CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo sciagnol mi sie jakis syf dysk z systemem pelny

sciagnol mi sie jakis syf dysk z systemem pelny

Mam taka prosbe, pomozcie mi cos zrobic z tym sciagnol mi sie jakis syf z neta pelno trojanow jaki program BraveSentry trojanow juz chyba sie pozbylem ale dysk ze systemem zrobil sie pelny a mialem chyba z 5 gb jeszcez wolnego miejsca nie wiem co mam zrobic, daje jeszcze loga z hjt. prosze o pomoc Logfile of HijackThis v1.99.1 Scan saved at 11:18:38, on 2007-04-28 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe F:\Programy\PowerDVD\PDVDServ.exe F:\Programy\java\bin\jusched.exe D:\Program Files\QuickTime\qttask.exe D:\Programy\kaspersky\avp.exe D:\WINDOWS\System32\ctfmon.exe F:\Programy\oKalendarz\oKalendarz.exe D:\Programy\kaspersky\avp.exe D:\WINDOWS\System32\GEARSec.exe F:\Programy\Norton Ghost\Agent\PQV2iSvc.exe F:\Programy\Alcohol 120\StarWind\StarWindService.exe D:\WINDOWS\System32\svchost.exe F:\Programy\Avant Browser\avant.exe D:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE D:\Documents and Settings\kamil\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=userinit.exe O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\Programy\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] F:\Programy\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programy\java\bin\jusched.exe O4 - HKLM\..\Run: [lxccmon.exe] "D:\Program Files\Lexmark 3300 Series\lxccmon.exe" O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "F:\Programy\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVP] "D:\Programy\kaspersky\avp.exe" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - Startup: oKalendarz v2.00.lnk = F:\Programy\oKalendarz\oKalendarz.exe O4 - Global Startup: oKalendarz v2.00.lnk = F:\Programy\oKalendarz\oKalendarz.exe O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - F:\Programy\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Dodaj do listy blokowanych reklam - F:\Programy\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\Programy\Office\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Otwórz w nowym Avant Browser - F:\Programy\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - F:\Programy\Avant Browser\OpenAllLinks.htm O8 - Extra context menu item: Podświetl - F:\Programy\Avant Browser\Highlight.htm O8 - Extra context menu item: Szukaj - F:\Programy\Avant Browser\Search.htm O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - F:\Programy\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - F:\Programy\FlashGet\jc_all.htm O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programy\kaspersky\scieplugin.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Programy\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Programy\FlashGet\flashget.exe O10 - Unknown file in Winsock LSP: d:\windows\system32\ou7viewer.dll O10 - Unknown file in Winsock LSP: d:\windows\system32\ou7viewer.dll O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_45.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4856/mcfscan.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_30.cab O20 - Winlogon Notify: winsys2freg - D:\Documents and Settings\All Users\Dokumenty\Settings\winsys2f.dll (file missing) O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Programy\kaspersky\avp.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\Programy\blutut\BTNtService.exe O23 - Service: GEARSecurity - GEAR Software - D:\WINDOWS\System32\GEARSec.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norton Ghost - Symantec Corporation - F:\Programy\Norton Ghost\Agent\PQV2iSvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Programy\Alcohol 120\StarWind\StarWindService.exe

Odpowiedzi: 4

Jeśli tak szybko znika Ci miejsce na dysku, to być może masz taką infekcję, która błyskawicznie tworzy swoje kopie. Znam taką jedną, która potrafi tak przyśpieszać swoje łańcuchowe rozmnażanie, że w końcu co minutę tworzą się dwa nowe pliki. Łatwo przewidzieć, że w końcu zabraknie miejsca na dysku. To oczywiście tylko przykład, bo pewnie są i inne podobne w działaniu infekcje. Ja bym radził zrobić log z [url=http://www.searchengines.pl/phpbb203/index.php?showtopic=86306][b][color=blue]ComboFix lub ComboScan[/color][/b][/url] i dać go tu do przejrzenia. Ale z tym będzie kłopot, bo log jest długi. Kiedyś na tym forum można było dodać log jako załącznik pod postem, teraz nie ma takiej opcji. Można co prawda umieścić gdzieś w internecie, a tu dać tylko link. .
morda
Dodano
29.04.2007 17:36:37
czy juz wszystko jest wporzadku? a jeszzce jedno co z tym miejscem n dysku bo wczoraj jeszcez mialem okolo 4gb a dzis mam 113mb... Logfile of HijackThis v1.99.1 Scan saved at 16:12:16, on 2007-04-28 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe F:\Programy\PowerDVD\PDVDServ.exe F:\Programy\java\bin\jusched.exe D:\Program Files\QuickTime\qttask.exe D:\Programy\kaspersky\avp.exe D:\WINDOWS\System32\ctfmon.exe F:\Programy\oKalendarz\oKalendarz.exe D:\Programy\kaspersky\avp.exe D:\WINDOWS\System32\GEARSec.exe F:\Programy\Norton Ghost\Agent\PQV2iSvc.exe F:\Programy\Alcohol 120\StarWind\StarWindService.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\System32\oodag.exe F:\Programy\Avant Browser\avant.exe D:\Documents and Settings\kamil\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: UserInit=userinit.exe O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\Programy\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RemoteControl] F:\Programy\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programy\java\bin\jusched.exe O4 - HKLM\..\Run: [lxccmon.exe] "D:\Program Files\Lexmark 3300 Series\lxccmon.exe" O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "F:\Programy\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [QuickTime Task] "D:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVP] "D:\Programy\kaspersky\avp.exe" O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - Startup: oKalendarz v2.00.lnk = F:\Programy\oKalendarz\oKalendarz.exe O4 - Global Startup: oKalendarz v2.00.lnk = F:\Programy\oKalendarz\oKalendarz.exe O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - F:\Programy\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Dodaj do listy blokowanych reklam - F:\Programy\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\Programy\Office\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Otwórz w nowym Avant Browser - F:\Programy\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony... - F:\Programy\Avant Browser\OpenAllLinks.htm O8 - Extra context menu item: Podświetl - F:\Programy\Avant Browser\Highlight.htm O8 - Extra context menu item: Szukaj - F:\Programy\Avant Browser\Search.htm O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - F:\Programy\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - F:\Programy\FlashGet\jc_all.htm O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programy\kaspersky\scieplugin.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Programy\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\Programy\FlashGet\flashget.exe O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.3/g_bin/pl/poker_2_0_0_45.cab O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4856/mcfscan.cab O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_30.cab O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - D:\Programy\kaspersky\avp.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\Programy\blutut\BTNtService.exe O23 - Service: GEARSecurity - GEAR Software - D:\WINDOWS\System32\GEARSec.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Norton Ghost - Symantec Corporation - F:\Programy\Norton Ghost\Agent\PQV2iSvc.exe O23 - Service: O&O Defrag - O&O Software GmbH - D:\WINDOWS\System32\oodag.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Programy\Alcohol 120\StarWind\StarWindService.exe
gagatek88
Dodano
28.04.2007 18:12:47
i jeszcez jedno napisales ze mam usunac jeszcze R0 czyli te wszystkie trzy ?? R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
gagatek88
Dodano
28.04.2007 18:09:04
O10 jest syfem -> [url]http://www.trendmicro.com/vinfo/grayware/ve_graywareDetails.asp?GNAME=TSPY_WOW.ABV&VSect=Td[/url]. Ściągnij LSPFix i usuń z łańcucha LSP bibliotekę ou7viewer.dll (i tylko ją). Profilaktycznie ściągnij też winsockxpfix - w razie jakbyś namieszał to to narzędzie przywróci Ci domyślne ustawienia Winsocka. Wywal d:\windows\system32\ou7viewer.dll Dodatkowo do fixa O20 i R0 z SearchAssistant. Sprawdź czy biblioteki wskazanej przy O20 rzeczywiście nie ma na dysku - jak jest usuń (Killboxem). W zasadzie cały D:\Documents and Settings\All Users\Dokumenty\Settings\ możesz spokojnie usunąć.
Żółty
Dodano
28.04.2007 13:51:17
  • gagatek88 28.04.2007 15:55:00

    [quote=Żółty] Dodatkowo do fixa O20 i R0 z SearchAssistant. Sprawdź czy biblioteki wskazanej przy O20 rzeczywiście nie ma na dysku mam takie pytanie, mam to spr w taki sposob ze zobaczyc na sciezke z loga z hjt i potem sprawdizc czy to jest na dysku w tej sciezce, czy w jaki sposob mam to spr?

gagatek88
Dodano:
28.04.2007 13:19:18
Komentarzy:
4
Strona 1 / 1