Logi z HijackThis, problem z lsass

Eshiel · 20 Czerwiec 2009 09:19

Czesc, mozecie sprawdzic logi? mam chyba jakiegos syfa na kompie.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:56:30, on 2009-06-20

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\ASUS\WLAN Card Utilities\Center.exe

D:\Program Files\Java\jre6\bin\jusched.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe

D:\Documents and Settings\Paweł\Menu Start\Programy\Autostart\lsass.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Executive Software\DiskeeperLite\DKService.exe

D:\Program Files\Java\jre6\bin\jqs.exe

D:\WINDOWS\System32\nvsvc32.exe

D:\WINDOWS\System32\HPZipm12.exe

D:\WINDOWS\system32\PnkBstrA.exe

D:\WINDOWS\system32\PnkBstrB.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\wscntfy.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hkkkpsearch.orbitdownloader.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: hkkpbtorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - (no file)

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - D:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKLM…\Run: [Control Center] D:\Program Files\ASUS\WLAN Card Utilities\Center.exe

O4 - HKLM…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “D:\Program Files\Java\jre6\bin\jusched.exe”

O4 - HKLM…\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)

O4 - Startup: lsass.exe

O8 - Extra context menu item: &Download by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://D:\Program Files\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {1E53EA77-34F2-474E-9046-B2B0C86F1821} (OggX Control) -hkkpeska.pl/streamplayers/OggX.o

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) -mks.com.pl/skaner/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{2A58C8A4-CB9D-45BB-9F30-0E75FFF7E506}: NameServer = 194.204.159.1,194.204.152.34

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - D:\Program Files\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - D:\Program Files\Executive Software\DiskeeperLite\DKService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - D:\WINDOWS\system32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\System32\HPZipm12.exe

O23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - D:\WINDOWS\system32\PnkBstrB.exe

–

End of file - 5337 bytes

deFco247 · 20 Czerwiec 2009 09:29

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Pobierz Avenger i uruchom.

Skopiuj ten tekst:

Files to delete:

D:\Documents and Settings\Paweł\Menu Start\Programy\Autostart\lsass.exe

W oknie Avengera klikasz Paste Script from Clipboard , wybierasz Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i wklejasz do sprawdzenia plik C:\avenger.txt

Po tym zapodaj logi z RSIT.

Eshiel · 20 Czerwiec 2009 09:44

Ok dzieki, ale gdzie mam wkleic “wklejasz do sprawdzenia plik C:\avenger.txt”?/ zle postawilem pytanie, GDZIE MAM WKLEIC PLIK c;avenger?- w jakim programie itp./gdzie wkleic do sprawdzenia;=)

Oto chodzi?-http://wklej.to/WMhB

deFco247 · 20 Czerwiec 2009 09:46

Wklejasz to na wklej.org lub wklej.to, a w poście dajesz link.

Pamiętaj o logach z RSIT.

sdar · 20 Czerwiec 2009 09:58

Eshiel , Proszę o zmianę tytułu na bardziej konkretny.

Użyj opcji

Pomocne może być zapoznanie się z TYMI informacjami.

Eshiel · 20 Czerwiec 2009 09:59

Logi

http://wklej.to/iDZa

I info

http://wklej.to/LMGv

system · 20 Czerwiec 2009 10:05

mam keylogger na komputerze nie wiem jak go usunąć. oto mój log z hijackThis http://www.wklejto.pl/36678

deFco247 · 20 Czerwiec 2009 10:06

Eshiel , Otwórz Notatnik i wklej do niego:

REGEDIT4


[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^Paweł^Menu Start^Programy^Autostart^lsass.exe]

Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik i potwierdź chęć dodania do rejestru.

Usuń Avenger z dysku.

Poza tym wygląda, że to był jedyny syf na twoim kompie.

Jest czysto. :))

strazak1qaz , załóż swój własny wątek. [-X

Eshiel · 20 Czerwiec 2009 10:21

Ok, dzięki. Niepokoi mnie jeszcze proces smss.exe, i aż 6 takich samych procesów svchost.exe.

Screen:

deFco247 · 20 Czerwiec 2009 10:23

Akurat te procesy i ich liczba są normalne.

Eshiel · 20 Czerwiec 2009 10:25

To dobrze, a proces smss.exe?- pierwszy raz spotykam się z tym procesem.

Ok JESZCZE RAZ WIELKIE DZIĘKI ZA POMOC

deFco247 · 20 Czerwiec 2009 10:26

http://www.liutilities.com/products/win … rary/smss/