logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Jak zinterpretować log HijackThis v1.99.0 na Windows XP?

roni_71 07 Cze 2006 16:54 1382 9
REKLAMA
  • #1 2707181
    roni_71
    Poziom 13  
    Posty: 132
    Ocena: 6
    Jak w temacie proszę o pomoc w ziterpretowaniu:Logfile of HijackThis v1.99.0
    Scan saved at 21:17:06, on 2006-06-06
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\SYSTEM32\Ati2evxx.exe
    d:\epc\BHROOT\BIN\NT611SVC.EXE
    d:\epc\BHROOT\BIN\monitor.exe
    C:\WINDOWS\System32\drivers\crauto.exe
    C:\WINDOWS\system32\drivers\KodakCCS.exe
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Kerio\Personal Firewall\persfw.exe
    d:\epc\BHROOT\BIN\PORTMAP.EXE
    C:\WINDOWS\System32\ScsiAccess.EXE
    C:\WINDOWS\System32\svchost.exe
    d:\epc\BHROOT\BIN\DBMANG.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\RICOlmer\RICOlmer.exe
    C:\Program Files\Gadu-Gadu\gg.exe
    C:\Program Files\eMule\emule.exe
    C:\PROGRA~1\INCRED~1\bin\IMApp.exe
    C:\WINDOWS\explorer.exe
    C:\Documents and Settings\MUSIOLY\Ustawienia lokalne\Temp\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.icm.edu.pl:8080
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll (file missing)
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\cgmopenbho.dll
    O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
    O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
    O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
    O4 - HKCU\..\Run: [RICOlmer] C:\Program Files\RICOlmer\RICOlmer.exe
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
    O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
    O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
    O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cab
    O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab
    O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/25ade6cc367b2d462205/netzip/RdxIE601.cab
    O16 - DPF: {A526A2C7-723E-4081-BF70-A7A9913E8C4A} (LogData Class) - http://ipgweb.cce.hp.com/rdqemea/pl/downloads/sysinfo.cab
    O16 - DPF: {A67BA5E3-5B79-11D6-A711-00C12601EADE} - http://tomcki.pl/netia4/lolidka265.exe
    O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
    O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
    O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
    O23 - Service: bh611 - Bell& Howell - d:\epc\BHROOT\BIN\NT611SVC.EXE
    O23 - Service: Bell & Howell Monitor Service - Bell & Howell - d:\epc\BHROOT\BIN\monitor.exe
    O23 - Service: crauto - Unknown - C:\WINDOWS\System32\drivers\crauto.exe
    O23 - Service: Bell & Howell Database Manager - Bell & Howell - d:\epc\BHROOT\BIN\DBMANG.EXE
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
    O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
    O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
    O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: PMounter - Unknown - C:\WINDOWS\system32\PMounter.exe
    O23 - Service: ONC/RPC Portmapper - Bell & Howell - d:\epc\BHROOT\BIN\PORTMAP.EXE
    O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\System32\ScsiAccess.EXE
  • REKLAMA
  • #2 2707263
    Sawekfan
    Poziom 17  
    Posty: 265
    Pomógł: 18
    Ocena: 13
    Na początek jeśli stosujesz tylko IE jako przeglądarkę to dokonaj aktualizacji. Następnie w hijackthis zaznacz:

    R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
    O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll (file missing)
    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cab
    O16 - DPF: {A67BA5E3-5B79-11D6-A711-00C12601EADE} - http://tomcki.pl/netia4/lolidka265.exe

    Sprawdź czy w procesach nie masz uruchomionego lolidka265.exe. Jesli tak to wyłącz i zaznacz w hijackthis do usunięcia.

    Aha i jest tez nowa wersja hijackthis więc także możesz ją sobie ściągnać. Do tego przeskanuj komputer programami typu Ad-aware lub Sbyboot oraz Ewido (zanim przeskanujesz dokonaj aktualizacji a po skanowaniu odinstaluj). Wszystko jest na necie więc wystarczy w google wklepać i je znajdziesz.
  • #3 2707295
    roni_71
    Poziom 13  
    Posty: 132
    Ocena: 6
    Używam opery.Reszte zrobiłem w/g zaleceń.
  • REKLAMA
  • REKLAMA
  • #6 2708841
    oleksy009988
    Poziom 20  
    Posty: 480
    Pomógł: 13
    Ocena: 3
    Lineusz napisał:
    Wklej sobie ten log to tego analizatora. http://www.hijackthis.de/

    Takie wklejanie nie zawsze może przynieść oczekiwane efekty, a czasem nawet odwrotne od zamierzonych. Lepiej prześledzić wpisy wg "instrukcji" producenta programu.
  • Pomocny post
    #7 2712055
    Sawekfan
    Poziom 17  
    Posty: 265
    Pomógł: 18
    Ocena: 13
    :arrow: roni_71

    I co???? Problem rozwiązany czy nie bo nic nie napisałeś?
  • #8 2712351
    roni_71
    Poziom 13  
    Posty: 132
    Ocena: 6
    Tak.Wielkie dzięki.Co prawda od czasu do czasu przy prawokliku w katalogu z filmami wyskakuje mi informacja że wystąpił problem z explorer.exe i zostanie zamknięty.Po kliknięciu "nie wysyłaj" wszystko znika i po chwili znowu się pojawia.Nie wiem o co chodzi.
  • REKLAMA
  • #9 2712759
    paweliw
    Spec od komputerów
    Posty: 4914
    Pomógł: 710
    Ocena: 230
    W Start->Uruchom->wpisz REGSVR32 /U SHMEDIA.DLL

    Jak nie pomoże użyj SZUKAJ (wpisz: +explorer +avi)
  • #10 2718279
    roni_71
    Poziom 13  
    Posty: 132
    Ocena: 6
    Wygląda na to że wszystko jest OK.Dzięki.

Podsumowanie tematu

✨ Dyskusja dotyczy interpretacji logu programu HijackThis v1.99.0 na systemie Windows XP z Internet Explorer 6 SP1. Zalecane jest zaktualizowanie przeglądarki IE oraz samego HijackThis do najnowszej wersji. W logu wykryto podejrzane wpisy, takie jak brakujące pliki DLL związane z Shareaza oraz podejrzany proces lolidka265.exe, który należy wyłączyć i usunąć. Rekomendowane jest także przeskanowanie systemu programami antyszpiegowskimi typu Ad-aware, Spybot oraz Ewido po uprzedniej aktualizacji tych narzędzi. Dodatkowo wskazano na możliwość samodzielnej analizy logu za pomocą zewnętrznych serwisów, np. hijackthis.de. Po zastosowaniu zaleceń problem został częściowo rozwiązany, jednak pojawia się sporadyczny błąd explorer.exe przy prawokliku w katalogu z filmami. Zaproponowano wyrejestrowanie biblioteki SHMEDIA.DLL poleceniem REGSVR32 /U SHMEDIA.DLL oraz dalsze poszukiwania rozwiązania z użyciem wyszukiwarki. Ostatecznie system uznano za stabilny po wykonaniu powyższych kroków.
Podsumowanie AI na podstawie dyskusji. Może zawierać błędy.
REKLAMA