Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Koledzy byłem poważnie zainfekowany !

Wróblewski 08 Dec 2006 20:21 3681 27
  • #1
    Wróblewski
    Level 15  
    Podstawową ilość trojanów i wirusów usunięto, część była głęboko wrośnięta w system win. Kilka musiałem usunąć na siłę co się odbiło na stabilności systemu.
    Jeszcze mam dwa komunikaty z którymi nie wiem co zrobić.
    Koledzy byłem poważnie zainfekowany !

    Koledzy byłem poważnie zainfekowany !

    Proszę o radę bo usunięcie ich odbija się na pracy systemu.
    Pozdrawiam
  • #2
    seybr
    Level 13  
    Może ściągnij sobie 30 dniową wersje Kasperskiego 6.0.
    On na bank sobie poradzi ;].
  • #3
    Kolobos
    IT specialist
    Wklej na forum log z hijackthis, przeskanuj rowniez system przy pomocy ewido.
  • #4
    Wróblewski
    Level 15  
    Załączam log z prośbą o przeanalizowanie pod kątem znacznych transferów do internetu bez włączonych moich programów pracujących w sieci.
    Logfile of HijackThis v1.99.1
    Scan saved at 20:43:04, on 2006-12-08
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\VTtrayp.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\NetMeter\NetMeter.exe
    C:\DOWNLOAD\Programy\WinZip\WZQKPICK.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Maxthon\Maxthon.exe
    C:\Program Files\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
    O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: NetMeter.lnk = C:\Program Files\NetMeter\NetMeter.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\DOWNLOAD\Programy\WinZip\WZQKPICK.EXE
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BD4C5F77-70A4-4E2B-8C0E-97A853AE4AC2}: NameServer = 192.168.0.1,194.204.152.34
    O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)

    Tego ostatniego nie widać w katalogu system32
  • #5
    Kolobos
    IT specialist
    Zainstaluj ewido i przeskanuj system.
    Nastepnie Start->Uruchom->sc stop MsaSvc
    oraz: sc delete MsaSvc
  • #6
    Wróblewski
    Level 15  
    A co powoduje ciągły transfer do internetu?
    Ewido pracuje to pewnie potrwa, już znalazł sporo
  • #7
    Kolobos
    IT specialist
    Zainstaluj pierwszy lepszy firewall i zobacz co laczy sie z internetm.
    Widze, ze masz wlaczone aktualizacje automatyczne wiec to moze to?
  • #8
    Wróblewski
    Level 15  
    Ewido faktycznie sporo wykrył, Zone Alarm nic nie wniósł a transfer średnio 18 kB/s. Czy nie ma innej metody wykrycia co powoduje ten transfer?
  • #9
    bomber
    Level 24  
    potoczna nazwa network monitor/packet monitor kideys sie bawilem czyms takim ale dokladnej nazwy nie pamietam pokazywal on mi ile i jaki proces transferuje jeszcze niekiedy co wyszlo w koncu ze jakis hakier podpial sie za mnie i siedzielimy na raz na 1 macu i IP wiec czasami wykrywalo ze odbieram dane choc o nie nie prosze , bo to jego program prosil, zminili mi ip i po sprawie .. :D ale u kolego to chyba naprawde wirus wiec poszukaj sobie cos takiego bo na 100% jest i to za darmo.. przynajmnej demo
  • #10
    Wróblewski
    Level 15  
    Proszę o sprawdzenie loga bo automat wyrzucz mi "O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)

    Nasty This entry is not running from the System32 folder, so it is probably nasty.
    Jakie jest Wasze zdanie, co wyrzucić?

    Logfile of HijackThis v1.99.1
    Scan saved at 20:26:02, on 2006-12-19
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\VTtrayp.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\Program Files\VIA\RAID\raid_tool.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\NetMeter\NetMeter.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Maxthon\Maxthon.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\HijackThis.exe

    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [C:\Program Files\NetMeter\NetMeter.exe] C:\Program Files\NetMeter\NetMeter.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BD4C5F77-70A4-4E2B-8C0E-97A853AE4AC2}: NameServer = 192.168.0.1,194.204.152.34
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)
    Koledzy byłem poważnie zainfekowany !
  • #11
    paweliw
    IT specialist
    Wyłącz przywracanie systemu, usuń wszystkie pliki tymczasowe (także internetowe).

    Wyłącz i usuń usługę:
    Start->Uruchom->sc stop MSWinLogonProcService, potem sc delete MSWinLogonProcService

    W hijackthis zaznacz i fix:
    O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing) <- plik usuń z dysku (tylko nie pomyl z identycznym - ale systemowym i potrzebnym - plikiem w katalogu C:\WINDOWS\System32)
  • #12
    bomber
    Level 24  
    ja to bym zrobil juz dawno format bo te smieci i tak sie powgryzaly wszedzie ...

    Moderated By jankolo:

    Jeżeli kolega nie ma mądrzejszych rad, to proponuję wstąpienie do fanclubu FORMAT C:

  • #13
    Miles!
    Level 21  
    Ściągnij antyvirusa kaspersky, jest to bardzo dobry program do trojanów i nie tylko. Ale ja bym proponował formata ponieważ po takich wirusach jest kolosalny bałagan w plikach systemu co może spowodować pewnego dnia jego upadek i strate danych (tak było u mnie)
  • #14
    Wróblewski
    Level 15  
    No teraz jest czysto tylko przy starcie windowsa wkrótce po logo pokazuje się komunikat " Winlogon.exe Nie powiodło się uruchomienie tej aplikacji ponieważ nie znaleziono sfc_os.dll. Ponownie zainstalować itd" , po OK jest plansza ZAPRASZAMY i wszystko uruchamia się normalnie. Aplikacji winlogon.exe w katalogu windows nie ma, HijackThis też jej nie wykrywa, Trojan Remover nic nie wykrywa, czyli dobrze.
    Co teraz zrobić? Kiedy uruchomić przywracanie systemu?
  • #15
    bomber
    Level 24  
    jak uruchomisz przywracanie sytemu prawdopodobnie przyrucisz plik z wirusem
    sproboj znalez na plycie instalycyjnej i skopiowac
    Ale ja odradzam bo przeciez sytem musi byc niezawodny stabilny itd. a ten co masz nigdy taki nie bedzie :idea:
    Jaki problem sformatowac i postawic od nowa system :?: przeciez to jest tylko pare godzin roboty a zaloze sie ze sie tymi antywirusami bawiles wiecej ...
    Ponadto pliki sa juz tak pogfragmentowane a rejestr tak zasyfiony ... ale coz jak sie ktos upral to nic nie poardzisz :D

    Proszę OBOWIĄZKOWO poprawić dotychczasowe błędy PRZED napisaniem kolejnego postu. Zwracam uwagę, że kolejne nieuprawnione doradzanie sformatowania dysku spowoduje przyznanie koledze ostrzeżenia.
    [jankolo]
  • #16
    Wróblewski
    Level 15  
    w dniach 15 do 17 postawiłem nowego windowsa i wszystko Ok teraz zobaczyłem tego winlogona i chyba warto nad nim popracować niż od nowa wszystko stawiać. Liczę na pomoc jak to naprawić.
  • #17
    bomber
    Level 24  
    to trzeba bylo popracowac jeszcze 20 minut i zrobic obraz albo zainsalowac dobrego antywira
    Jak chcesz to sie baw w kopiowanie plikow systemowych z plyty ale jesli nawet sa to nie jest to najlepsze wyjscie ... ja tylko podowiadam jak to zrobic
    ewentualnie mozesz ten pliczek probowac z neta sciagnac
    jak przywrocusz sytem przywrocisz wirusa ... wiec tak napewno nie
  • #18
    paweliw
    IT specialist
    bomber wrote:
    jak przywrocusz sytem przywrocisz wirusa ... wiec tak napewno nie

    Jeżeli wyłączył przywracanie systemu tak jak mu poleciłem to wszystkie pliki z folderów przywracania zostały usunięte !
    Ponowne właczenie przywracania systemu niczym nie grozi, powstaną nowe p-ty przywracania z bieżącą zawartością.

    Co do błędu winlogon.exe, czy procesu o takiej nazwie rzeczywiście nia ma w mendżerze zadań ?
    Plik sfc_os.dll dotyczy ochrony Windows File Protection, nie kombinowałeś z wyłączeniem jej ?
    Notabene oba pliki można podmienić/dograć z oryginalnych (z płyty instalacyjnej) lub pobrać z sieci, jest wiele opisów jak to zrobić.
  • #19
    jankolo
    R.I.P. Meritorious for the elektroda.pl
    Kolego bomber, prosiłem o poprawienie błędów i nie sugerowanie bez podstaw że najlepszą metodą usunięcia usterki jest sformatowanie dysku. Kolega zlekceważył moje obie prośby, więc zgodnie z obietnicą udzielam koledze ostrzeżenia. Nie zwalnia to kolegi z obowiązku stosowania się do poleceń moderatora.
  • #20
    bomber
    Level 24  
    dobra dobra, kombinujcie z wirusami, POWODZENIA, tylko ze jak sytem zawiedzie w malo odpowiedniej chwili to bedzie fajnie, System sie powinno i tak od czasu do czasu przenistalowac bo rejester sie rozrasta i spwalniw wszyko, chyba ze ktos lubi czekac 2,5 minuty az sie zaladuje ja mam obraz i odswiaezam sytem co 2 miesiac, wynik : ladowanie zawsze ponizej minuty, a na poczatku kolo 28 sec. Po co tracic czas na czekanie ? Po co odzyskiwac pliki i ryzykowac ze komputer jutro si enie uruchomi ? Nie widze w tym sensu. Jesli sadzicie ze najleiej grzebac i naprawiac sytem po wirausach to miejcie swiadomosc ze jesli sie to nie sypnie to po tych zabwach pliki sa inaczej ulozone i bedzie dluzej, jesli zdefragmentujecie jakims dobrym programem tez bedzie dluzej bo przez kochany rejestr, jesli go oczyscicie to i tak bedzie dluzej....
    Zobacz sam, nasz kolega sie bawi tym juz pare dni, a jak ktos umie to postwi sytem z sterownikami, ulubiona gram,programami od 0 w 3-4 godziny, Czy nie bylo by tak szybciej i lepiej?
  • #21
    Wróblewski
    Level 15  
    Kolega paweliw:
    czy procesu o takiej nazwie rzeczywiście nia ma w mendżerze zadań

    teraz widać że, winlogon uruchamia się razem a może i wcześniej przed zakończeniem startu systemu win, póżniej jest niewidoczny ani dla Kasperskyego ani dla As-Aware, ani dla trojan Remover natomiast podstawowy objaw działania tej aplikacji to ten transfer internetowy srednio 20 kB/s który ustał po wywaleniu go. Dziwne że, Zone Alarm też nic nie sygnalizował może przez to że uruchamiany był przed "murem". Teraz tylko pozostaje jakoś go usunąć z katalogu inicjującego uruchomienie systemu WIN
    Pozdrawiam
  • #22
    jankolo
    R.I.P. Meritorious for the elektroda.pl
    Kolega Bomber z uporem godnym lepszej sprawy kontynnuje niechlujne pisanie postó oraz udaje, że nie dostrzega uwag moderatora. W związku z tym kolega otrzymuje blokadę pisania na Forum do 31 grudnia 2006 włącznie. Proszę przypomnieć mi po upływie podanego terminu abym odblokował możliwość pisania.
    Życzę koledze wesołych świąt oraz szczęśliwego nowego roku.
  • #23
    paweliw
    IT specialist
    bomber :arrow:

    Twoje wypowiedzi nie dość, że są w większości błędne to na dodatek nie są żadną pomocą w tym temacie.

    Zostaw sobie bzdurne rady ponownej instalacji systemu co 2 miesiące, stabilny i dobrze zabezpieczony system XP może chodzić latami bez wyraźnego spowolnienia !
    Metoda częstych instalacji systemu (czy to z płyty czy też z obrazu) jest dobra dla ludzi nie mających zielonego pojęcia o komputerach, nie używających oprogramowania, sterowników itp. wymagających stałej aktualizacji dla których system jest tylko dodatkiem do gier, muzyki, komunikatora i przeglądarki www.

    Poczytaj sobie trochę postów Kolobos-a, czy innych użytkowników (w tym moich) to zobaczysz jak szybko i skutecznie można usunąć większość szkodliwego oprogramowania na komputerze użytkownika całkowicie zdalnie ! Wystarczy trochę doświadczenia, współpraca użytkownika i dobre oprogramowanie.
    Nie wyobrażam sobie reinstalacji systemu z powodu wirusa (w mojej wieloletniej karierze miałem tylko dwa takie przypadki !) bo zawsze system można przywrócić do normalnego stanu. Ponadto w wielu przypadkach (z różnych powodów niezależnych od nas) reinstalacja nie wchodzi w rachubę !

    Jak chcesz pomóc to wypowiadaj się na temat problemu, albo daj sobie spokój i nie męcz nas swoimi wypowiedziami.

    Wróblewski :arrow:

    Ściągnij Process Monitor i sprawdź nim czy winlogon.exe uruchamia się z lokalizacji C:\WINDOWS\System32 i czy to rzeczywiście on coś wysyła/pobiera z internetu (dwuklik na procesie, zakładka TCP/IP - powinna być pusta, jak nie to z czymś się łączy).
    Jeżeli tak, to wygląda na to, że plik został zainfekowany. Należy go podmienić na oryginalny plik z płyty instalacyjnej.
    Startujesz do Konsoli Odzyskiwania, usuwasz zainfekowany plik winlogon.exe:
    del C:\WINDOWS\system32\winlogon.exe
    del c:\WINDOWS\system32\dllcache\winlogon.exe
    (drugie kasowanie jest profilaktyczne)
    następnie przywracasz go z płyty instalacyjnej XP:
    expand x:\i386\winlogon.ex_ C:\WINDOWS\system32\winlogon.exe
    expand x:\i386\winlogon.ex_ C:\WINDOWS\system32\dllcache\winlogon.exe

    (za x wstaw swoją literę CD/DVD z płytą).

    Wszelkie opreacje należy wykonać zachowująć dużą ostrożność, dobrze też zrobić kopię ważnych danych.
  • #24
    Wróblewski
    Level 15  
    Jak wcześniej pisałem aplikacja winlogon próbuje się uruchomić ale chyba się nie uruchamia bo wszystko jest OK. Uruchomiłem przywracanie systemu co nie spowodowało żadnych zmian, system jest czysty, transferu brak.
    Ten systemowy winlogon C:\WINDOWS\system32\winlogon.exe pracuje normalnie, natomiast tego z katalogu Windows C:\WINDOWS\winlogon.exe nie ma.
    Pozostaje tylko info o próbie uruchomienia winloga na początku instalacji systemu i info o braku sfc_os.dll
    Pozdrawiam
  • #25
    paweliw
    IT specialist
    Sprawdź czy w katalogu c:\WINDOWS\system32\ lub c:\WINDOWS\system32\dllcache\ jest plik sfc_os.dll, jeżeli tak przekopiuj go do katalogu c:\WINDOWS\system32\.

    Jeżeli pliku nie ma wogóle to możesz go ściągnąć z DLL-files.com-sfc_os.dll

    Jeżeli plik sfc_os.dll jest w c:\WINDOWS\system32\ to wygląda na błędny wpis w rejestrze (pewnie odnoszący się do robactwa C:\WINDOWS\winlogon.exe).
  • #26
    Wróblewski
    Level 15  
    Pliku sfc_os.dll nigdzie nie było a w ogóle to nie ma :\WINDOWS\system32\dllcache\ , plik ten ściągnąłem i po restarcie wszystko OK Transfer na ogół zerowy.
    Dzięki
    Pozdrawiam

    Jeszcze tylko prośba o sprawdzenie

    Logfile of HijackThis v1.99.1
    Scan saved at 00:12:42, on 2006-12-21
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe
    C:\Program Files\ewido anti-spyware 4.0\ewido.exe
    C:\Program Files\Skype\Phone\Skype.exe
    C:\Program Files\Spyware Doctor\swdoctor.exe
    C:\Program Files\NetMeter\NetMeter.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\Program Files\Alchemy Network Monitor Pro\Server\ProcMonServer.exe
    C:\Program Files\Spyware Doctor\sdhelp.exe
    C:\Program Files\Alwil Software\Avast4\setup\avast.setup
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\Program Files\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\System32\svchost.exe

    O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
    O4 - HKLM\..\Run: [!ewido] "C:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
    O4 - HKCU\..\Run: [Spyware Doctor] "C:\Program Files\Spyware Doctor\swdoctor.exe" /Q
    O4 - HKCU\..\Run: [C:\Program Files\NetMeter\NetMeter.exe] C:\Program Files\NetMeter\NetMeter.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O10 - Unknown file in Winsock LSP: c:\program files\ashampoo\ashampoo firewall\spi.dll
    O17 - HKLM\System\CCS\Services\Tcpip\..\{BD4C5F77-70A4-4E2B-8C0E-97A853AE4AC2}: NameServer = 192.168.0.1,194.204.152.34
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: Process Monitor Service (ProcMon) - Alchemy Lab - C:\Program Files\Alchemy Network Monitor Pro\Server\ProcMonServer.exe
    O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
  • #27
    paweliw
    IT specialist
    Log wygląda na czysty.
    Mam nadzieję, że wiesz co to jest, bo ja programu nie znam:
    C:\Program Files\Alchemy Network Monitor Pro\Server\ProcMonServer.exe
  • #28
    Wróblewski
    Level 15  
    Dzięki za sprawdzenie i skuteczne porady.
    Alchemy Network Monitor miał mi pokazać jaki program powoduje transfer w danym momencie, ale okazał się zbyt skąplikowany i zaraz go wyinstaluje.
    Mam jeszcze dwa pytania:
    -wyłączająca się przeglądzarka internetowa czyści historię, adresy ocooki (i bardzo dobrze), pewnie w efekcie tego tracę możliwość zapamiętywania haseł, czy jest jakiś sposób by te hasła były zapisywane i nie kasowane?
    -czasem strona internetowa otwiera się w postaci "drzewka katalogów", nie wiem jak to się dzieje, ale podoba mi się to zjawisko, jaki mechanizm za to odpowiada i czy na każdą stronę tak można "wejść".
    Pozdrawiam