x-kom hosting

Proszę sprawdzic mojego loga

spinesi
utworzono
utworzono
Logfile of HijackThis v1.99.1

Scan saved at 12:21:32, on 2009-03-29

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\Programy\Nero 6\InCD\InCDsrv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

D:\Programy\Nero 6\InCD\InCD.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Programy\DAEMON Tools Lite\daemon.exe

D:\Programy\Gadu-Gadu\gg.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Programy\FireFox\firefox.exe

C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\winydtxh.exe

C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\winimdps.exe

D:\Programy\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ingbank.pl/u235/navi/73/

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] D:\Programy\Nero 6\InCD\InCD.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programy\Adobe Acrobat Reader\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programy\CorelDRAW Graphics Suite 12\Languages\PL\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=040609 serial=DR12WCX-1314285-UQC lang=PL

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programy\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\Programy\Gadu-Gadu\gg.exe" /tray

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programy\Nero 6\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

Nikt nie pomoże, wszystko ok?

Mateusz J.
komentarz
komentarz

Prosże log z ComboFix pokazać.

spinesi
komentarz
komentarz

Proszę mi tylko powiedziec czy te dwa pliki:

C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\winydtxh.exe

C:\DOCUME~1\UKASZ~1\USTAWI~1\Temp\winimdps.exe

to jakies niechciane typki :D

Gość
komentarz
komentarz

Tak, to są trojany, dlatego @jesionka prosił Cię o log z ComboFixa.

.

spinesi
komentarz
komentarz

czyli nie mozna tego poprostu usunąc

Gość
komentarz
komentarz

Nie, ComboFix powinnien sobie z tym poradźić.

.

spinesi
komentarz
komentarz

oto log z ComboFix'a

ComboFix 09-03-29.04 - Łukasz 2009-03-30 15:49:45.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.2047.1603 [GMT 2:00]

Uruchomiony z: e:\combofix\ComboFix.exe

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

c:\windows\system32\_000003_.tmp.dll

c:\windows\system32\_000005_.tmp.dll

c:\windows\system32\_000006_.tmp.dll

c:\windows\system32\_000007_.tmp.dll

c:\windows\system32\_000008_.tmp.dll

c:\windows\system32\_000009_.tmp.dll

c:\windows\system32\_000010_.tmp.dll

c:\windows\system32\_000011_.tmp.dll

c:\windows\system32\_000012_.tmp.dll

c:\windows\system32\AutoRun.inf

.

((((((((((((((((((((((((( Pliki utworzone od 2009-02-28 do 2009-03-30 )))))))))))))))))))))))))))))))

.

2009-03-28 21:28 . 2009-03-28 21:28 <DIR> d-------- c:\program files\7-Zip

2009-02-24 21:00 . 2009-02-24 21:00 0 --a------ c:\windows\BarCode.INI

2009-02-24 20:55 . 2009-02-24 20:55 394 --a------ c:\windows\capture.ini

2009-02-22 12:57 . 2009-02-22 12:57 <DIR> d-------- c:\program files\MSXML 4.0

2009-02-21 12:48 . 2009-03-30 13:37 21 ---hs---- C:\date.bin

2009-02-20 19:14 . 2009-03-30 14:22 8,272 ---hs---- c:\windows\system32\`.vbe

2009-02-20 19:14 . 2009-03-30 14:22 8,272 ---hs---- c:\windows\`.vbe

2009-02-20 19:14 . 2009-03-03 22:55 8,272 ---hs---- C:\`.vbs

2009-02-20 17:06 . 2009-02-20 19:01 105,312 --a------ c:\windows\FontData.fdb

2009-02-20 17:04 . 2009-02-20 17:04 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\InstallShield

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-27 14:27 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-20 15:05 --------- d-----w c:\documents and settings\Łukasz\Dane aplikacji\Corel

2009-02-20 15:03 --------- d-----w c:\program files\Common Files\InstallShield

2009-02-09 14:19 1,846,528 ----a-w c:\windows\system32\win32k.sys

2008-12-05 07:14 144,896 ----a-w c:\windows\system32\schannel.dll

2006-06-23 06:48 32,768 ------w c:\windows\inf\UpdateUSB.exe

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]

"DAEMON Tools Lite"="d:\programy\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

"Gadu-Gadu"="d:\programy\Gadu-Gadu\gg.exe" [2008-09-15 2130071]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-09-13 991806]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2008-03-16 1040384]

"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 487424]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-09-15 147553]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 225280]

"InCD"="d:\programy\Nero 6\InCD\InCD.exe" [2005-01-27 1381376]

"Adobe Reader Speed Launcher"="d:\programy\Adobe Acrobat Reader\Reader\Reader_sl.exe" [2008-09-02 856961]

"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 299008]

"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]

"CorelDRAW Graphics Suite 11b"="d:\programy\CorelDRAW Graphics Suite 12\Languages\PL\Programs\Registration.exe" [2009-02-20 823296]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"= 1 (0x1)

"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]

--a------ 2008-09-15 17:49 2130071 d:\programy\Gadu-Gadu\gg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Six Engine]

--a------ 2008-09-17 12:07 5966936 c:\program files\ASUS\Six Engine\SixEngine.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a------ 2008-09-02 15:32 118784 d:\programy\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"UacDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"d:\\Programy\\RivChat\\RivChat2\\RivChat.exe"=

"e:\\PES 2009\\pes2009.exe"=

"d:\\Programy\\Gadu-Gadu\\gg.exe"=

"e:\\PES 2009\\kitserver\\setup.exe"=

"c:\\WINDOWS\\System32\\WScript.exe"=

"c:\\PROGRA~1\\COMMON~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe"=

"c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\MOM.exe"=

"c:\\WINDOWS\\system32\\NeroCheck.exe"=

"c:\\Program Files\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE"=

"c:\\Program Files\\Analog Devices\\SoundMAX\\Smax4.exe"=

"c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe"=

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [2008-09-13 150568]

R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\lhihqm.sys --> c:\windows\system32\drivers\lhihqm.sys [?]

R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2008-09-13 84992]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5bc5edfc-96c4-11dd-9c6d-00221563cff7}]

\Shell\AutoRun\command - WScript.exe .\`.vbs

\Shell\open\Command - WScript.exe .\`.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{714653f8-16d8-11de-9d62-0010a707ee39}]

\Shell\AutoRun\command - WScript.exe .\`.vbs

\Shell\open\Command - WScript.exe .\`.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e038d388-07ee-11de-9d4a-0010a707ee39}]

\Shell\AutoRun\command - I:\gi2ky.exe

\Shell\open\Command - I:\gi2ky.exe

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.ingbank.pl/u235/navi/73/

.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-30 15:50:16

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(540)

c:\windows\system32\Ati2evxx.dll

.

Czas ukończenia: 2009-03-30 15:52:04

ComboFix-quarantined-files.txt 2009-03-30 13:52:03

Przed: 20 698 095 616 bajtów wolnych

Po: 20,783,423,488 bajtów wolnych

138 --- E O F --- 2009-03-14 17:00:17

Gość
komentarz
komentarz
R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\lhihqm.sys --> c:\windows\system32\drivers\lhihqm.sys [?]

SALITY??

Przeskanuj tym: Dr.WEB CureIt!.

.

spinesi
komentarz
komentarz

kurde nie moge go ściagnac, chyba cos na stronie u nich.

coś jeszcze jest do fixowania?

Gość
komentarz
komentarz

Tak trochę jest, ale najważniejszy jest narazie ta usługa.

.

spinesi
komentarz
komentarz (edytowane)

to narazie usunmy to co da sie za pomocą combofixa

Gość
komentarz
komentarz

Narazie wykonasz scana "Doktorkiem".

.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.