Prośba o pomoc w sprawdzeniu uruchomionych procesów systemow

Mariusz123 · 8 Sierpień 2005 11:28

Proszę osprawdzenie loga z systemu operacyjnego WINDOWS 98 SE.

Jak na mój gust należy usunąć z systemu te dwa pliki i ich wpisy w rejestrze - czy cośjeszcze … ?

O4 - HKLM…\Run: [csgxu.exe] csgxu.exe

O4 - HKLM…\Run: [hgqhp.exe] C:\WINDOWS\SYSTEM\hgqhp.exe

z poważaniem:

M.W.

Logfile of HijackThis v1.99.1

Scan saved at 12:44:48, on 05-08-08

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)


Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\MIXER.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM FILES\REALTEK\REALTEK WIRELESS LAN UTILITY\RTLWAKE.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM FILES\MSN MESSENGER\MSNMSGR.EXE

C:\PROGRAM FILES\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE

A:\HIJACKTHIS.EXE

A:\HIJACKTHIS.EXE


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {6D0C884D-971E-DB2A-73E2-1177130AA024} - DCC_send.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe

O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [Zasobnik systemowy] SysTray.Exe

O4 - HKLM\..\Run: [csgxu.exe] csgxu.exe

O4 - HKLM\..\Run: [hgqhp.exe] C:\WINDOWS\SYSTEM\hgqhp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\RunServices: [avast!] C:\Program Files\Alwil Software\Avast4\ashServ.exe

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = kam.pl

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.188.180,85.255.112.5

Damian · 8 Sierpień 2005 11:35

Fixujesz Hijackiem w trybie awaryjnym, a pogrubione usuwasz ręcznie z dysku:

kuz5 · 8 Sierpień 2005 22:09

Kojarzy ci sie z czymś ten wpis, znasz go?

No i bardzo podejrzane DNSy, czy napewno to twoje DNSy? (zapewne nie twoje 8) )

Gutek · 9 Sierpień 2005 06:43

Trojan Flush w DNS = pośredni znak rootkita, proszę o loga z Silent Runners

Zwykły fix nie wystarczy