TA STRONA UŻYWA COOKIE. Dowiedz się więcej o celu ich używania i zmianie ustawień cookie w przeglądarce. Korzystając ze strony wyrażasz zgodę na używanie cookie, zgodnie z aktualnymi ustawieniami przeglądarki.
Od dnia 25.05.2018 r. na terenie Unii Europejskiej wchodzi w życie Rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Prosimy o zapoznanie się z polityką prywatności oraz regulaminem serwisu  [X]

sprawdzenie loga

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Wyślij odpowiedź

sprawdzenie loga

Postprzez darkman » 29 Sie 2007, 09:24

PostUA:

Witam was :) Prosze o sprawdzenie loga, bo kuzynowi komp sie tnie.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:23:23, on 2007-08-29
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programy\avast\aswUpdSv.exe
C:\Programy\avast\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe
C:\Program Files\Lexmark 1200 Series\lxczbmon.exe
C:\Programy\Winamp\winampa.exe
C:\Programy\avast\ashDisp.exe
C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe
C:\WINDOWS\System32\msq23.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Creative\Shared Files\CamTray.exe
C:\WINDOWS\System32\alg32.exe
C:\Programy\Skype\Phone\Skype.exe
C:\Programy\avast\ashWebSv.exe
C:\Programy\avast\ashMaiSv.exe
C:\Programy\Skype\Plugin Manager\skypePM.exe
C:\Programy\Gadu-Gadu\gg.exe
C:\Program Files\neostrada tp\neostradatp.exe
C:\Program Files\neostrada tp\ComComp.exe
C:\PROGRA~1\NEOSTR~1\Toaster.exe
C:\PROGRA~1\NEOSTR~1\Inactivity.exe
C:\PROGRA~1\NEOSTR~1\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\neostrada tp\Watch.exe
C:\WINDOWS\system32\dllcache\ivchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programy\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Programy\ivo\Expressivo Demo\IH_iexplore.dll
O3 - Toolbar: Expressivo - {85F685C3-20D9-4943-95E4-EB4224056C3F} - C:\Programy\ivo\Expressivo Demo\IH_iexplore.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Lexmark 1200 Series] "C:\Program Files\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programy\Winamp\winampa.exe
O4 - HKLM\..\Run: [avast!] C:\Programy\avast\ashDisp.exe
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programy\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmsass] mmdmm.exe
O4 - HKLM\..\Run: [Internet Security Service] msq23.exe
O4 - HKLM\..\Run: [Office Monitor] C:\WINDOWS\System32\alg32.exe
O4 - HKLM\..\RunServices: [mmsass] mmdmm.exe
O4 - HKLM\..\RunServices: [Internet Security Service] msq23.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Program Files\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programy\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Internet Security Service] msq23.exe
O4 - HKCU\..\Run: [Office Monitor] C:\WINDOWS\System32\alg32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-842925246-1482476501-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-842925246-1482476501-839522115-1003\..\Run: [Internet Security Service] msq23.exe (User '?')
O4 - HKUS\S-1-5-21-842925246-1482476501-839522115-1003\..\Run: [Office Monitor] C:\WINDOWS\System32\alg32.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-842925246-1482476501-839522115-1003 Startup: PowerReg Scheduler.exe (User '?')
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programy\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E2D6B97-9438-43D8-A3A3-0BC78A662B0D}: NameServer = 194.204.159.1 217.98.63.164
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programy\avast\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programy\avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programy\avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programy\avast\ashWebSv.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)

--
End of file - 5808 bytes
darkman
Aktywny w piśmie
Aktywny w piśmie
 
Posty: 547
Dołączenie: 28 Maj 2006, 12:17
Miejscowość: Kraków
Góra

Postprzez Arexe » 29 Sie 2007, 10:20

PostUA:

Komputer mu sie tnie bo ma sporo wirusow...

Te pliki niech usunie w systemie awaryjnym przy wylaczonym przywracaniu sytemu, najlepiej narzedziem Pocket Killbox:

mmdmm.exe , msq23.exe
Powinny sie one znajdowac w lokalizacji C:\WINDOWS\System32\

I jeszcze ten plik: C:\WINDOWS\system32\dllcache\ivchost.exe

Po tej operacji nalezy usunac te wpisy z Hijackthis:
O4 - HKLM\..\Run: [mmsass] mmdmm.exe
O4 - HKLM\..\Run: [Internet Security Service] msq23.exe
O4 - HKUS\S-1-5-21-842925246-1482476501-839522115-1003\..\Run: [Internet Security Service] msq23.exe (User '?')
O23 - Service: ms hexidecimal defx (mshexdefx) - Unknown owner - C:\WINDOWS\system32\dllcache\ivchost.exe


Potem daj nowe logi bo siedzi tam jeszcze troche tego syfu...
۞₪₪₪₪₪₪₪₪₪₪₪₪₪۞
Google H4x0r prawdę Ci powie!
Awatar użytkownika
Arexe
Postujący
Postujący
 
Posty: 326
Dołączenie: 08 Kwi 2006, 10:19
Pochwały: 3
Góra

Postprzez pp3088 » 29 Sie 2007, 11:56

PostUA:

Dodatkowo do Killboxa wklejasz:
C:\WINDOWS\System32\PowerReg Scheduler.exe
C:\WINDOWS\System32\alg32.exe

I usuwasz wpisy:
O4 - HKLM\..\Run: [Office Monitor] C:\WINDOWS\System32\alg32.exe
O4 - HKUS\S-1-5-21-842925246-1482476501-839522115-1003\..\Run: [Internet Security Service] msq23.exe (User '?')
O4 - HKUS\S-1-5-21-842925246-1482476501-839522115-1003\..\Run: [Office Monitor] C:\WINDOWS\System32\alg32.exe (User '?')
O4 - S-1-5-21-842925246-1482476501-839522115-1003 Startup: PowerReg Scheduler.exe (User '?')
O4 - Startup: PowerReg Scheduler.exe

+wyżej wymienione.
Awatar użytkownika
pp3088
Aktywny w piśmie
Aktywny w piśmie
 
Posty: 999
Dołączenie: 11 Sie 2006, 23:59
Miejscowość: Szczecin
Góra

Postprzez slake1 » 02 Wrz 2007, 02:29

PostUA:

Start-> Uruchom-> wpisz cmd-> wpisz poniższe polecenia i każde z nich zatwierdź Enter'em:
sc stop mshexdefx
sc delete mshexdefx


Następnie wykonujesz polecenia moich przedmówców.Po pracy pokazujesz nowy log + log z Silent Runners i ComboFix.
Awatar użytkownika
slake1
Postujący
Postujący
 
Posty: 147
Dołączenie: 22 Lip 2007, 16:01
Góra
Wyślij odpowiedź

Powróć do Bezpieczeństwo

Kto jest na forum

Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników

Switch to mobile style
Technologię dostarcza phpBB® Forum Software © phpBB Group
Profesjonalne polskie tłumaczenie phpBB3
Korzystanie z forum oznacza akceptację polityki prywatności