Jest W Tym Cos Podejrzanego?

hardwin · 20 Marca 2007

Logfile of HijackThis v1.99.1

Scan saved at 16:49:11, on 2007-03-20

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\D-Tools\daemon.exe

C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

C:\PROGRA~1\NEOSTR~1\CnxMon.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\PROGRA~1\NEOSTR~1\NeostradaTP.exe

C:\PROGRA~1\NEOSTR~1\ComComp.exe

C:\Program Files\Opera\Opera.exe

C:\PROGRA~1\NEOSTR~1\Watch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

D:\programy\aa marzec 2006 aa\anty wiry\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL

F2 - REG:system.ini: Shell=explorer.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [EPSON Stylus C43 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C43 Series" /O6 "USB001" /M "Stylus C43"

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe

O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe

O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O15 - Trusted Zone: http://mks.com.pl

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/sezam/components/SignActivX.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{118C0DA8-1576-415C-8EDE-CCD6D0BD60FC}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{118C0DA8-1576-415C-8EDE-CCD6D0BD60FC}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

ciagle kompa cos znajomem resetuje, zwiesza itp

przelecialem go 5 programami, niby naprawia po chwili znowu cos jest

w rejestrze niby ok, co bylo wywalilem, w autostarcie nic nie ma, msconfig tez sobie patrzylem

juz dzis przynioslem miernik, tez ok

niby teraz dziala, ale moze ktos cos zauwazy

Kolobos · 20 Marca 2007

Usun:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

> ciagle kompa cos znajomem resetuje, zwiesza itp

Wyswietlas ie niebieski ekran? Sprawdz ram memtestm, temperature procesora, nie zaszkodzi sprawdzic dysk.

Zasilacz ok tak?

Eskan · 24 Marca 2007

Sprawdzanie loga tutaj.

Wszystko co "na czerwono" londuje na śmietniku.

Nie sprawdzałem czy to jest w faq ale jeśli nie to może trzeba zamiścić interpretację logów z hijackthis.

jurek911 · 3 Kwietnia 2007

O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts

dlaczego ciągle wywala mi w analyzerze na czerwono???

co z tym jest nie tak?

Dziwną sytuacje też miałem wczoraj: zauważylem dwa procesy IE w menedżerze,choc nie używałem(am) tej przeglądarki, po odpaleniu ie pojawiał sie trzeci ten sam proces tego samego użytkownika. No to end, end, end, przegladarka sie zamknęła,ale ciągle te 2 pierwsze procesy ie ,tyle ze jeden zajmował stałą ilość pamieci (ok 4Mb), a drugi po każdym kill'u zaczynał od 8Mb i zajmował coraz więcej aż do ok 60Mb !!! no to kill,kill i tu zonk, co któryś kill tego procesu pojawiał się nowy 64 proxy creative.exe ,ale tylko na chwileczke.

Ten durny 64....exe znajdował sie w folderze "FaceDeafWindow" w document&settings. po skasowaniu, mogłem bez problemu zakonczyc proces iexplore z menedżera i po restarcie nie mam juz problemu.

Edytowane 3 Kwietnia 2007 przez jurek911

**ULLISSES** · 4 Kwietnia 2007

Proponuję pozbyć się tego:

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

A co do IE, to można wywalić jeśli nie zamierzasz używać MKS Online itp. Znajdź wszystkie pliki 'iexplore.exe' na dysku i usuń. Nie mylić z 'explorer.exe'.

Co do hosts, to wklej jego zawartość tutaj (jeśli jest dość mały).

Edytowane 4 Kwietnia 2007 przez ULLISSES

jurek911 · 4 Kwietnia 2007

IE używam tylko do aktualizacji windy (na operze nie bardzo) i na ten czas tylko odblokwuje firewall.

Hosts wiem do czego służy,ale jest dość duży (spybot dopisał też kilka swoich linijek).

Przeskanowałem też sysem Windows defender i NoLop'em, każdy z nich znalazł po jedej niedogodności (niepamiętam co to,ale nic z nazwą sugerującą IE czy hosts) po naprawieniu niestety nie skanowałem hijack'iem,dopiero dziś rano po ponowymym odpaleniu kompa. Hijack log analyzer niewykazał już błędu hosts.

Zaloguj się

Jest W Tym Cos Podejrzanego?

Rekomendowane odpowiedzi

hardwin

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Kolobos

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Eskan

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

jurek911

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

ULLISSES

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

jurek911

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Dołącz do dyskusji

Przeglądaj

Cała aktywność