Log z HiJack This

berbeluh · 3 Listopad 2004 20:06

hej!!

moj komp od jakiegos czasu zaczyna zwaaalniac… ostatnio przywieszal sie co jakis czas co sie dalo wytrzymac… ale teraz nawet muza z winamp’a odtwarza sie „wooolniej” nie wiem co jest… pomyslalem ze wystawie wam loga do sprawdzenia;)

oto on:

Logfile of HijackThis v1.98.2

Scan saved at 20:46:54, on 04-11-03

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\PROGRAM FILES\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\RPCSS.EXE

C:\PROGRAM FILES\TCLOCK2.0\TCLOCK2.EXE

C:\PROGRAM FILES\PLANET\WL-8303\RTLWAKE.EXE

D:\GRZESIEK\GADU - GADU\GADU-GADU\GG.EXE

D:\GRZESIEK\WINAMP\WINAMP.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

D:\GRZESIEK\HIJACK THIS\HIJACKTHIS.EXE


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.20.1.2:3128

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.rudnet.pl

www.poczta.rudnet.pl;

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAM FILES\FLASHGET\JCCATCH.DLL

O2 - BHO: C:\WINDOWS\LBBHO.DLL - {D85D7A20-26D3-11D9-B9CC-00304F36953B} - C:\WINDOWS\LBBHO.DLL

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "D:\GRZESIEK\GADU - GADU\GADU-GADU\Powergg.exe" /tray

O4 - Startup: Power Project.lnk = D:\Grzesiek\Gadu - Gadu\Gadu-Gadu\PowerGG.exe

O4 - Startup: TClock2.lnk = C:\Program Files\tclock2.0\tclock2.exe

O4 - Startup: PLANET WL-8303.lnk = C:\Program Files\PLANET\WL-8303\RtlWake.exe

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FLASHGET.EXE

O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAM FILES\FLASHGET\FLASHGET.EXE

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 172.20.1.1

za pomoc z gory dziekuje

UpDate:

aaaaaaaa i jeszcze jedno gdy sprawdzalem uruchomione procesy to zauwazylem ze proces gadugadu zajmuje 21384KB :shock: natomiast sam explorer.exe zajmuje 19468KB :shock: nigdy w zyciu bym nie pomyslal ze gadu gadu moze zajmowac wiecej miejsca w pamieci niz windows!

i jeszcze jedno pytanko dotyczace loga… co to jest za proces MPREXE.EXE?? :?

Kamcia_18 · 3 Listopad 2004 22:24

kasujesz tak /tryb awaryjny/

O2 - BHO: C:\WINDOWS\LBBHO.DLL - {D85D7A20-26D3-11D9-B9CC-00304F36953B} - C:\WINDOWS\LBBHO.DLL

O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

[incrediFind variant]

O4 - Startup: TClock2.lnk = C:\Program Files\tclock2.0\tclock2.exe

O4 - Startup: PLANET WL-8303.lnk = C:\Program Files\PLANET\WL-8303\RtlWake.exe

[znasz zostawiasz /NIE/ kasujesz]

Sciagasz PestPatrol

http://download.zonelabs.com/bin/free/p … olHome.exe

INFO:

skanujesz partycje systemowa

Ustawiasz na stale ochrone rzeczywista

Options/AutomaticScans

dajesz Launch

w PPMem, PPControl, CookiePatrol

Reczne Usuniecie

Uruchamiasz /DOS command prompt window/

i robisz nastepujace operacje

1)

cd “%WinDir%\System”

regsvr32 /u “\Program Files\Incredifind\BHO\BHO.dll”

regsvr32 /u “\Program Files\PowerSearch\Toolbar\pwrs0rbi.dll”

2)

cd “%WinDir%\System”

regsvr32 /u “\Program Files\Incredifind\BHO\IncFindBHO.dll”

3)

cd “%WinDir%\System”

regsvr32 /u “\Program Files\Incredifind\BHO\IncFindBHO170.dll”

Otwierasz rejestr systemowy i szukasz klucza

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\

dalej kasujesz

‘KeenValue’ i inne (patrz nizej)

HKEY_CURRENT_USER\Software\Visicom Media\PWRS0RBI

HKEY_LOCAL_MACHINE\SOFTWARE\eUniverse

HKEY_LOCAL_MACHINE\SOFTWARE\KeenValue

HKEY_LOCAL_MACHINE\SOFTWARE\updater

Nastepnie, reset komputera i kasujesz katalogi/foldery w

Program Files ‘PowerSearch’, ‘Incredifind’ oraz

Dynamic Toolbar\PWRS0RBI’.

Skanujesz dysk skanerami AV

–GeCAD (RAV)–

http://www.ravantivirus.com/scan/

–F-Secure–

http://support.f-secure.com/enu/home/ols.shtml

Zabezpieczasz przegladarki SpywareBlaster

http://www.javacoolsoftware.com/sbdownload.html

INFO:

http://forum.dobreprogramy.pl/viewtopic … ht=blaster

Waterproof · 4 Listopad 2004 04:20

Process File:	mprexe.exe	

  Process Name:	Windows Routing Process 	


  Description:	mprexe.exe is a process which is initiated by Microsoft Windows 9x and ME only. It allows the computer to use multiple network protocols, and network adapters by routing between both. This hidden process will only appear in the Windows task list should there be a problem with it. Otherwise it should be left enabled.