logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Analiza loga HijackThis v1.99.1 z Windows XP - podejrzane procesy?

harryadr 21 Lis 2005 17:59 1142 7
REKLAMA
  • #1 2012225
    harryadr
    Poziom 14  
    Posty: 149
    Ocena: 8
    Logfile of HijackThis v1.99.1
    Scan saved at 17:59:37, on 2005-11-21
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\tcpsvcs.exe
    C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\VVSN\VVSN.exe
    C:\Program Files\BearShare\BearShare.exe
    C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
    C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
    C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    C:\Program Files\Radeon Omega Drivers\v2.6.75a\ATI Tray Tools\atitray.exe
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Documents and Settings\SŁAWEK\Pulpit\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.o2.pl/
    F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe
    O4 - HKLM\..\Run: [BearShare] "C:\Program Files\BearShare\BearShare.exe" /pause
    O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
    O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_05\bin\npjpi150_05.dll
    O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/...ls/en/x86/client/wuweb_site.cab?1127232584859
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v...ls/en/x86/client/muweb_site.cab?1127232906453
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
  • REKLAMA
  • Pomocny post
    #2 2012241
    Kolobos
    Spec od komputerów
    Posty: 85175
    Pomógł: 17169
    Ocena: 10451
    Usun:

    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O4 - HKLM\..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe <- usun caly katalog vvsn

    Sprawdz plik c:\windows\system32\userinit.exe tym:
    http://virusscan.jotti.org/ i napisz czy cos znalazlo.
  • REKLAMA
  • #3 2012289
    harryadr
    Poziom 14  
    Posty: 149
    Ocena: 8
    nie nic nie znalazło
  • REKLAMA
  • #4 2012445
    Kolobos
    Spec od komputerów
    Posty: 85175
    Pomógł: 17169
    Ocena: 10451
    To dobrze :-)
  • REKLAMA
  • #5 2012466
    harryadr
    Poziom 14  
    Posty: 149
    Ocena: 8
    jeszcze jedno pytanko do pana eksperta
    mam czasmi problemy z netem
    czym to może byc spowodowane
    w stanie połaczenia zawsze mam wiecej wysłanych niż odebranych
    dlaczego??
  • #6 2012527
    Kolobos
    Spec od komputerów
    Posty: 85175
    Pomógł: 17169
    Ocena: 10451
    Pewnie BearShare cos wysyla.
  • #8 2012703
    harryadr
    Poziom 14  
    Posty: 149
    Ocena: 8
    ok mozna zamkonac temat

    Moderowany przez jankolo:

    Temat zamykam

Podsumowanie tematu

✨ Analiza logu HijackThis v1.99.1 z systemu Windows XP wykazała obecność podejrzanych wpisów, w tym nieznanego paska narzędzi (O3) oraz procesu VVSN.exe uruchamianego przy starcie systemu (O4). Zalecane było usunięcie całego katalogu VVSN oraz podejrzanego paska narzędzi. Plik systemowy userinit.exe został przeskanowany na stronie virusscan.jotti.org i nie wykazał infekcji. Dodatkowo zgłoszono problem z połączeniem internetowym, gdzie ilość wysłanych danych przewyższała odebrane, co mogło być spowodowane przez aplikację BearShare. Zaproponowano zapoznanie się z artykułem dotyczącym prywatności w Windows XP/2003, który może wyjaśnić zachowanie sieciowe systemu.
Podsumowanie AI na podstawie dyskusji. Może zawierać błędy.
REKLAMA