Analiza logów HijackThis dla Windows XP SP2 - co może być nie tak?

Question

Witam, znajomy mnie poprosił o pomoc. Niestety mam tylko dostęp na maila do niego. Podesł mi loga oraz zrzuty z ekranu. Możecie określić co i jak ew. nie tak z tym kompem i jak zadziałać ? Dzięki Logfile of HijackThis v1.99.1 Scan saved at 15:24:25, on 2006-12-14 Platform: Windows XP Dodatek SP2...

Kolobos · Accepted Answer

jackuc Zeby ktos obejrzal te zrzuty to musisz nauczyc sie umieszczac zdjecia na forum, maja miec format jpg, maly rozmiar (a nie 1.5MB + punkty za pobranie). W hjt do kasacji: O4 - HKLM\..\Run: [nvchost] C:\WINDOWS\csrss.exe

TONI_2003 · Accepted Answer

Witam !
Szanowny kolego takie zamieszczenie załączników w załączniku i w takiej formie jak to zrobiłeś to delikatnie powiedziawszy małe nieporozumienie i braki totalne w użytkowaniu komputera i jego możliwości !
Straciłem sporo czasu by to odkręcić tak jak to powinno być zrobione ...
Postaraj się następnym razem i zrób to jak zrobiłem to ja, a nie zamieszczaj załącznikowy w tak olbrzymiej objętości !
Żądając na dodatek za pomoc jeszcze punktów to delikatnie mówiąc paranoja :!:

zyzioo · Accepted Answer

Witam
Po pierwsze to polecił bym wykopanie Avasta u mnie się nie sprawdził

.
Ściągnij sobie spyawreterminator bardzo dobry program do wywalania syfu z systemu

,jest darmowy.Aha jeszcze radził bym Ci zmienić Avasta na NOD32 .Wtedy możesz po czyszczeniu systemu odinstalować spywarka

i zostawić NODa.

Pozdrawiam

DSB · Answer

Włos jeży na głowie liczba procesów... podejrzewam, że kolega narzeka na wolne działanie?
Proponuję zacząć od użycia msconfig (start - > uruchom -> wpisać :msconfig ) i wyłączyć elementy które nie są potrzebne, np:
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
E:\Program Files\Winamp\winampa.exe
D:\Program Files\Recognita Plus 4.0\RNMONAPP.EXE
D:\Program Files\QuickTime\qttask.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
to tak przykładowo.
A tak w ogóle to proponuję przyjrzeć się za pomocą Task Managera ile czasu procesora i ile pamięci zajmują jakie programy i na tej podstawie eliminować (Skype jest strasznie pamięciożerny, więc ja np. włączam go tylko gdy chcę zadzwonić)

Lepszą diagnostykę uzyskasz jak rozszerzysz oczekiwania, bo tak ciężko jest stwierdzić do czego się dąży...

jackuc · Answer

Dzięki Przekaże Twoje uwagi. Chodzi również o wiruchy i inne badziewie Zerknij w załączniki tam są zzrzuty ekranów

jackuc · Answer

Przepraszam. Z punktami oczywiście to oczywiście działanie pomyłkowe POzdrawiam i dziękuję zarazem za porady

jackuc · Answer

A jeszcze taki pytanko odnośnie zapory windowsowej. Ona jest skuteczna czy lepiej ją wyłączyć i zainstalować coś innego ?

Cichy666 · Answer

Witam tu masz test antywirusów W testach zapora windows wypadła najgorzej więc radzę zainstalować coś lepszego. Pozdrawiam

jackuc · Answer

Przekazałem, wszelkie uwagi i zalecenia. Nie wiem czy wszystkie dotarły do odbiorcy, ale poniżej efekty. Możesz ew. zerknąć czy coś jeszcze jest do wywalenia ? Dzięki Logfile of HijackThis v1.99.1 Scan saved at 14:09:58, on 2006-12-18 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe d:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\System32\msiexec.exe d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe d:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\TBPanel.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\lg_fwupdate\fwupdate.exe D:\Program Files\Spik\Spik.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Skype\Phone\Skype.exe D:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cidaemon.exe C:\Documents and Settings\MAMUSIA\Pulpit\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O4 - HKLM\..\Run: SOUNDMAN.EXE O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe O4 - HKLM\..\Run: [avast!] d:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [LGODDFU] C:\Program Files\lg_fwupdate\fwupdate.exe O4 - HKLM\..\Run: d:\Program Files\Spik\Spik.exe -autostart O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: C:\Program Files\Skype\Phone\Skype.exe /nosplash /minimized O4 - HKCU\..\Run: [Gadu-Gadu] D:\Program Files\Gadu-Gadu\gg.exe /tray O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - d:\Program Files\Spik\url_wpmsg.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - d:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashMaiSv.exe /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - d:\Program Files\Alwil Software\Avast4\ashWebSv.exe /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

Cichy666 · Answer

Po co Ci tyle antywirusów? Dodano po 49 : Wszystko jest OK

jackuc · Answer

Dzięki, przekażę. Który najlepiej zostawić ? Acha mam info od uzytkownika, że dźwięk się wykrzaczył przy porządkach. Instalować stery do płyty / muzy ponownie ?

Cichy666 · Answer

Tak zainstaluj sterowniki ponownie. Każdy będzie Ci radził program, którego sam używa. Jeżeli chodzi o mnie mam Nortona Internet Security 2005 z Antywirem i jak na razie nie narzekam. Pozdrawiam

AlchimisteV · Answer

Witam
mam prośbę ... czy ktoś móglby mi sprawdzić log????
oto on:

Logfile of HijackThis v1.99.1
Scan saved at 19:45:57, on 2006-12-26
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Borland\InterBase\bin\ibguard.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\PROGRA~1\NEOSTR~1\CnxMon.exe
C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\NEOSTR~1\taskbaricon.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\ScannerU\AM32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Borland\InterBase\bin\ibserver.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\Neostrada TP\NeostradaTP.exe
C:\Program Files\Neostrada TP\ComComp.exe
C:\Program Files\Neostrada TP\Watch.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Documents and Settings\ADA\Pulpit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [WooCnxMon] C:\PROGRA~1\NEOSTR~1\CnxMon.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\taskbaricon.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6CEDF893-19B7-45E2-A312-A473B934BC5B}: NameServer = 194.204.152.34 217.98.63.164
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Borland Software Corporation - C:\Program Files\Borland\InterBase\bin\ibserver.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

pozdrawiam

jankolo · Answer

AlchimisteV, oczywiście 25 pozycji startujących wraz z systemem jest Ci bezwzględnie potrzebne?

AlchimisteV · Answer

chodzi mi o to, że na gg...od kilku dni "wędrują" sobie takie fajne linki....przypadkiem wybrałam taki, bo otrzymałam od dobrego kumpla....i niestety zaczął się taki "mały" łańcuszek....
teraz próbuję stwierdzić czy są jakieś skutki tego

Figi · Answer

Póki co nie, ale jeśli będzie koleżanka klikała we wszystko, co dostanie na GG, to jest całkiem prawdopodobne, że już niedługo będą.
Od koleżanki też ktoś dostał coś, czego koleżanka nie wysyłała?

AlchimisteV · Answer

niestety tak....kilka osób się do mnie zgłosiło, że wysłałam im takiego linka...choć nie było mnie przy kompie...i to nawet osoby których nie znam...
przed momentem dostałam kolejnego linka....i to od tej samej osoby

Figi · Answer

W logu z HjT nic nie widzę. Proszę wkleić loga z Silent Runners.

AlchimisteV · Answer

Silent Runners.vbs, revision 49, Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by {++} Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} ctfmon.exe = C:\WINDOWS\system32\ctfmon.exe [MS] Skype = C:\Program Files\Skype\Phone\Skype.exe /nosplash /minimized [Skype Technologies S.A.] MsnMsgr = C:\Program Files\MSN Messenger\MsnMsgr.Exe /background [MS] Gadu-Gadu = C:\Program Files\Gadu-Gadu\gg.exe /tray [Gadu-Gadu S.A.] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} WooCnxMon = C:\PROGRA~1\NEOSTR~1\CnxMon.exe [empty string] SpeedTouch USB Diagnostics = C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe /icon [THOMSON Telecom Belgium] WOOWATCH = C:\PROGRA~1\NEOSTR~1\Watch.exe [France Télécom R&D] WOOTASKBARICON = C:\PROGRA~1\NEOSTR~1\taskbaricon.exe [France Télécom R&D] WINDVDPatch = CTHELPER.EXE [Creative Technology Ltd] UpdReg = C:\WINDOWS\UpdReg.EXE [Creative Technology Ltd.] Jet Detection = C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe [empty string] CTStartup = C:\Program Files\Creative\Splash Screen\CTEaxSpl.EXE /run [Creative Technology Ltd.] SunJavaUpdateSched = C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe [Sun Microsystems, Inc.] HPDJ Taskbar Utility = C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe [HP] HPHUPD05 = C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe [Hewlett-Packard] HP Component Manager = C:\Program Files\HP\hpcoretech\hpcmpmgr.exe [Hewlett-Packard Company] HP Software Update = C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe [Hewlett-Packard] HPHmon05 = C:\WINDOWS\system32\hphmon05.exe [Hewlett-Packard] WinampAgent = C:\Program Files\Winamp\winampa.exe [null data] avast! = C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe [null data] snpstd3 = C:\WINDOWS\vsnpstd3.exe [empty string] RemoteControl = C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe [Cyberlink Corp.] InCD = C:\Program Files\Ahead\InCD\InCD.exe [Nero AG] NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe [Ahead Software Gmbh] iTunesHelper = C:\Program Files\iTunes\iTunesHelper.exe [Apple Computer, Inc.] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = AcroIEHlprObj Class \InProcServer32\(Default) = C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [empty string] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = SSVHelper Class \InProcServer32\(Default) = C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll [Sun Microsystems, Inc.] {9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided) -> {HKLM...CLSID} = Windows Live Sign-in Helper \InProcServer32\(Default) = C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ {42071714-76d4-11d1-8b24-00a0c9068ff3} = Rozszerzenie CPL kadrowania wyświetlania -> {HKLM...CLSID} = Rozszerzenie CPL kadrowania wyświetlania \InProcServer32\(Default) = deskpan.dll [file not found] {88895560-9AA2-1069-930E-00AA0030EBC8} = Rozszerzenie ikony HyperTerminalu -> {HKLM...CLSID} = HyperTerminal Icon Ext \InProcServer32\(Default) = C:\WINDOWS\System32\hticons.dll [Hilgraeve, Inc.] {B41DB860-8EE4-11D2-9906-E49FADC173CA} = WinRAR shell extension -> {HKLM...CLSID} = WinRAR \InProcServer32\(Default) = C:\Program Files\WinRAR\rarext.dll [null data] {00020D75-0000-0000-C000-000000000046} = Microsoft Office Outlook Desktop Icon Handler -> {HKLM...CLSID} = Microsoft Office Outlook \InProcServer32\(Default) = C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL [MS] {0006F045-0000-0000-C000-000000000046} = Microsoft Office Outlook Custom Icon Handler -> {HKLM...CLSID} = Rozszerzenie ikon plików programu Outlook \InProcServer32\(Default) = C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL [MS] {42042206-2D85-11D3-8CFF-005004838597} = Microsoft Office HTML Icon Handler -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = C:\Program Files\Microsoft Office\OFFICE11\msohev.dll [MS] {B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF} = iTunes -> {HKLM...CLSID} = iTunes \InProcServer32\(Default) = C:\Program Files\iTunes\iTunesMiniPlayer.dll [Apple Computer, Inc.] {472083B0-C522-11CF-8763-00608CC02F24} = avast -> {HKLM...CLSID} = avast \InProcServer32\(Default) = C:\Program Files\Alwil Software\Avast4\ashShell.dll [ALWIL Software] {FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} = Messenger Sharing Folders -> {HKLM...CLSID} = Moje foldery udostępniania \InProcServer32\(Default) = C:\Program Files\MSN Messenger\fsshext.8.0.0812.00.dll [MS] {950FF917-7A57-46BC-8017-59D9BF474000} = Shell Extension for CDRW -> {HKLM...CLSID} = Shell Extension for CDRW \InProcServer32\(Default) = C:\Program Files\Ahead\InCD\incdshx.dll [Nero AG] HKLM\Software\Classes\PROTOCOLS\Filter\ text/xml\CLSID = {807553E5-5146-11D5-A672-00B0D022E945} -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL [MS] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ avast\(Default) = {472083B0-C522-11CF-8763-00608CC02F24} -> {HKLM...CLSID} = avast \InProcServer32\(Default) = C:\Program Files\Alwil Software\Avast4\ashShell.dll [ALWIL Software] WinRAR\(Default) = {B41DB860-8EE4-11D2-9906-E49FADC173CA} -> {HKLM...CLSID} = WinRAR \InProcServer32\(Default) = C:\Program Files\WinRAR\rarext.dll [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR\(Default) = {B41DB860-8EE4-11D2-9906-E49FADC173CA} -> {HKLM...CLSID} = WinRAR \InProcServer32\(Default) = C:\Program Files\WinRAR\rarext.dll [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ avast\(Default) = {472083B0-C522-11CF-8763-00608CC02F24} -> {HKLM...CLSID} = avast \InProcServer32\(Default) = C:\Program Files\Alwil Software\Avast4\ashShell.dll [ALWIL Software] WinRAR\(Default) = {B41DB860-8EE4-11D2-9906-E49FADC173CA} -> {HKLM...CLSID} = WinRAR \InProcServer32\(Default) = C:\Program Files\WinRAR\rarext.dll [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ shutdownwithoutlogon = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} undockwithoutlogon = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ Wallpaper = %APPDATA%\Microsoft\Internet Explorer\Tapeta programu Internet Explorer.bmp Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ Wallpaper = C:\Documents and Settings\ADA\Dane aplikacji\FastStone\FSIV\FSViewerWallPaper.bmp Startup items in ADA & All Users startup folders: ----------------------------------------------------- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart Action Manager 32 -> shortcut to: C:\Program Files\ScannerU\AM32.exe [null data] Enabled Scheduled Tasks: ------------------------ AppleSoftwareUpdate -> launches: C:\Program Files\Apple Software Update\SoftwareUpdate.exe -Task [Apple Computer, Inc.] HP Usg Daily -> launches: C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\pexpress\hphped05.exe [empty string] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = %SystemRoot%\System32\mswsock.dll [MS] 000000000002\LibraryPath = %SystemRoot%\System32\winrnr.dll [MS] 000000000003\LibraryPath = %SystemRoot%\System32\mswsock.dll [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\ HKLM\Software\Classes\CLSID\{01002DB2-8170-4D9B-A8B1-DDC9DD114E03}\(Default) = Volet Wanadoo Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar] InProcServer32\(Default) = C:\PROGRA~1\NEOSTR~1\audience\audience.dll [empty string] HKLM\Software\Classes\CLSID\{3BAF4A27-C764-4E1A-A6F4-62F7A7E5E51C}\(Default) = ToolBand Class Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar] InProcServer32\(Default) = C:\PROGRA~1\NEOSTR~1\audience\audience.dll [empty string] HKLM\Software\Classes\CLSID\{5BF498C0-931E-4A4F-B33F-456D07137EAA}\(Default) = Volet Wanadoo Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar] InProcServer32\(Default) = C:\PROGRA~1\NEOSTR~1\audience\audience.dll [empty string] HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = &Badanie Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ MenuText = Sun Java Console CLSIDExtension = {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBC} -> {HKCU...CLSID} = Java Plug-in 1.5.0_09 \InProcServer32\(Default) = C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll [Sun Microsystems, Inc.] -> {HKLM...CLSID} = Java Plug-in 1.5.0_09 \InProcServer32\(Default) = C:\Program Files\Java\jre1.5.0_09\binpjpi150_09.dll [Sun Microsystems, Inc.] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ ButtonText = Badanie Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ {08C06D61-F1F3-4799-86F8-BE1A89362C85} = (no title provided) -> {HKLM...CLSID} = Search Class \InProcServer32\(Default) = C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL [empty string] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ avast! Antivirus, avast! Antivirus, C:\Program Files\Alwil Software\Avast4\ashServ.exe [null data] avast! iAVS4 Control Service, aswUpdSv, C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe [null data] avast! Mail Scanner, avast! Mail Scanner, C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe /service [ALWIL Software] avast! Web Scanner, avast! Web Scanner, C:\Program Files\Alwil Software\Avast4\ashWebSv.exe /service [ALWIL Software] Creative Service for CDROM Access, Creative Service for CDROM Access, C:\WINDOWS\system32\CTsvcCDA.exe [Creative Technology Ltd] InCD Helper, InCDsrv, C:\Program Files\Ahead\InCD\InCDsrv.exe [Nero AG] InterBase Guardian, InterBaseGuardian, C:\Program Files\Borland\InterBase\bin\ibguard.exe [Borland Software Corporation] InterBase Server, InterBaseServer, C:\Program Files\Borland\InterBase\bin\ibserver.exe [Borland Software Corporation] iPod Service, iPod Service, C:\Program Files\iPod\bin\iPodService.exe [Apple Computer, Inc.] LightScribeService Direct Disc Labeling Service, LightScribeService, C:\Program Files\Common Files\LightScribe\LSSrvc.exe [Hewlett-Packard Company] Pml Driver HPZ12, Pml Driver HPZ12, C:\WINDOWS\system32\HPZipm12.exe [HP] Windows User Mode Driver Framework, UMWdf, C:\WINDOWS\system32\wdfmgr.exe [MS] WMDM PMSP Service, WMDM PMSP Service, C:\WINDOWS\system32\MsPMSPSv.exe [MS] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ hpzlnt09\Driver = hpzlnt09.dll [HP] Microsoft Document Imaging Writer Monitor\Driver = mdimon.dll [MS] ---------- : Suspicious data at a malware launch point. : Suspicious data at a browser hijack point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer No at the first message box and Yes at the second message box. ---------- (total run time: 62 seconds, including 9 seconds for message boxes)

Figi · Answer

Wcześniej jakoś umknęło mi to: Prewencyjnie do zafixowania w HijackThis. Log z Silent Runners sprawdzą koledzy, bo to, że ja nie widzę tam nic niepokojącego, niekoniecznie musi oznaczać, że nic takiego tam nie ma. Tymczasem proszę przeskanować system przy pomoce Ewido.

AlchimisteV · Answer

ok....poczekam mam takie małe pytanko jeszcze.... w plikach tymczasowych mam plik, którego nie można usunąć , jest to con.wijo .... wogóle co to jest rozszerzenie *.wijo????

jankolo · Answer

Przeczytaj to, proszę:

AlchimisteV · Answer

ok.... sprawa z *.wijo załtwiona .... czekam jedynie na wynik Log z Silent Runners pozdrawiam

Kolobos · Answer

Logi sa ok.

AlchimisteV · Answer

bardzo dziekuje pozdrawiam

jackuc · Answer

Witam w wątku już prosiłem o pomoc nie dla siebie. Wątek już zamknięty a niestety problem nie jest do końca rozwiązany. Ponadto po wyłączeniu niektórych procesów podczas uruchamiania, np. java, recognita itp. wyskakują komunikaty, że coś nie gra. No i po skanie Kasperskym wychodzi, że bardzo rozmnożył się Worm.Win32.Agent. Co radzicie ?

wolferin · Answer

Od razu wywal sobie tego kasprowskiego on-line bo to zawsze badziewie na worma może łatkę na mks.com.pl znajdziesz a jak ci nie pójdzie wejdź na stronkę avast.com i ściągnij sobie cały program z instalką jest darmowy i rejestracja też jest darmowa i tym Przeskanuj
Powinien pomóc bo ja na razie przez tyle czasu co używam nie miałem żadnej infekcji
Tylko pamiętaj że nie możesz mieć zainstalowanego tylko jeden program antywirusowy.

jackuc · Answer

Ok, przekażę. Co do avasta to ta osoba coś namieszała bo jak napisała:
"wogóle nie mogę ani zainstalować ani odinstalować avasta a działać też nie chce bo krzyczy że błąd"

Poradziłem aby Regcleanerem wyczyścić avasta i jeszcze raz próbowac zainstalować

zbigniew18 · Answer

Witam,
aby sprawdzić czy nie ma nadal na kompie trojanów i spyware'ów dobrze jest sobie coś takiego zapodać:
1) z menu start wybieramy "uruchom" i tam wpisujemy "cmd" (uruchomi się tryb poleceń)
2) w trybie poleceń wpisujemy
netstat -an
polecenie to wyświetla wszystkie połączenia i porty nasłuchiwania w postaci liczbowej.
Jeśli jest dużo adresów nasłuchujących różnych od IP Twojego kompa to raczej jakieś wirusy są zagnieżdżone.
Ja miałem kiedyś taki przypadek, że wirusy tak blokowały łącze że nic nie dało rady zrobić

Analiza logów HijackThis dla Windows XP SP2 - co może być nie tak?

Post #1

Post #2

Post #3

Post #4

Post #5

Post #6

Post #7

Post #8

Post #9

Post #10

Post #11

Post #12

Post #13

Post #14

Post #15

Post #16

Post #17

Post #18

Post #19

Post #20

Post #21

Post #22

Post #23

Post #24

Post #25

Post #26

Post #27

Post #28

Post #29

Post #30

Podsumowanie tematu