Całkiem trendy - Hijack's log


(Marsmo) #1

Ostatnio panuje moda na logi z Hijack'a, przyłączam się i ja! :mrgreen:

Generalnie nic się nie dzieje, ale nie szkodzi przepatrzeć, o co big please! :slight_smile:

Natomiast z rzeczy, które mnie niepokoją - a napewno mogą byc związane z jednym z wpisów w logu - to fakt, że przy ładowaniu systemu, oprócz zwykle występujących, coś się wpięło! :frowning:

Weszłam sobie w msconfig - i tam w zakładce Autoexec.bat - mam taki wpis (notabene leci właśnie na szybcika przy uruchamianiu kompa)

SET PATH = "C:/Program Files/Microsoft SQLSerwer/80/Tools/"%PATH%

Z Googlaków wynika, że ten wpis pozostawia np. aplikacja Płatnik, ale nie wiem dlaczego wlazło mi to, tam gdzie wlazło.

Płatnikiem się nie bawiłam, natomiast swego czasu miałam zainstalowany progs CDN Optima, który w podstawie instalki miał właśnie SQLSerwer MS.

Odinstalowałam wszystko po Bożemu + czyszczenie rejestru.

Dodam, że ścieżka tego wpisu nie istnieje na moim kompie. Przy ożywieniu natomiast plików systemowych i ukrytych - pojawia się folder Uninstall Information (prawidłowo) i tam pewne podfoldery odwołują się do tego serwerka (wiem to na pewno po dacie).

Pytanie więc, czy mogę bez konsekwencji usunąć owe foldery ręczną metodą! :twisted:

A oto mój log! 8)

Logfile of HijackThis v1.97.7

Scan saved at 15:02:53, on 04-09-02

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v5.00 (5.00.2614.3500)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MSTASK.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCEVTMGR.EXE

C:\WINDOWS\ASERV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MSDTCW.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\PROGRAM FILES\A4TECH\MOUSE\AMOUMAIN.EXE

C:\PROGRAM FILES\COMMON FILES\SYMANTEC SHARED\CCAPP.EXE

E:\WINAMP\WINAMPA.EXE

C:\WINDOWS\HOTKEY32.EXE

D:\OFFICE\FINDFAST.EXE

D:\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

D:\PROGRAM FILES\TLEN.EXE

D:\OPERA.EXE

D:\HIJACKTHIS.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/v/index.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAM FILES\FLASHGET\JCCATCH.DLL

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHELPER.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRAM FILES\FLASHGET\FGIEBAR.DLL

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM\..\Run: [internat.exe] internat.exe

O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe

O4 - HKLM\..\Run: [ASUSService] ASERV32.EXE

O4 - HKLM\..\Run: [ASUSKey] HOTKEY32.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe

O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe"

O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Program Files\Common Files\Symantec Shared\Script Blocking\SBServ.exe" -reg

O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start

O4 - HKLM\..\RunServices: [ASUSService1] ASERV32.EXE

O4 - HKLM\..\RunServices: [ASUSService2] GAPI.EXE 1

O4 - HKLM\..\RunServices: [KPF4] D:\Kerio Personal\Personal Firewall 4\kpf4ss.exe

O4 - Startup: Microsoft Find Fast.lnk = D:\Office\FINDFAST.EXE

O4 - Startup: Uruchamianie pakietu Office.lnk = D:\Office\OSA.EXE

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - D:\PROGRAM FILES\FLASHGET\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - D:\PROGRAM FILES\FLASHGET\jc_all.htm

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O14 - IERESET.INF: SEARCH_PAGE_URL=

O14 - IERESET.INF: START_PAGE_URL=

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

(fiesta) #2

Daruj sobie, mam nadzieję że niedługo na języku polskim będziesz miał możliwość wyżycia sie literackiego i forum co nieco oddechnie od Twojej radosnej twórczości OT :PPP


(Adarek) #3

Mi sie wydaje ze ktoś na twoim kompie grzebał w bazie danych - może właśnie w płatniku. Może to jest nowa ścieżka dostępu??

Moim zdaniem - kasacja.


(Marsmo) #4

Zakładam, że myślisz o tym SQLSerwerku! 8) I tak tez zrobię! :slight_smile:

A reszta loga jest w porzo? :?


(Asterisk) #5

Czyżby owczy pęd :stuck_out_tongue:

OT - -----------: > out


(Marsmo) #6

Owczym pędem bym tego nie nazwała - od tego jest Hijack! 8)

To, że się "generalnie nic nie dzieje" - to nie powód, by mój komp miał dźwigać nadprogramowy balast na grzbiecie!

Sama widzę wpisy, które tam się nie powinny bawić - ale niekoniecznie muszę sama sobie odpowiadać w tym topicu. Schizofrenia raczej mi nie grozi! Poza tym - gdybym czegoś była pewna w 100%, to nie pytałabym!

Natomiast - jak zwykle liczę na Głównego specjalistę od Hijack'a!

Moje największe zaniepokojenie budzi wpis

O4 - HKLM\..\RunServices: [MSDTC] msdtcw -start

ale nie tylko ten, nie wiem po co to np. siedzi

O14 - IERESET.INF: SEARCH_PAGE_URL= 

O14 - IERESET.INF: START_PAGE_URL=

No i jeszcze parę też mam na celowniku! :twisted:


(S Man1) #7

Może TO Ci coś wyjaśni


(Marsmo) #8

Thanks wSZ! :slight_smile:

Zazwyczaj nie lubię szukać w światowych Googlach, jeżeli chodzi o rozwiązanie problemu! ;] Angielski - tak, ale... niekoniecznie perfect! :twisted: Ale się cały czas uczę dalej... czy też wskrzeszam niegdysiejsze umiejętności 8)

msdtcw.exe is for the Microsoft Personal Web Server...unless you are using this, you don't need to give it access. if disabling this causes a problem (it has been known to cause invalid page faults in the kernel, then just enable it again, though i don't see why you would have to.

Teraz to dopiero mam cofkę :smiley: :smiley: :smiley: zwłaszcza po ostatnich słowach...


(Adarek) #9

Te 04 co zaznaczyłaś to jest reset ustawień IE do domyślnych windy.

Czyli -Narzędzia-opcje internetowe-programy-resetuj ustawienia

A zapisywane jes to do C:\WINDOWS\inf\iereset.inf .

Sprawdz ten plik czy naprawdę tam jest czysto jak to pokazuje log.

Natomiast ten O4 - HKLM..\RunServices: [MSDTC] msdtcw -start

masz jeszcze w C:\WINDOWS\SYSTEM\MSDTCW.EXE

http://www.pcplus.co.uk/tips/default.as ... tionid=390

Piszą tam że to "software component"

czyli http://windows.online.pl/alchemia/www01.htm