOWSSystem32dllhost.exe /Processid:{00F80547–3EEE–4A56–A0CA–8D3E0D446C8E} (manual start)
SYMDNS: ??C:WINDOWSSystem32DriversSYMDNS.SYS (manual start)
SYMFW: ??C:WINDOWSSystem32DriversSYMFW.SYS (manual start)
SYMNDIS: ??C:WINDOWSSystem32DriversSYMNDIS.SYS (manual start)
Norton Personal Firewall Proxy Service: C:Program FilesNorton Personal FirewallSymProxySvc.exe (autostart)
SYMREDRV: ??C:WINDOWSSystem32DriversSYMREDRV.SYS (manual start)
SYMTDI: ??C:WINDOWSSystem32DriversSYMTDI.SYS (autostart)
Urządzenie audio Microsoft Kernel System: system32driverssysaudio.sys (manual start)
Dzienniki wydajności i alerty: %SystemRoot%system32smlogsvc.exe (manual start)
Telefonia: %SystemRoot%System32svchost.exe –k netsvcs (manual start)
Sterownik protokołu TCP/IP: System32DRIVERS cpip.sys (system)
Sterownik urządzenia terminalu: System32DRIVERS ermdd.sys (system)
Usługi terminalowe: %SystemRoot%System32svchost.exe –k netsvcs (manual start)
Kompozycje: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Telnet: C:WINDOWSSystem32 lntsvr.exe (disabled)
Klient śledzenia łączy rozproszonych: %SystemRoot%system32svchost.exe –k netsvcs (autostart)
Sterownik Microcode Update: System32DRIVERSupdate.sys (manual start)
Menedźer przekazywania: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Host uniwersalnego urządzenia Plug and Play: %SystemRoot%System32svchost.exe –k LocalService (manual start)
Zasilacz awaryjny (UPS): %SystemRoot%System32ups.exe (manual start)
VgaSave: SystemRootSystem32driversvga.sys (system)
Filtr magistrali AGP VIA: System32DRIVERSviaagp.sys (system)
VIA AGP Filter: System32DRIVERSviaagp1.sys (system)
ViaIde: System32DRIVERSviaide.sys (system)
Kopiowanie woluminów w tle: %SystemRoot%System32vssvc.exe (manual start)
Usługa Czas systemu Windows: %SystemRoot%System32svchost.exe –k netsvcs (autostart)
Sterownik usługi Dostęp zdalny IP ARP: System32DRIVERSwanarp.sys (manual start)
Sterownik zgodności audio Microsoft WINMM WDM: system32driverswdmaud.sys (manual start)
WebClient: %SystemRoot%System32svchost.exe –k LocalService (autostart)
Instrumentacja zarządzania Windows: %systemroot%system32svchost.exe –k netsvcs (autostart)
Usługa numeru seryjnego multimediów przenośnych: %SystemRoot%System32svchost.exe –k netsvcs (manual start)
Rozszerzenia sterownika Instrumentacji zarządzania Windows: %SystemRoot%System32svchost.exe –k netsvcs (manual start)
Karta wydajności WMI: C:WINDOWSSystem32wbemwmiapsrv.exe (manual start)
Środowisko wspomagające dostawcę usług innych niź IFS – Windows Socket 2.0: SystemRootSystem32driversws2ifsl.sys (disabled)
Aktualizacje automatyczne: %systemroot%system32svchost.exe –k netsvcs (disabled)
Konfiguracja zerowej sieci bezprzewodowej: %SystemRoot%System32svchost.exe –k netsvcs (autostart)


––––––––––––––––––––––––––––––––––––––––––––––––––

Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*

Windows NT checkdisk command:
BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':
PendingFileRenameOperations: *Registry value not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:WINDOWSsystem32SHELL32.dll
CDBurn: C:WINDOWSsystem32SHELL32.dll
WebCheck: C:WINDOWSSystem32webcheck.dll
SysTray: C:WINDOWSSystem32stobject.dll

––––––––––––––––––––––––––––––––––––––––––––––––––
Autorun entries from Registry:
HKCUSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun

*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

Autorun entries from Registry:
HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun

*Registry key not found*

––––––––––––––––––––––––––––––––––––––––––––––––––

End of report, 29019 bytes
Report generated in 0,172 seconds

Command line options:
/verbose – to add additional info on each section
/complete – to include empty sections and unsuspicious data
/full – to include several rarely–important sections
/force9x – to include Win9x–only startups even if running on WinNT
/forcent – to include WinNT–only startups even if running on Win9x
/forceall – to include all Win9x and WinNT startups, regardless of platform
/history – to list version history only

http://securityresponse.symantec.com/avcenter/venc/data/w32.dinfor.d.worm.html

Wklej log z HijackThis

[Profile Description]
%SCESecureWSProfileDescription%
[version]
signature="$CHICAGO$"
revision=1
DriverVer=07/01/2001,5.1.2600.0
[System Access]
;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
;Account Policies – Password Policy
;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
MinimumPasswordAge = 2
MaximumPasswordAge = 42
MinimumPasswordLength = 8
PasswordComplexity = 1
PasswordHistorySize = 24
ClearTextPassword = 0
LSAAnonymousNameLookup = 0
EnableGuestAccount = 0

;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
;Account Policies – Lockout Policy
;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
LockoutBadCount = 5
ResetLockoutCount = 30
LockoutDuration = 30

;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
;Local Policies – Security Options
;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
;DC Only
;ForceLogoffWhenHourExpire = 1

;NewAdministatorName =
;NewGuestName =
;SecureSystemPartition

;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
;Event Log – Log Settings
;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
;Audit Log Retention Period:
;0 = Overwrite Events As Needed
;1 = Overwrite Events As Specified by Retention Days Entry
;2 = Never Overwrite Events (Clear Log Manually)

[System Log]
RestrictGuestAccess = 1

[Security Log]
MaximumLogSize = 5120
AuditLogRetentionPeriod = 0
RestrictGuestAccess = 1

[Application Log]
RestrictGuestAccess = 1

;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
; Local PoliciesAudit Policy
;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
[Event Audit]
AuditSystemEvents = 0
AuditObjectAccess = 0
AuditPrivilegeUse = 2
AuditPolicyChange = 3
AuditAccountManage = 3
AuditProcessTracking = 0
;AuditDSAccess=0
AuditAccountLogon=3
AuditLogonEvents = 2

;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
;Registry Values
;––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––
[Registry Values]
; Registry value name in full path = Type, Value
; REG_SZ ( 1 )
; REG_EXPAND_SZ ( 2 ) // with environment variables to expand
; REG_BINARY ( 3 )
; REG_DWORD ( 4 )
; REG_MULTI_SZ ( 7 )

MACHINESystemCurrentControlSetControlLsaAuditBaseObjects=4,0
MACHINESystemCurrentControlSetControlLsaCrashOnAuditFail=4,0
MACHINESystemCurrentControlSetControlLsaDisableDomainCreds=4,0
MACHINESystemCurrentControlSetControlLsaEveryoneIncludesAnonymous=4,0
;Leave model alone
;MACHINESystemCurrentControlSetControlLsaForceGuest=4,0
MACHINESystemCurrentControlSetControlLsaFullPrivilegeAuditing=3,0
MACHINESystemCurrentControlSetControlLsaLimitBlankPasswordUse=4,1
MACHINESystemCurrentControlSetControlLsaLmCompatibilityLevel=4,4
MACHINESystemCurrentControlSetControlLsaMSV1_0NTLMMinClientSec=4,0
MACHINESystemCurrentControlSetControlLsaMSV1_0NTLMMinServerSec=4,0
MACHINESystemCurrentControlSetControlLsaNoLMHash=4,1
MACHINESystemCurrentControlSetControlLsaRestrictAnonymous=4,1
MACHINESystemCurrentControlSetControlLsaRestrictAnonymousSAM=4,1

;Domain Controllers Only
;MACHINESystemCurrentControlSetControlLsaSubmitControl=4,0
MACHINESystemCurrentControlSetControlPrintProvidersLanMan Print ServicesServersAddPrinterDrivers=4,1

MACHINESystemCurrentControlSetControlSession ManagerKernelObCaseInsensitive=4,1
MACHINESystemCurrentControlSetControlSession ManagerMemory ManagementClearPageFileAtShutdown=4,0
MACHINESystemCurrentControlSetControlSession ManagerProtectionMode=4,1

MACHINESystemCurrentControlSetServicesLanManServerParametersEnableSecuritySignature=4,1
MACHINESystemCurrentControlSetServicesLanManServerParametersRequireSecuritySignature=4,0
MACHINESystemCurrentControlSetServicesLanManServerParametersEnableForcedLogOff=4,1
MACHINESystemCurrentControlSetServicesLanManServerParametersAutoDisconnect=4,15

MACHINESystemCurrentControlSetServicesLanmanWorkstationParametersEnableSecuritySignature=4,1
MACHINESystemCurrentControlSetServicesLanmanWorkstationParametersRequireSecuritySignature=4,0
MACHINESystemCurrentControlSetServicesLanmanWorkstationParametersEnablePlainTextPassword=4,0

MACHINESystemCurrentControlSetServicesLDAPLDAPClientIntegrity=4,1

MACHINESystemCurrentControlSetServicesNetlogonParametersDisablePasswordChange=4,0
MACHINESystemCurrentControlSetServicesNetlogonParametersMaximumPasswordAge=4,30
MACHINESystemCurrentControlSetServicesNetlogonParametersSignSecureChannel=4,1
MACHINESystemCurrentControlSetServicesNetlogonParametersSealSecureChannel=4,1
MACHINESystemCurrentControlSetServicesNetlogonParametersRequireSignOrSeal=4,0
MACHINESystemCurrentControlSetServicesNetlogonParametersRequireStrongKey=4,0

MACHINESoftwareMicrosoftDriver SigningPolicy=3,1

MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDisableCAD=4,0
MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemDontDisplayLastUserName=4,0
MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemLegalNoticeCaption=1,""
MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemLegalNoticeText=7,""
;Requiring logon to shutdown makes sense only if machine is physically secured.
;MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemShutdownWithoutLogon=4,0
MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesSystemUndockWithoutLogon=4,0


MACHINESoftwareMicrosoftWindows NTCurrentVersionSetupRecoveryConsoleSecurityLevel=4,0
MACHINESoftwareMicrosoftWindows NTCurrentVersionSetupRecoveryConsoleSetCommand=4,0

MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonAllocateCDRoms=1,0
MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonAllocateDASD=1,0
MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonAllocateFloppies=1,0
MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonCachedLogonsCount=1,10
MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonForceUnlockLogon=4,0
MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonPasswordExpiryWarning=4,14
MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonScRemoveOption=1,1

[Strings]
SceInfAdministrator = "Administrator"
SceInfAdmins = "Administratorzy"
SceInfAcountOp = "Operatorzy kont"
SceInfAuthUsers = "Uźytkownicy uwierzytelnieni"
SceInfBackupOp = "Operatorzy kopii zapasowych"
SceInfDomainAdmins = "Administratorzy domeny"
SceInfDomainGuests = "Goście domeny"
SceInfDomainUsers = "Uźytkownicy domeny"
SceInfEveryone = "Wszyscy"
SceInfGuests = "Goście"
SceInfGuest = "Gość"
SceInfPowerUsers = "Uźytkownicy zaawansowani"
SceInfPrintOp = "Operatorzy drukowania"
SceInfReplicator = "Replikator"
SceInfServerOp = "Operatorzy serwerów"
SceInfUsers = "Uźytkownicy"
SceSecureWSProfileDescription = "Zapewnia ulepszone zasady kont lokalnych, ogranicza uźycie uwierzytelniania programu LanManager, włącza podpisywanie SMB po stronie serwera oraz zapewnia dalsze ograniczenia dla anonimowych uźytkowników. W celu zastosowania do uczestnika domeny, wszystkie kontrolery domeny, które zawierają konta dla wszystkich uźytkowników logujących się do tego uczestnika muszą korzystać z systemu NT4 SP4 lub nowszego. Zobacz pomoc online, aby uzyskać dalsze informacje."

Przykrywka:

pokaźe wam klka screenów bo hitjackiem scanuje i mogłbym wam logi pokazac ale tak nic to nie da

A o co chodzi ?? :lol:
Bo i nawet tych screenow nie widac
Wklejaj log, nie opowiadadaj

pokaźe wam klka screenów bo hitjackiem scanuje i mogłbym wam logi pokazac ale tak nic to nie da.[/img]

hehe napisalem jak sobie poradzic z problemem – a skoro Olejek jest "administratorem sieci" to juz jego w tym glowa (nie *** ;) ) jak ma sobie z tym poradzic

QAD:

sprawdz czy przypadkiem nie jest uruchomiony proces wvsvc – podejrzewam ze tak ;)

jesli nie – to nie wiem :))

a jesli tak to go "zabij" i usuń z rejestru wszystkie wpisy z "wvsvc", przeszukaj dysk czy nie ma pliku wvsvc.... powinien byc gdzies w windows.... – usuń go
i powinno być OK

Znaczy to, źe proponujesz by się przeszedł do tych userów i grzecznie poprosił, by go do komputeów dopuścili, albo się im do systemów włamał?

sprawdz czy przypadkiem nie jest uruchomiony proces wvsvc – podejrzewam ze tak ;)

jesli nie – to nie wiem :))

a jesli tak to go "zabij" i usuń z rejestru wszystkie wpisy z "wvsvc", przeszukaj dysk czy nie ma pliku wvsvc.... powinien byc gdzies w windows.... – usuń go
i powinno być OK

Badz bezwzgledny :mrgreen:
Konsekwentnie odlaczaj od sieci osoby z zasyfionymi kompami dopoki nie uporaja sie z tym

Bobi_robert:

Zablokuj go, kaz/popros tez o wylaczenie Poslanca

Poslaniec nie robi takiego bagna. To te blasteropodobne.
olejek, tak jak napisal Bobi – kaź (nie proś) poinstalowac latki anty sasser/blaster (linki w dwoch przyklejonych tematach), kaź wyczyscic systemy.

Na porcie 135 lubia sie czaic robaki Blaster, Nachi/Welchia albo trojan Agobot/Phatbot
Zablokuj go, kaz/popros tez o wylaczenie Poslanca