Services.exe i log do sprawdzenia

Dla specjalistów Bezpieczeństwo
#1

mam cos takiego. wkleiłem loga z HijackThis na stronkę (co sprawdza logi) i wyświetliło mi to jako błąd jakiś.

na jednym forum przeczytałem też

Sober.AH tworzy następujące pliki:

SERVICES.EXE w katalogu CONNECTIONSTATUS\MICROSOFT w folderze Windows. Plik ten jest kopią robaka.

BBVMWXXF.HML, GDFJGTHV.CVQ, LAGEINF.LIN,NONRUNSO.BER, RUBEZAHL.RUB, RUNSTOP.RST w katalogu systemowym Windows. Pliki te są posiadają wielkość 0 Bajtów.

Logfile of HijackThis v1.99.1

Scan saved at 12:02:22, on 2006-06-18

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\crypserv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\services.exe

C:\Program Files\AutoConnect\AutoConnect.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

C:\Program Files\FirefoxPreloader\FirefoxPreloader.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\Niezbędnik\Logi\HijackThis.exe


O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Services] C:\WINDOWS\services.exe

O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O4 - Global Startup: Firefox Preloader.lnk = C:\Program Files\FirefoxPreloader\FirefoxPreloader.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{09C5E95F-7EDC-43F0-B0CA-8E4864B26602}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{09C5E95F-7EDC-43F0-B0CA-8E4864B26602}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
#2

Usuń ręcznie z dysku w trybie awaryjnym z wyłączonym przywracaniem systemu. Poza tym czysto :slight_smile:

#3

Sam wpis również trzeba usunąć Hijackiem:

#4

Sprawdź jeszcze czy nie masz przypadkiem kopii tego syfu w C:/Windows, plik java.exe ; ponieważ zwykle się tworzy.

Zalecam instalacje SP2 :slight_smile:

#5

mam ale w C:\Windows\System 32

#6

To dobrze, tam też to powinno być, nigdzie indziej :wink: