Forum PC Town

Strona Główna     FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy


Forum komputerowe PC Town Strona Główna » Kompiradło » Bezpieczeństwo w sieci » Analiza logów » Znowu mi tu coś siedzi :? Poprzedni temat :: Następny temat
Znowu mi tu coś siedzi :?
Autor Wiadomość
crooleeck 
Wymiata!


Pomógł: 25 razy
Skąd: Miedziana Dzioora...
Wysłany: 2007-02-13, 19:49   Znowu mi tu coś siedzi :?
Logfile of HijackThis v1.99.1
Scan saved at 19:43:51, on 2007-02-13
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
F:\OJCIEC\TIS200~1\BIN\TbMux32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\spnsrvnt.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\ctpmon.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
C:\WINDOWS\system32\ctpmon.exe
F:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [ctpmon] ctpmon.exe
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{49597DBF-F88B-4283-96C9-843CCECD5844}: NameServer = 194.204.159.1,194.204.152.34
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: COSIDS_TB - TransAction Software, D 81737 Munich - F:\OJCIEC\TIS200~1\BIN\TbMux32.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SentinelSuperProNet Server (SuperProServer) - Rainbow Technologies - C:\WINDOWS\system32\spnsrvnt.exe
O23 - Service: TIS 2000 Apache Web Server - Unknown owner - F:\OJCIEC\TIS200~1\APACHE~1\APACHE\ApchT2kW.exe (file missing)

To co zaznaczyłem trzeba wywalić w awarujnym bo nie moge zabić od tego procesu, więc z tym sobie dam rade. Ale może coś jeszcze tu siedzi więc daje loga. Thor mi tego pewnie nie zlooka, ale licze na nebeu ;) .
_________________
#pctown.pl @ PolNet
http://crooleeck.jogger.pl/
 
 
   
nebeu 
Moderator



Pomógł: 15 razy
Skąd: Radom
Wysłany: 2007-02-13, 20:20   
Znalazłem jeszcze to:
Cytat:

O4 - HKCU\..\Run: [ctpmon] ctpmon.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O23 - Service: TIS 2000 Apache Web Server - Unknown owner - F:\OJCIEC\TIS200~1\APACHE~1\APACHE\ApchT2kW.exe (file missing)

Po pracy daj loga kontrolnego ;) .
 
 
   
Gość
Gość
Wysłany: 2007-02-13, 21:24   
Ja bym zrobił tak.

Odinstaluj ten Megaupload Toolbar.Z jakiej przeglądarki korzystasz?,bo może jest inne wyjście.
odznacz:
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

Ściągnij program Killbox zaznacz Delete on reboot, w polu full path of file wklej ścieżki
C:\WINDOWS\system32\ctpmon.exe
C:\WINDOWS\system32\rpcc.dll
po wklejeniu każdej ścieżki z osobna klikasz na czerwonego iksa, a dopiero po wklejeniu drugiej zgadzasz się na restart.
W HijackThis'ie fix wpisy
O4 - HKCU\..\Run: [ctpmon] ctpmon.exe
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

Wpis 06 ustawiałeś sam jeśli nie to fixuj.

Z usuwaniem tego bym się wstrzymał
O23 - Service: TIS 2000 Apache Web Server - Unknown owner - F:\OJCIEC\TIS200~1\APACHE~1\APACHE\ApchT2kW.exe (file missing)
 
   
crooleeck 
Wymiata!


Pomógł: 25 razy
Skąd: Miedziana Dzioora...
Wysłany: 2007-02-13, 21:42   
Gość napisał/a:
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

To mi jest potrzebne.
Gość napisał/a:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

To mam odkąd chciałem zobaczyć mały zrzut, i myśle że może zostać.
Gość napisał/a:
Wpis 06 ustawiałeś sam jeśli nie to fixuj.

Nie ustawiałem - fixuje.
Gość napisał/a:
Odinstaluj ten Megaupload Toolbar

Potrzebny - brak blokad na ściąganie.
Gość napisał/a:
Z jakiej przeglądarki korzystasz?,bo może jest inne wyjście.

Wiem, że jest ;) . Korzysta się na tym kompie (pare osób) z FF, Maxthona i IE.
Cytat:
Z usuwaniem tego bym się wstrzymał
O23 - Service: TIS 2000 Apache Web Server - Unknown owner - F:\OJCIEC\TIS200~1\APACHE~1\APACHE\ApchT2kW.exe (file missing)

To jest soft do tirów - staremu potrzebny (mechanik).

Hmm... A gość może ma nick Thor?

Edit: Po zrobieniu wszystkie z czym się zgadzałem co gość mówił:
Logfile of HijackThis v1.99.1
Scan saved at 21:55:40, on 2007-02-13
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
C:\WINDOWS\ATKKBService.exe
F:\OJCIEC\TIS200~1\BIN\TbMux32.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\spnsrvnt.exe
C:\Program Files\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\Program Files\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Program Files\MicroStar\WLANUtility\WLAN_Service.exe
F:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FlashGet\getflash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SCANINICIO] "C:\Program Files\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: WlanUtility.lnk = C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{49597DBF-F88B-4283-96C9-843CCECD5844}: NameServer = 194.204.159.1,194.204.152.34
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: COSIDS_TB - TransAction Software, D 81737 Munich - F:\OJCIEC\TIS200~1\BIN\TbMux32.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program Files\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: SentinelSuperProNet Server (SuperProServer) - Rainbow Technologies - C:\WINDOWS\system32\spnsrvnt.exe
O23 - Service: TIS 2000 Apache Web Server - Unknown owner - F:\OJCIEC\TIS200~1\APACHE~1\APACHE\ApchT2kW.exe (file missing)
_________________
#pctown.pl @ PolNet
http://crooleeck.jogger.pl/
 
 
   
Gośc
Gość
Wysłany: 2007-02-13, 22:07   
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
potrzebne jest,ale nie wiem czy potrzebnie startuje razem z systemem?

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
potrzebne pewnie Ci jest to C:\WINDOWS\Minidump,ale czy musi się uruchamiać z systemem?

Megaupload Toolbar pytałem bo w FF i Mozilli mam to zabezpieczone rozszerzeniem User Agent Switcher

Nie niestety to nie ja
 
   
nebeu 
Moderator



Pomógł: 15 razy
Skąd: Radom
Wysłany: 2007-02-13, 22:25   
Log jest czysty. Coś się jeszcze dzieje?
 
 
   
Gość
Gość
Wysłany: 2007-02-13, 22:27   
Przepraszam,ale nie mogę znależć edycji posta.Poszukaj programiku "wwdc" blokuje porty lubiane przez robaki.Dodaj może do pandy,Spybota 1.4 to http://www.ewido.net/de/download/
Naprawde dobry program.Na 29 pełna wersja,potem bez rezydenta i automatycznych aktualizacji(zostają ręczne)
Log wydaje się OK.

//edycja jest tylko, po rejestracji i po zalogowaniu - Adf
 
   
crooleeck 
Wymiata!


Pomógł: 25 razy
Skąd: Miedziana Dzioora...
Wysłany: 2007-02-14, 21:23   
nebeu napisał/a:
Log jest czysty. Coś się jeszcze dzieje?

Siostrze się coś z gg stało i nie może się wbić na konto :P Ale to raczej wina czegoś innego. Komp chodzi tak jak powinien.

Gość - dzięki za pomoc ;) . Jak chcesz szczelać edita to musisz się zarajestrować...

THX wszystkim.
_________________
#pctown.pl @ PolNet
http://crooleeck.jogger.pl/
 
 
   
Net 
neD


Pomógł: 3 razy
Skąd: Szczecin
Wysłany: 2007-02-15, 07:02   
crooleeck napisał/a:
Siostrze się coś z gg stało i nie może się wbić na konto

Ja i połowa kumpli z bloku też ma (miało) takie problemy...
crooleeck napisał/a:
Ale to raczej wina czegoś innego.

Też tak mi się wydaje, bo jak u mnie przestało chodzić - to skanowałem kompa, a on był czysty ;)
 
 
   
Gość
Gość
Wysłany: 2007-02-15, 17:22   
Jeśli weszła w jakiś link przesłany przez GG to złapała infekcje,której wynikiem był międzyinnymi ten wpis w HijacThisie:
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
Jeżeli tak było to rozsyłała trego śmiecia dalej i dlatego mogła zostać przyblokowana przez GG.Może trzeba się z nimi skontaktować,i poprosić o odblokowanie konta.
 
   
Wyświetl posty z ostatnich:   
Dodaj do: WypowiedÄ˝ dla Wykop  WypowiedÄ˝ dla Facebook  WypowiedÄ˝ dla Wyczaj.to  WypowiedÄ˝ dla Gwar  WypowiedÄ˝ dla Delicious  WypowiedÄ˝ dla Digg  WypowiedÄ˝ dla Furl  WypowiedÄ˝ dla Google  WypowiedÄ˝ dla Magnolia  WypowiedÄ˝ dla Reddit  WypowiedÄ˝ dla Simpy  WypowiedÄ˝ dla Slashdot  WypowiedÄ˝ dla Technorati  WypowiedÄ˝ dla YahooMyWeb
Forum komputerowe PC Town Strona Główna » Kompiradło » Bezpieczeństwo w sieci » Analiza logów » Znowu mi tu coś siedzi :?
Odpowiedz do tematu
Możesz pisać nowe tematy
Możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
 Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group
system walidacji dla gości opracował Petermechanic
Forum komputerowe
Strona wygenerowana w 0,12 sekundy. Zapytań do SQL: 11