winnt: Re: wirus - WIN2003 server - otwieranie katalogu moje dokumenty

Autor: <slackwareWYTNIJTO_at_poczta.onet.pl>
Data: Mon 09 Jul 2007 - 14:52:50 MET DST
Message-ID: <76a7.00000091.46922fa1@newsgate.onet.pl>
Content-Type: text/plain; charset="iso-8859-2"

> Dnia 09-07-2007 o 11:20:53 Jasko Bartnik <adres@sygnaturka.nadole>
> napisał(a):
>
> > Cos mi sie przypomina, ze taki objaw byl przy jakims trojanie sterowanym
> > przez GG. Ale informacja do sprawdzenia.
>
> Jesli masz mozliwosc - sciagnij hijackthis, i wklej tutaj log z programu
> (sie wygeneruje przy skanowaniu). Jesli zauwazysz w nim cos "nadmiarowego"
> najlepiej usunac. W tym przypadku moze to byc jakis wpis uruchamiajacy
> explorer.exe albo mssystem.exe. Jesli bedzie to ten drugi to znaczy, ze
> miales tego trojana gg (sobie przypomnialem, ze to sie nazywalo Admin GG).

o to log ,ale nie widze w nim nic podejrzanego, albo mi sie tak wydaje:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:17:52, on 2007-07-09
Platform: Windows 2003 Dodatek SP1 (WinNT 5.02.3790)
Boot mode: Normal

Running processes:
C:\Documents and Settings\Administrator\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\lserver.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\EXPLORER.EXE
C:\Program Files\Broadcom\BACS\BacsTray.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winlogon.exe
C:\Documents and Settings\Administrator\Moje dokumenty\Nowy folder\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page =
res://shdoclc.dll/hardAdmin.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
C:\WINDOWS\system32\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [bacstray] C:\Program Files\Broadcom\BACS\BacsTray.exe
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe
(User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe
(User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe
(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User
'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe
(User 'Default user')
O4 - S-1-5-18 Startup: Adobe Reader Speed Launch.lnk = C:\Program
Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Reader Speed Launch.lnk = C:\Program
Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe (User 'Default user')
O4 - .DEFAULT Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE (User 'Default user')
O4 - Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat
7.0\Reader\reader_sl.exe
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O10 - Broken Internet access because of LSP provider 'c:\documents and
settings\administrator\windows\system32\mswsock.dll' missing
O15 - ESC Trusted Zone: http://runonce.msn.com (HKLM)
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157023138234
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -
http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1157958851015
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F89D27E-EAFA-4100-BFC4-67D288F134E5}:
NameServer = 213.241.79.38
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui -
{438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\Documents and
Settings\Administrator\WINDOWS\system32\browseui.dll (file missing)
O22 - SharedTaskScheduler: Demon buforu kategorii składników -
{8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Documents and
Settings\Administrator\WINDOWS\system32\browseui.dll (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program
Files\Eset\nod32krn.exe
O23 - Service: OKI OPHC DCS Loader - Oki Data Corporation -
C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\OPHCLDCS.EXE
O23 - Service: OKI OPHG DCS Loader - Oki Data Corporation -
C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\OPHGLDCS.EXE

--
End of file
-- 
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

Received on Mon Jul 9 14:55:10 2007

To archiwum zostało wygenerowane przez hypermail 2.1.8 : Mon 09 Jul 2007 - 15:42:02 MET DST