CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo prosze o sprawdzenie loga Hijack

prosze o sprawdzenie loga Hijack

Witam,

Jako nowy uzytkownik tego forum,prosze specjalistow o przejrzenie loga i porady co do usuniecia...

pozdr
artw

Logfile of HijackThis v1.98.2
Scan saved at 23:53:53, on 2004–10–08
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSMixer.exe
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:WINDOWSSystem32spoolDRIVERSW32X863fppdis2a.exe
C:Program FilesJavaj2re1.4.2_05injusched.exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:Program FilesNorton AntiVirusAdvToolsNPROTECT.EXE
C:WINDOWSSystem32 vsvc32.exe
C:Program FilesInternet Exploreriexplore.exe
C:Program FilesGetRightGETRIGHT.EXE
C:Program FilesGetRightGETRIGHT.EXE
C:Program FilesAdobeAcrobat 6.0 CEReaderAcroRd32.exe
C:Program FilesMessengermsmsgs.exe
C:Program FilesWincomWINCMD32.EXE
C:WINDOWSHiJack_thisHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerSearch,CustomizeSearch =
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O4 – HKLM..Run: [C–Media Mixer] Mixer.exe /startup
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [ccRegVfy] "C:Program FilesCommon FilesSymantec SharedccRegVfy.exe"
O4 – HKLM..Run: [Advanced Tools Check] C:PROGRA~1NORTON~1AdvToolsADVCHK.EXE
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [pdfFactory Pro Dispatcher v2] C:WINDOWSSystem32spoolDRIVERSW32X863fppdis2a.exe
O4 – HKLM..Run: [KAZAA] "C:Program FilesKazaa Litekpp.exe" "C:Program FilesKazaa Litekazaalite.kpp" /SYSTRAY
O4 – HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_05injusched.exe
O4 – HKLM..Run: [MSConfig] C:WINDOWSPCHealthHelpCtrBinariesMSConfig.exe /auto
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSsystem32ctfmon.exe
O9 – Extra button: Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe
O9 – Extra 'Tools' menuitem: Windows Messenger – {FB5F1910–F110–11d2–BB9E–00C04F795683} – C:Program FilesMessengermsmsgs.exe

Odpowiedzi: 7

McScr@by:
Bobi_robert:

... Jesli chodzi o loga poczekaj na McScr@by'ego lub EL NINO ...

Nic więcej nie będziesz musiał fix`ować poniewaź Bobi_robert napisał juź co jest nie tak.
No wlasnie. Popieram :P :P .
EL NINO
Dodano
09.10.2004 17:57:18
Bobi_robert:

... Jesli chodzi o loga poczekaj na McScr@by'ego lub EL NINO ...

Nic więcej nie będziesz musiał fix`ować poniewaź Bobi_robert napisał juź co jest nie tak.
McScr@by
Dodano
09.10.2004 15:29:33
juhg:
MAM PROBLEM Z WIRUSEM O NAZWIE: WORM.BEAGLE.AR I JAK MOZE ZNACIE JAKIES PEOPOZYCJE USUNIĘCIA GO TO PROSZE O PODANIE ICH
MksClean sobie z nim radzi

Jesli chodzi o loga poczekaj na McScr@by'ego lub EL NINO
na pewno musisz usunać z loga
O4 – HKCU..Run: [bawindo] D:WINDOWSSystem32awindo.exe

gdyz to proces robaka
Jesli jest w tasku proces bawindo.exe zakoncz
Wyłączyc przywracanie znaleźć (włączajac szukanie w ukrytych) i usunac z dysku bawindo.exe
Włączyc przywracanie
Bobi
Dodano
09.10.2004 13:40:53
Running processes:
D:WINDOWSSystem32smss.exe
D:WINDOWSsystem32winlogon.exe
D:WINDOWSsystem32services.exe
D:WINDOWSsystem32lsass.exe
D:WINDOWSsystem32svchost.exe
D:WINDOWSSystem32svchost.exe
D:WINDOWSsystem32spoolsv.exe
D:WINDOWSExplorer.EXE
D:ProgramyGadu–Gadugg.exe
D:WINDOWSSystem32 vsvc32.exe
D:ProgramyPanda SoftwarePanda Antivirus PlatinumFirewallPavFires.exe
D:ProgramyPanda SoftwarePanda Antivirus Platinumpavsrv51.exe
D:WINDOWSSystem32svchost.exe
D:Documents and SettingskogutPulpitHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.onet.pl/
R0 – HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – D:ProgramyAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – D:WINDOWSSystem32msdxm.ocx
O4 – HKCU..Run: [bawindo] D:WINDOWSSystem32awindo.exe
O4 – Global Startup: Microsoft Office.lnk = D:Program FilesMicrosoft OfficeOfficeOSA9.EXE
O9 – Extra button: Related (HKLM)
O9 – Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096701961742
O16 – DPF: {AC120B1D–9411–4111–AF52–118052D85D45} (GameDesire Darts Games) – http://67.15.101.3/g_bin/pl/darts_2_0_0_28.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O16 – DPF: {FDDBE2B8–6602–4AD8–946D–94C5A32FA6C1} (GameDesire Pool 8) – http://67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab
O17 – HKLMSystemCCSServicesTcpip..{CE14CB83–7F93–4AA3–8785–CB5E317C2B07}: NameServer = 192.168.33.254,194.204.159.1

GDYŻ MAM PROBLEM Z WIRUSEM O NAZWIE: WORM.BEAGLE.AR I JAK MOZE ZNACIE JAKIES PEOPOZYCJE USUNIĘCIA GO TO PROSZE O PODANIE ICH. Z GORY DZIEKUJE.
juhg
Dodano
09.10.2004 13:20:32
dumprep.exe ( KernelFaultCheck ) program narzędziowy tworzący liste zrzutów pamięci zlokalizowany w C:WINDOWSsystem32.

aqadcup.exe jest procesem Backdoor Agent BG ale nie wystepuje on u Ciebie w kluczu Run, jako proces czy jego element .dll, dlatego źe odznaczyłeś go w msconfig.
Wyszukaj aqadcup.exe i jeśli jest to go usuń ( wcześniej wyłacz przywracanie systemu ).

Sprawdzić co opóźnia ładowanie systemu moźesz np. BootVis oraz za jego pomocą zoptymalizować czas ładowania Os`a.
McScr@by
Dodano
09.10.2004 03:07:39
Siedzialem troche i wyrzucalem rozne smieci,na biezaco staram sie skanowac adaware.
W msconfig/uruchamianie zobacyzlem dwa dziwne wpisy: dumprep i aqadcup. Odchaczylem to – ten dumprep to jakis trojan czytalem na google ale co to jest ten aqadcup ??

I jeszcze jedno,system dosc wolno sie laduje, jeszcze na poziomie "czarnego ekranu" – mozna jakos podejrzec co on tam tak dlugo robi ? :)) gdzies kiedys czytalem o takim programie... ?

pozdr i dzieki za szybka odpowiedz :)
artw
artw
Dodano
09.10.2004 02:42:45
Log OK.
Coś się dzieje podejrzanego,
Czy tak profilaktycznie go podałeś ?
McScr@by
Dodano
09.10.2004 02:12:10
artw
Dodano:
09.10.2004 01:57:29
Komentarzy:
7
Strona 1 / 1