Komputer włącza mi sie bardzo wolno więc użyłem HiJackThis


(Trelin) #1

Pierwszy raz stykam się z tym programem ale wiem że się używa do podobnych rzeczy:) Wklejam tutaj to, co się pojawiło po naciśnięciu 'Scan'

Może znajdziecie coś w tym.

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ntvdm.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\LClock\lclock.exe

C:\Program Files\YDP\YdpDict\Watch.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Norton AntiVirus\SAVScan.exe

C:\Program Files\eMule\emule.exe

C:\Program Files\FlashGet\flashget.exe

C:\Program Files\MYIE2\MYIE.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Downloads\hijackthis\HijackThis.exe


Tu mam takie pytanie. Czy to normalne, że tyle razy występuje 

proces svchost.exe ?


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

F3 - REG:win.ini: load=C:\YDPDict\watch.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [WinStart.exe] WinStart.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU\..\Run: [Dzieńdobry!] C:\Program Files\VSD Software\Dzieńdobry!\dziendobry.exe /auto

O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Aktywacja Testera.lnk = C:\Program Files\YDP\YdpDict\Watch.exe

O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\System32\wweb32.dll/lookup.html

O8 - Extra context menu item: Dodaj do filtra - C:\Program Files\MYIE2\config/blacklist.htm

O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm

O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.es/activescan/as/asinst.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

(Lolyt Xd) #2

tak to normalne ze wystepuje tyle razy proces svchost , bo ta sa chyba latki jak zakonczysz jeden z tych procesow, wyskoczy nowe okno i pokaze ze za 60 s wylonczy ci sie komp


(Adarek) #3

Widać trojana

Uśuś

O4 - HKLM\..\RunServices: [WinStart.exe] WinStart.exe

Tu masz dokładniej opisanehttp://www.sophos.com/virusinfo/analyse ... botqh.htmlhttp://securityresponse.symantec.com/av ... .kefy.htmlNie zapomnij o usunięci go z kluczy. A to jest zdaje sie szpieg

C:\Program Files\LClock\lclock.exe 

O4 - HKCU\..\Run: [LClock] C:\Program Files\LClock\lclock.exe \

Ja bym to wtwalił z systemu. Usuń jeszcze

O8 - Extra context menu item: &WordWeb... - res://C:\WINDOWS\System32\wweb32.dll/lookup.html 

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Przed usuwaniem wyłącz przywracanie sys. I pracuj w trybie awaryjmym.

Sprawdz czy trojam nie ma procesów i je ubij.

Sprawdz jeszcz to

Start -> uruchom -> tu wklej

regsvr32 \u C:\WINDOWS\System32\ tu wpisujesz nazwe pliku

  • i klikasz i teraz usuwaj.

Pomocny program CopyLock

Zaznaczasz plik , klikasz Add a potem Replace i restart kmpa. Kasuje przed załadowaniem sys.

http://noeld.com/programs.asp?cat=misc

Pomogło ? :slight_smile:

Ps

Dodam jeszce że szpieguje Cie - flashget


(Trelin) #4

Nie, LCLock to taki zegar Longhornowski, ale mozna sobie w XP zainstalowac.


Czyli tak, wylaczam przywracanie Sys., restartuje kompa, wchodze [F8 tak?] do Awaryjnego, włączam HiJacka, Scanuje, znajduje te co mi wskazales i Fix Checked ?

To po prostu inne metoda usuwania?


PS>Jak ty rozpoznajesz co jest zle , a co dobre?

Trzeba byc jakims znawca procesow czy jak:)

Możesz mi napisac taka jakby'formulke' Co robi ten program? Bo dokladnie sie jeszcze nie polapalem.


(S Man1) #5

Nie koniecznie :slight_smile: Ja kiedyś użyłem google do sprawdzenia loga i z tego co pamiętam Phylby mnie nie wyśmiał, więc można korzystać z wyszukiwarek :slight_smile:


(system) #6

Oto mały kurs Hijacka :-D:

:arrow: http://www.searchengines.pl/phpbb203/in ... opic=15989


(Adarek) #7

Wiem ze to " taki zegar " i przy okazji coś innego podobnie jak flashget - ale mogę sie mylić.

A te komędy sa do dezadktywacji plioków dll. jak mormalne metody zawodzą . Dezaktywujesz i dopiero usówasz.

TaK. Potem restart kompa i jeszcze raz sprawdzasz loga czy wszystko sie usuneło . Ręcznie jeszcze przesukaj sys.w poszukiwaniu tego trojana.


(Asterisk) #8

Na Forum Infojamy umieszczony został ten

sam topic - bez obawy - zostaniesz zweryfikowany :stuck_out_tongue:


(Adarek) #9

Byłem ,sprawdziłem - mają podobne watpliwosci co ja.


(Trelin) #10

ajlepsze jest to ze wszystko usunalem co zle, mam BootVisa a kompa i tak dalej sie wolno włącza! !!


(boczi) #11

Tylko w wersji bezpłatnej, Adware.

W Shareware tego nie ma. Uściślijmy. :slight_smile:

Właśnie niektóe programy, zawierają komponenty szpiegowskie..


(Adarek) #12

Sprawdz - msconfig - ogólne - wybór uruchaniania. Tam mas do wyboru.

Testuj.