Użytkownik "Vituniu" <vituniu@poczta.fm> napisał w wiadomości
news:djt8l9$qic$1@nemesis.news.tpi.pl...
> Na poczatek uruchom HijackThis, programik pokaze Ci wszystkie
> procesy (i nie tylko) uruchamiane w trakcie startu systemu,
> wywal podejrzane wpisy, a pozniej:
Log z hijacka wygląda tak:
Logfile of HijackThis v1.99.1
Scan saved at 7:45:39 PM, on 10/29/2005
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Serv-U\ServUDaemon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Program Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Program Files\DrWeb\DRWEBSCD.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft Office\Office10\msoffice.exe
C:\Program Files\MailMagic\Magic.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\Messenger\msmsgs.exe
E:\Pub\Magazyn\SpyBot\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\HPBPRO.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
L1cza
R3 - Default URLSearchHook is missing
O3 - Toolbar: TextAloud - {F053C368-5458-45B2-9B4D-D8914BDDDBFF} -
E:\AdamMp3\TextAloud2\TAForIE.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5]
"C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Program
Files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Program
Files\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config] C:\Program Files\Hewlett-Packard\hp LaserJet
1160_1320 series\SetConfig.exe -c Network -p 193.0.86.91 -pn "hp LaserJet
1320 PCL 6" -n 1 -l 1045 -sl 120000
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP
Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ServUTrayIcon] C:\Program Files\Serv-U\ServUTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: Download all by Free Download Manager -
file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager -
file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager -
file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager -
file://C:\Program Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer
Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 -
HKLM\System\CCS\Services\Tcpip\..\{346892C7-5808-4AE2-9101-62DB1F731D54}:
NameServer = 193.0.80.11,193.0.80.12
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = fuw.edu.pl
O17 -
HKLM\System\CS1\Services\Tcpip\..\{346892C7-5808-4AE2-9101-62DB1F731D54}:
NameServer = 193.0.80.11,193.0.80.12
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = fuw.edu.pl
O20 - Winlogon Notify: NetCache - C:\WINDOWS\system32\p66slgj716o.dll
O23 - Service: Command Service (cmdService) - Unknown owner -
C:\WINDOWS\YW5rYQAA\command.exe (file missing)
O23 - Service: Serv-U FTP Server (Serv-U) - Cat Soft -
C:\PROGRA~1\Serv-U\ServUDaemon.exe
Poza O20 nie widzenic podejrzanego. Wywalenie O20 nic nie zmienia za chwile
pojawia sie znowu.
> 1. Odinstaluj protokol TCP/IP z wlasciwosci polaczenia sieciowego
> 2. Wywal cale galezie rejestru:
> HKLM\SYSTEM\ControlSet001\Services\Winsock
> HKLM\SYSTEM\ControlSet001\Services\WinSock2
> 3. Zainstaluj ponownie TCP/IP
>
Jak mam odinstalowac TCP/IP, kiedy dla protokołu TCP/IP opcja odinstaluj we
właściwościach połączenia lokalnego jest nieaktywna.
Mam uprawnienia administratora, czy też muszę logować sie jako
Administrator? Lub robić to w trybie awaryjnym?
Pozdrawiam Anka
Received on Sat Oct 29 20:15:14 2005
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Sat 29 Oct 2005 - 20:42:04 MET DST