logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Analiza loga HijackThis v1.99.1 na Windows XP SP2 - podejrzenie infekcji?

robertfus 17 Lip 2006 23:15 1377 7
REKLAMA
Zgłoś naruszenie prawa
Odpowiedz | Nowy temat
  • #1 2829317
    robertfus
    Poziom 13  
    Posty: 132
    Pomógł: 1
    Ocena: 7
    Witam
    Proszę o sprawdzenie loga
    Logfile of HijackThis v1.99.1
    Scan saved at 21:53:16, on 2006-07-17
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\SYSTEM32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\acs.exe
    C:\Program Files\Common Files\Stardock\SDMCP.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\Atheros\ACU.exe
    C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    C:\WINDOWS\system32\keyhook.exe
    C:\Program Files\Launch Manager\QtZgAcer.EXE
    C:\WINDOWS\vsnpstd.exe
    C:\Program Files\Yahoo!\Antivirus\CAVTray.exe
    C:\Program Files\Yahoo!\Antivirus\CAVRID.exe
    C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\NetMeter\NetMeter.exe
    C:\WINDOWS\system32\sistray.exe
    C:\Acer\eManager\anbmServ.exe
    C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
    C:\Program Files\Yahoo!\Antivirus\ISafe.exe
    C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
    C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Yahoo!\Antivirus\VetMsg.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    D:\programy\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://uk.red.clientapps.yahoo.com/customize/btyahoo/defaults/sb/*http://uk.docs.yahoo.com/info/bt_side.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://uk.red.clientapps.yahoo.com/customize/btyahoo/defaults/sp/*http://uk.search.yahoo.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.bt.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.bt.yahoo.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://uk.red.clientapps.yahoo.com/customize/btyahoo/defaults/su/*http://uk.search.yahoo.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://uk.red.clientapps.yahoo.com/customize/btyahoo/defaults/sb/*http://uk.docs.yahoo.com/info/bt_side.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://uk.red.clientapps.yahoo.com/customize/btyahoo/defaults/sp/*http://uk.search.yahoo.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.bt.yahoo.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://uk.red.clientapps.yahoo.com/customize/btyahoo/defaults/su/*http://uk.search.yahoo.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Wanadoo
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: UberButton Class - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
    O2 - BHO: YahooTaggedBM Class - {65D886A2-7CA7-479B-BB95-14D1EFB7946A} - C:\Program Files\Yahoo!\Common\YIeTagBm.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
    O2 - BHO: SidebarAutoLaunch Class - {F2AA9440-6328-4933-B7C9-A6CCDF9CBF6D} - C:\Program Files\Yahoo!\browser\YSidebarIEBHO.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
    O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
    O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
    O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE
    O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\Yahoo!\Antivirus\CAVTray.exe"
    O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\Yahoo!\Antivirus\CAVRID.exe"
    O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
    O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [C:\Program Files\NetMeter\NetMeter.exe] C:\Program Files\NetMeter\NetMeter.exe
    O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
    O8 - Extra context menu item: &AOL Toolbar search - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
    O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
    O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
    O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
    O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
    O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
    O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: BT Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Program Files\Yahoo!\Common\yiesrvc.dll
    O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.wanadoo.co.uk
    O15 - Trusted Zone: http://www.mks.com.pl
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\common\yinsthelper.dll
    O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O18 - Protocol: vskype - (no CLSID) - (no file)
    O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
    O20 - Winlogon Notify: MCPClient - C:\Program Files\Common Files\Stardock\mcpstub.dll
    O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
    O23 - Service: Usługa konfiguracji Atheros (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
    O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
    O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
    O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\Yahoo!\Antivirus\ISafe.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
    O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\Yahoo!\Antivirus\VetMsg.exe
    O23 - Service: YPCService - Yahoo! Inc. - C:\WINDOWS\system32\YPCSER~1.EXE

    Pozdrawiam
    r
  • REKLAMA
  • #2 2829429
    yogibear07
    Poziom 16  
    Posty: 240
    Pomógł: 6
    Ocena: 15
    hmm a co to jest acs.exe oraz vsnpstd.exe ? Duzo te pliki zajmują miejsca ?
    Pierwsze co razi po oczach to C:\WINDOWS\system32\sistray.exe
    ora niepodoba mi się nazwa keyhook.exe
  • REKLAMA
  • #3 2829463
    jankolo
    Spoczywaj w Pokoju
    Posty: 32197
    Pomógł: 1792
    Ocena: 583
    Kolego yogibear07, niech kolega nie kompromituje się na forum publicznym. Jeżeli kolega nie ma bladego pojęcia o hijackthis i jeszcze dodatkowo nie wie, co to jest Google, albo nie potrafi się wyszukiwarką posłużyć to proponuję czytać posty a rączki trzymać jak najdalej od klawiatury.
  • #4 2829547
    Kolobos
    Spec od komputerów
    Posty: 85159
    Pomógł: 17163
    Ocena: 10431
    Log jest ok.
  • REKLAMA
  • #5 2829558
    yogibear07
    Poziom 16  
    Posty: 240
    Pomógł: 6
    Ocena: 15
    jankolo napisał:
    Kolego yogibear07, niech kolega nie kompromituje się na forum publicznym. Jeżeli kolega nie ma bladego pojęcia o hijackthis i jeszcze dodatkowo nie wie, co to jest Google, albo nie potrafi się wyszukiwarką posłużyć to proponuję czytać posty a rączki trzymać jak najdalej od klawiatury.


    Kolego jankolo nie wiem czy kolega się spotkał z taką sytuacją ale mnie niestety było dane, iż aplikacja która rzekomo miałabyć systemową, nią nie była. Według danych google sistray.exe jest aplikacją do kart graficznych firmy SiS, jeśli kolega robertfus posiada kartę owegoż producenta to OK, gorzej jak jej nie posiada...
    Co do pliku keyhook.exe przyznaje się mój błąd aczkolwiek wynikły z tego że nie spotkałem się z tym plikiem.
    Nikt nie jest wszechwiedzący. Douczyłem się kilku rzeczy i będę wiedział na przyszłość. Źle nie radzę nikomu. Wypowiedziałem tylko swą opinię, na temat plików, nie mówiłem żeby je usuwać czy coś z tych rzeczy, więc nie wiem skąd taki bulwers :)
  • #6 2829596
    Radysh
    Poziom 27  
    Posty: 829
    Pomógł: 101
    Ocena: 12
    Moim zdaniem wszystko jest raczej w porządku. Oczywiście oprócz masy zbędnych "szykan" doinstalowanych do IE i innych niepotrzebnie uruchamiających się łącznie z systemem usług. Oczywiście to kwestia gustu/potrzeby. Jeśli szwankuje prędkość z którą przeglądarka otwiera strony i ilość namolnych reklam to radzę uruchomić "msconfig" i powyłączać zbędne dodatki lub je poprostu odinstalować. Jeśli kolega Robertfus zechce mogę wymienić to co niepotrzebnie "zżera" bity łącza internetowego oraz pamięć :). Najlepiej byłoby gdyby kolega opisał błędy które generuje system, wtedy łatwiej powiązać ew. problemy z logiem. Ps. Jaki zestaw ikon ma kolega na pasku zadań licząc od zegarka? :) :)
  • REKLAMA
  • #7 2829620
    robertfus
    Poziom 13  
    Posty: 132
    Pomógł: 1
    Ocena: 7
    dzieki kolegom za porady!
    kolego radysh bede wdzieczny za wskazówki co do aplikacji które mogą z lekka "zamulać" moje łącze:D
    A zestaw ikon raczej skromny:
    - launch menager do touchpada
    - sis utility tray
    - usuwanie sprzetu..
    - głosnik
    i ikona poł sieciowego.
    pozdrwaiam
    r
  • Pomocny post
    #8 2829652
    Radysh
    Poziom 27  
    Posty: 829
    Pomógł: 101
    Ocena: 12
    Tak więc zaczynamy "męczyć" msconfig

    C:\Program Files\Common Files\Real\Update_OB\realsched.exe
    C:\Acer\eManager\anbmServ.exe (chyba że komputer to laptop [?] to wtedy lepiej zostawić :) )
    C:\Program Files\Launch Manager\QtZgAcer.EXE (UWAGA! j/w)
    C:\Program Files\Yahoo!\Antivirus\ISafe.exe
    C:\Program Files\Yahoo!\Antivirus\VetMsg.exe
    C:\Program Files\Yahoo!\Antivirus\CAVTray.exe
    C:\Program Files\iPod\bin\iPodService.exe
    Oraz oprogramowanie od drukarki które (moim zdaniem) niepotrzebnie siedzi w tle.

    Właśnie to ja powyłączał bym w msconfig i gwarantuję że wyłączenie w/w nie wpłynie na stabilność systemu (choć też niezbyt wiele pamięci pozwoli odzyskać).

    Ciężko odnieść mi się do zainstalowanych "ulepszeń" IE gdyż każdy ma swoje gusta co wcale nie musi pokrywać się z moim (z lekka skrzywionym ;) ). Tak więc, tylko od kolegi zależy czy powywala "Toolbar`y" które być może są dla kolegi użyteczne a które w większości można po prostu odinstalować. To one właśnie w większości "żerują" na łączu.

    Ps. Zauważyłem że kolega ma touchpad więc jednak laptop... :)
Odpowiedz | Nowy temat
Zgłoś naruszenie prawa

Podsumowanie tematu

✨ Analiza loga HijackThis v1.99.1 na systemie Windows XP SP2 wykazała obecność procesów takich jak acs.exe, vsnpstd.exe, sistray.exe oraz keyhook.exe, które wzbudziły wątpliwości co do ich pochodzenia i bezpieczeństwa. Plik sistray.exe jest powiązany z kartami graficznymi SiS, więc jego obecność jest uzasadniona tylko przy posiadaniu sprzętu tego producenta. Keyhook.exe budził podejrzenia, jednak brak jednoznacznych dowodów na złośliwość. Ogólnie log został oceniony jako poprawny, bez wyraźnych oznak infekcji. Zwrócono uwagę na liczne dodatki i usługi uruchamiane wraz z systemem, które mogą obciążać zasoby i spowalniać działanie Internet Explorera. Zalecane jest użycie narzędzia msconfig do wyłączenia zbędnych procesów startowych, takich jak realsched.exe, anbmServ.exe, QtZgAcer.EXE, oraz komponentów Yahoo! Antivirus i oprogramowania drukarki, co nie wpłynie negatywnie na stabilność systemu, a może poprawić wydajność. Wskazano również, że wybór dodatków do IE jest kwestią indywidualną i można je odinstalować, jeśli są niepotrzebne lub uciążliwe.
Wygenerowane przez model językowy.
REKLAMA