proszę o sprawdzenie loga
Mam dziwny problem, NAV ogłasza mi co jakiś czas źe wykrył jakiegoś wira ".pif" i ".o" ,dostęp do pliku zabroniony. W katalogu windows/system32 robią się właśnie takie pliki. Po ręczym wykasowaniu poroblem pojawia się po kilkudzisięciu minutach ponownie.
log:
log:
Logfile of HijackThis v1.99.1
Scan saved at 20:23:47, on 2005–07–18
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\D–Tools\daemon.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\GetRight\getright.exe
C:\Program Files\GetRight\getright.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\totalcmd\TOTALCMD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\DOCUME~1\chab\USTAWI~1\Temp\_tc\HijackThis.exe
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 – Toolbar: PopUpCop – {DB43E4E6–FF8A–4018–8C8E–F68587A44A73} – C:\PROGRA~1\POPUPCOP\PopUpCop.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:\WINDOWS\System32\msdxm.ocx
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 – HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 – HKLM\..\Run: [DAEMON Tools–1033] "C:\Program Files\D–Tools\daemon.exe" –lang 1033
O4 – HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 – HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 – Global Startup: GetRight – Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
O4 – Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 – Extra context menu item: Download with GetRight – C:\Program Files\GetRight\GRdownload.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 – Extra context menu item: Open Image in New Window – res://C:\Program Files\PopUpCop\popupcop.dll/imagenew
O8 – Extra context menu item: Open with GetRight Browser – C:\Program Files\GetRight\GRbrowse.htm
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 – DPF: ING Bank Online – https://ssl.bsk.com.pl/bskonl/component/INGOnl.cab
O16 – DPF: {2DF91772–19DC–47AE–B52F–B8E2FE545625} (Spd2 Class) – http://www.lemontv.pl/lmctrls.cab
O16 – DPF: {6414512B–B978–451D–A0D8–FCFDF33E833C} (WUWebControl Class) – http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120056799734
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLM\System\CCS\Services\Tcpip\..\{0D181416–4D7C–4E56–923F–0CAE4EED291B}: NameServer = 194.204.152.34,194.204.159.1
O17 – HKLM\System\CCS\Services\Tcpip\..\{5D15DB4D–89F9–48AF–8C25–A3FEF6C9EB9D}: NameServer = 194.204.152.34,194.204.159.1
O17 – HKLM\System\CS1\Services\Tcpip\..\{0D181416–4D7C–4E56–923F–0CAE4EED291B}: NameServer = 194.204.152.34,194.204.159.1
O17 – HKLM\System\CS2\Services\Tcpip\..\{0D181416–4D7C–4E56–923F–0CAE4EED291B}: NameServer = 194.204.152.34,194.204.159.1
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. – C:\WINDOWS\System32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: Norton AntiVirus Auto Protect Service (navapsvc) – Symantec Corporation – C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 – Service: ScriptBlocking Service (SBService) – Symantec Corporation – C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
Odpowiedzi: 3
Podaj pelne nazwy plikow ktore wystepuja w "alercie" i sciezke dostepu do nich.
Sciagnij wspomniany programik i przeskanuj nim system.
Sciagnij wspomniany programik i przeskanuj nim system.
jedyne co podaje NAV to linka:
http://securityresponse.symantec.com/avcenter/venc/data/download.trojan.html
http://securityresponse.symantec.com/avcenter/venc/data/download.trojan.html
W logu niestety nic nie widac.
NAV oprocz tego ze podaje nazwe plikow wypluwa jakas informacje o tym jaki to wirus ? Sprawdzales na stronie Symanteca ?
Moze programik StartDreck poda wiecej informacji ?
NAV oprocz tego ze podaje nazwe plikow wypluwa jakas informacje o tym jaki to wirus ? Sprawdzales na stronie Symanteca ?
Moze programik StartDreck poda wiecej informacji ?
Strona 1 / 1