|
|
#1
6 listopadu 2008, 14:34
| |||
| |||
 HJT log Hej Evil, dlouhý příběh krátký, jsem f'ed mé další počítač na chvíli a jsem přes můj starý. Jen jsem běžel HJT log na tento jeden a chtěl být jistý, že to bylo super. Bylo to spybot'ed. Já jsem v průběhu Malware U a nyní dělá můj první PL, tak se mi říct, co některý z procesů, nebo já si kopnul lol, ale chtěl jsem vědět, jestli to byl dobrý počítač. Měl jsem nedělal jsem tam na tomto stroji, ale zapomněl jsem. Díky. Logfile Trend Micro HijackThis v2.0.2 Skenování uložen v 4:29:12 hodin, na 11.6.2008 Platforma: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Zavádecí mód: Normální Běžící procesy: C: \ WINDOWS \ System32 \ smss.exe C: \ WINDOWS \ system32 \ winlogon.exe C: \ WINDOWS \ system32 \ SERVICES.EXE C: \ WINDOWS \ system32 \ lsass.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe C: \ WINDOWS \ system32 \ Ati2evxx.exe C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe C: \ WINDOWS \ system32 \ spoolsv.exe C: \ WINDOWS \ system32 \ CTsvcCDA.EXE C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ Program Files \ Common Files \ Microsoft Shared \ VS7DEBUG \ MDM.EXE C: \ WINDOWS \ system32 \ PnkBstrA.exe C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe C: \ WINDOWS \ system32 \ svchost.exe C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe C: \ WINDOWS \ system32 \ MsPMSPSv.exe C: \ WINDOWS \ Explorer.exe C: \ Program Files \ Creative \ Sdílené Files \ Modul Loader \ DLLML.exe C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Svazek Panel \ VolPanlu.exe C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ WINDOWS \ SYSTEM32 \ CTXFISPI.EXE C: \ Program Files \ Cyberlink \ PowerDVD \ PDVDServ.exe C: \ Program Files \ Microsoft IntelliType Pro \ itype.exe C: \ Program Files \ Microsoft IntelliPoint \ ipoint.exe C: \ WINDOWS \ system32 \ CTXFIHLP.EXE C: \ WINDOWS \ CTHELPER.EXE C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Statické \ MOM.exe C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ vptray.exe C: \ WINDOWS \ system32 \ Program Ctfmon.exe C: \ Program Files \ Spybot - Search & Destroy \ TeaTimer.exe C: \ Program Files \ Eraser \ eraser.exe C: \ Program Files \ Windows Media Player \ WMPNSCFG.exe C: \ Program Files \ Hewlett-Packard \ Digital Zobrazovací \ bin \ hpohmr08.exe C: \ Program Files \ Hewlett-Packard \ Digital Zobrazovací \ bin \ hpotdd01.exe C: \ Program Files \ Hewlett-Packard \ Digital Zobrazovací \ bin \ hpoevm08.exe C: \ WINDOWS \ system32 \ HPZipm12.exe C: \ PROGRA ~ 1 \ Yahoo! \ Messen ~ 1 \ ymsgr_tray.exe C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Statické \ ccc.exe C: \ Program Files \ Hewlett-Packard \ Digital Zobrazovací \ bin \ hpoSTS08.exe C: \ WINDOWS \ system32 \ wuauclt.exe C: \ Program Files \ Mozilla Firefox \ firefox.exe C: \ Program Files \ Trend Micro \ HijackThis \ HijackThis.exe R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://www.yahoo.com R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Window Title = Windows Internet Explorer poskytuje Yahoo! R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Companion \ Instalace \ cpn1 \ yt.dll O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files \ Yahoo! \ Companion \ Installs \ cpn1 \ yt.dll O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll O2 - BHO: SSVHelper třídy - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files \ Yahoo! \ Companion \ Instalace \ cpn1 \ yt.dll O4 - HKLM \ .. \ Run: [AudioDrvEmulator] "C: \ Program Files \ Creative \ Sdílené Files \ Modul Loader \ DLLML.exe" -1 AudioDrvEmulator "C: \ Program Files \ Creative \ Sdílené Files \ Modul Loader \ Audio Emulátor \ AudDrvEm.dll " O4 - HKLM \ .. \ Run: [VolPanel] "C: \ Program Files \ Creative \ Sound Blaster X-Fi \ Svazek Panel \ VolPanlu.exe" / r O4 - HKLM \ .. \ Run: [UpdReg] C: \ WINDOWS \ UpdReg.EXE O4 - HKLM \ .. \ Run: [UpdateManager] "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" / r O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [RemoteControl] "C: \ Program Files \ Cyberlink \ PowerDVD \ PDVDServ.exe" O4 - HKLM \ .. \ Run: [QuickTime Úkol] "C: \ Program Files \ QuickTime \ QTTask.exe"-atboottime O4 - HKLM \ .. \ Run: [LiveUpdate] C: \ Program Files \ Byteswarm \ LiveUpdate \ LiveUpdate.exe O4 - HKLM \ .. \ Run: [itype] "C: \ Program Files \ Microsoft IntelliType Pro \ itype.exe" O4 - HKLM \ .. \ Run: [IntelliPoint] "C: \ Program Files \ Microsoft IntelliPoint \ ipoint.exe" O4 - HKLM \ .. \ Run: [IgfxTray] C: \ WINDOWS \ system32 \ igfxtray.exe O4 - HKLM \ .. \ Run: [HotKeysCmds] C: \ WINDOWS \ system32 \ hkcmd.exe O4 - HKLM \ .. \ Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM \ .. \ Run: [CTHelper] CTHELPER.EXE O4 - HKLM \ .. \ Run: [ccApp] "C: \ Program Files \ Common Files \ Symantec Shared \ ccApp.exe" O4 - HKLM \ .. \ Run: [BuildBU] c: \ dell \ bldbubg.exe O4 - HKLM \ .. \ Run: [ATICustomerCare] "C: \ Program Files \ ATI \ ATICustomerCare \ ATICustomerCare.exe" O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" O4 - HKLM \ .. \ Run: [StartCCC] "C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Statické \ CLIStart.exe" MSRun O4 - HKLM \ .. \ Run: [vptray] C: \ PROGRA ~ 1 \ SYMANT ~ 1 \ \ vptray.exe O4 - HKCU \ .. \ Run: [Creative Detector] C: \ Program Files \ Creative \ MediaSource \ Detector \ CTDetect.exe / R O4 - HKCU \ .. \ Run: [program Ctfmon.exe] C: \ WINDOWS \ system32 \ Program Ctfmon.exe O4 - HKCU \ .. \ Run: [Yahoo! Pager] "C: \ PROGRA ~ 1 \ Yahoo! \ Messen ~ 1 \ YAHOOM ~ 1.EXE"-quiet O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files \ Spybot - Search & Destroy \ TeaTimer.exe O4 - HKCU \ .. \ Run: [SetDefaultMIDI] MIDIDef.exe O4 - HKCU \ .. \ Run: [Guma] C: \ Program Files \ Eraser \ eraser.exe-hide O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Program Files \ Windows Media Player \ WMPNSCFG.exe O4 - Global spuštění: 1000 hp PSČ series.lnk =? O4 - Global spuštění: hpoddt01.exe.lnk =? O8 - Extra kontextového menu položku: & Yahoo! Vyhledávání - file: / / / C: \ Program Files \ Yahoo! \ Common / ycsrch.htm O8 - Extra kontextového menu položku: E & xportovat do aplikace Microsoft Excel - res: / / C: \ PROGRA ~ 1 \ miliontin ~ 2 \ Office11 \ EXCEL.EXE/3000 O8 - Extra kontextového menu položku: Yahoo! & Slovník - file: / / / C: \ Program Files \ Yahoo! \ Common / ycdict.htm O8 - Extra context menu item: Yahoo! & Mapy - file: / / / C: \ Program Files \ Yahoo! \ Common / ycdict.htm O9 - Extra tlačítka: (bez názvu) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Extra 'Nástroje' MENUITEM: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files \ Java \ jre1.6.0_07 \ bin \ ssv.dll O9 - Extra tlačítka: Výzkum - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 1 \ miliontin ~ 2 \ Office11 \ REFIEBAR.DLL O9 - Extra tlačítka: (bez názvu) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll O9 - Extra 'Nástroje' MENUITEM: Spybot - Search & Destroy Konfigurace - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 1 \ Spybot ~ 1 \ SDHelper.dll O9 - Extra tlačítka: (bez názvu) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostické \ xpnetdiag.exe O9 - Extra 'Nástroje' MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostické \ xpnetdiag.exe O9 - Extra tlačítka: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe O9 - Extra 'Nástroje' MENUITEM: Yahoo! Messenger - (E5D12C4E-7B4F-11D3-B5C9-0050045C3C96) - C: \ Program Files \ Yahoo! \ Messenger \ YahooMessenger.exe O9 - Extra tlačítka: Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O9 - Extra 'Nástroje' MENUITEM: Windows Messenger - (FB5F1910-F110-11D2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O16 - DPF: (17492023-C23A-453E-A040-C7C580BBF700) (Windows Genuine Advantage validaci Tool) -- http://go.microsoft.com/fwlink/?LinkID=39204 O16 - DPF: (30528230-99f7-4bb4-88d8-fa1d4f56a2ab) (YInstStarter Class) - C: \ Program Files \ Yahoo! \ Common \ yinsthelper.dll O16 - DPF: (31E68DE2-5548-4B23-88F0-C51E6A0F695E) (Microsoft PID Sniffer) -- https: / / support.microsoft.com / OAS / ActiveX / odc.cab O16 - DPF: (3E68E405-C6DE-49FF-83AE-41EE9F4C36CE) -- O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://v5.windowsupdate.microsoft.co...?1104017934731 O16 - DPF: (6E32070A-766D-4EE6-879C-DC1FA91D2FC3) (MUWebControl Class) -- http://update.microsoft.com/microsof...?1120930322252 O16 - DPF: (CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA) (Java Plug-in 1.5.0_06) -- O16 - DPF: (CE8267C2-D41A-4A50-A69D-F32B5C289F14) -- O16 - DPF: (F6ACF75C-C32C-447B-9BEF-46B766368D29) (Creative Software AutoUpdate Podpora balíček) -- http://www.creative.com/su2/CTL_V020...5030/CTPID.cab O17 - HKLM \ System \ CS1 \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu O17 - HKLM \ System \ CCS \ Services \ Tcpip \ Parameters: SearchList = cc.emory.edu, service.emory.edu, emory.edu O23 - Service: Ati Hotkey Poller - ATI Technologies Inc - C: \ WINDOWS \ system32 \ Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C: \ WINDOWS \ SYSTEM32 \ ati2sgag.exe O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Unknown owner - C: \ WINDOWS \ system32 \ basfipm.exe (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccEvtMgr.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ ccSetMgr.exe O23 - Service: Creative Service pro CDROM Access - Creative Technology Ltd - C: \ WINDOWS \ system32 \ CTsvcCDA.EXE O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ DefWatch.exe O23 - Service: Sony SPTI Service for DVE (ICDSPTSV) - Sony Corporation - C: \ WINDOWS \ SYSTEM32 \ IcdSptSv.exe O23 - Service: InstallDriver Tabulka Manager (IDriverT) - Macrovision Corporation - C: \ Program Files \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C: \ PROGRA ~ 1 \ Symantec \ LIVEUP ~ 1 \ LUCOMS ~ 1.EXE O23 - Service: PML Driver HPZ12 - HP - C: \ WINDOWS \ system32 \ HPZipm12.exe O23 - Service: PnkBstrA - Neznámý vlastník - C: \ WINDOWS \ system32 \ PnkBstrA.exe O23 - Service: SAVRoam (SavRoam) - Symantec - C: \ Program Files \ Symantec AntiVirus \ SavRoam.exe O23 - Service: Symantec síť Ovladače Service (SNDSrvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C: \ Program Files \ Common Files \ Symantec Shared \ SPBBC \ SPBBCSvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C: \ Program Files \ Symantec AntiVirus \ Rtvscan.exe -- End of file - 11075 bytes |
|
#2
6 listopadu 2008, 15:32
| ||||||||||||
| ||||||||||||
| HJT log Jelikož jste nyní začínají se učit o malware, dovolte mi, abych Vás zeptat - myslíš, že tento záznam je čistý?
__________________
Můj systém: Je to moje ...
|
|
#3
6 listopadu 2008, 16:02
| |||
| |||
| HJT log Moje večeře zrovna pevné, já se vrátím asi za 15 minut můj přítel poté, co jsem jedl, že i když je horko. |
|
#4
6 listopadu 2008, 16:36
| |||
| |||
| HJT log Ok omlouvám. Jo, myslím, že je čistá, ale ne proto, že mám ještě ponětí o tom, co se snažím dělat. Myslím, že jsem cvičil zatraceně dobrý počítačové bezpečnosti, na tuto věc, protože jsem to. Musím běžet Spybot a komerční verze Symantec (na rozdíl od komerční verze nebo bezplatná verze) na to, protože jsem to. I používali jako Zone Alarm firewall a my byli v té době slušnou. Mám na mysli, že když jsem se aktualizovat Java asi 6 měsíců, nebo tak, že je tam chybu. Také jsem se nemohl dostat k instalaci aktualizací sady Office pro téměř rok, tedy jiné možné chyby. Když můj nový počítač šel dolů (lol I rozlité pivo na to dnes a zároveň se snaží získat své první udělat PL) jsem musel použít tenhle. Vzpomněl jsem si, že jsem neměl k dispozici počítač, který nebyl čistý pro školení, tak jsem běžel HJT na tento jeden. Neříkejte mi, prosím, něco o mém procesu log. Musím to udělat, že mně a já to udělám. Chci mít jistotu, že jsem v souladu s politikou Malware U jeho čistého počítače. Myslím, že bych snad měla mít posta to tam, ale jsem přišel, jako je důvěra a zlo, a do určité míry tebe, (které jsem nečetl jste tak často, jak Evil). Líbí se mi, fakt jsi mě zkouší, ale já jsem jen tak nový, že v tomto nemohu poskytnout žádné definative odpovědi. Zeptejte se mě za měsíc lol. A díky. EDIT: Já se však zeptat. Když jsem dělal na HJT sestřelil počítače se prokázaly pouze 10 procesů. Nezdálo se, že právo na mě, tak jsem otevřela Správce úloh systému Windows. Opravdu tam bylo 64 procesů probíhajících podle toho. Proč obrovský rozdíl? |
|
#5
6 listopadu 2008, 16:48
| |||
| |||
| HJT log Nebojte se, nebudu vám žádné odpovědi. Pokud jsem to udělal, co by se v místě vašeho tréninku? Budete se učit se mnou, říká si odpovědi - budete učit se dělat chyby. Dělám to jasné, každý účastník vstoupí do akademie, kde učím odstranění škodlivého softwaru. Řeknu vám, že na základě protokolu vás informovat, že stroj se zdá být čistý. Něco, co je třeba mít na paměti, i když - HJT je vhodným východiskem pro hledání na PC - to však není, dá vám celý příběh. To je něco, co se naučíte v průběhu času. V odpovědi na vaši otázku o procesech, pojďme od začátku - co přesně je HJT? Co to dělá? Je čas jít spát tady, ale já to pick up zase zítra. |
|
#6
6 listopadu 2008, 17:10
| |||
| |||
| HJT log Thanks a lot bro. Cením si pomoci. Je hezké, že "venku" zdroj, který může odrazit i myšlenky pryč bez obav o vás, že mi odpoví. Pokud jsem krok po lince vím, že vy nebo Zlo mi řekne. EDIT: Budu dělat to procesy z tohoto počítače, a ne ten druhý. Tother jeden byl příliš snadné. Věděl jsem, že na první pohled, co alen z nich byly. já mít na výzkum z nich tenhle. |
|
#7
6 listopadu 2008, 17:42
| |||
| |||
| HJT log Je to pro mě osvěžující také s glasgowského dát svůj názor. Je dobré mít informace od více než jednoho zdroje.
__________________  |
|
#8
6 listopadu 2008, 18:58
| |||
| |||
| HJT log Tak jsem se obrátil můj "nový" počítač zpět. Tady je HJT log. Podívejte se na procesy i když? To ukazuje, 10, zatímco můj správce úloh ukazuje 64. Co se děje s tím? 10, které jsou showinfg nepotřebuji vědět nic vědět, jaké jsou. Také vím, zbytek je čistý. Logfile Trend Micro HijackThis v2.0.2 Skenování uložen v 1:19:15 hodin, na 11.6.2008 Platforma: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Zavádecí mód: Normální Běžící procesy: C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ WinPatrol.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe C: \ Program Files (x86) \ Razer \ Lachesis \ OSD.exe C: \ Program Files \ Logitech \ GamePanel Software \ LCD Manager \ Applety \ LCDMedia.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razertra.exe C: \ Program Files (x86) \ Razer \ Lachesis \ razerofa.exe C: \ Program Files (x86) \ Mozilla Firefox \ firefox.exe C: \ Program Files (x86) \ Trend Micro \ HijackThis \ HijackThis.exe R1 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.yahoo.com/ R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, SearchAssistant = R0 - HKLM \ Software \ Microsoft \ Internet Explorer \ Search, CustomizeSearch = R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Toolbar, LinksFolderName = R3 - URLSearchHook: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Instalace \ CPN \ yt.dll F2 - REG: system.ini: UserInit = userinit.exe O1 - Hosts::: 1 localhost O2 - BHO: Yahoo! Toolbar Helper - (02478D38-C3F9-4EFB-9B51-7695ECA05670) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Instalace \ CPN \ yt.dll O2 - BHO: Adobe PDF Reader Link Helper - (06849E9F-C8D7-4D59-B87D-784B7D6BE0B3) - C: \ Program Files (x86) \ Common Files \ Adobe \ Acrobat \ ActiveX \ AcroIEHelper.dll O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ PROGRA ~ 2 \ Spybot ~ 1 \ SDHelper.dll O2 - BHO: SSVHelper Class - (761497BB-D6F0-462C-B6EB-D4DAF1D92D43) - C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ ssv.dll O2 - BHO: (bez názvu) - (7DB2D5A0-7241-4E79-B68D-6309F01C5231) - (ne obrázek) O3 - Toolbar: Yahoo! Toolbar - (EF99BD32-C1FB-11D2-892F-0090271D4F88) - C: \ Program Files (x86) \ Yahoo! \ Companion \ Instalace \ CPN \ yt.dll O4 - HKLM \ .. \ Run: [JMB36X IDE Setup] C: \ Windows \ RaidTool \ xInsIDE.exe O4 - HKLM \ .. \ Run: [Adobe Reader Speed Launcher] "C: \ Program Files (x86) \ Adobe \ Reader 8.0 \ Reader \ Reader_sl.exe" O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program Files (x86) \ Java \ jre1.6.0_07 \ bin \ jusched.exe" O4 - HKLM \ .. \ Run: [WinPatrol] "C: \ Program Files (x86) \ BillP Studios \ WinPatrol \ winpatrol.exe"-expressboot O4 - HKLM \ .. \ Run: [Lachesis] "C: \ Program Files (x86) \ Razer \ Lachesis \ razerhid.exe" O4 - HKCU \ .. \ Run: [ehTray.exe] C: \ Windows \ ehome \ ehTray.exe O4 - HKCU \ .. \ Run: [NVIDIA nTune] "C: \ Program Files (x86) \ NVIDIA Corporation \ nTune \ nTuneCmd.exe" resetprofile O4 - HKCU \ .. \ Run: [SpybotSD TeaTimer] C: \ Program Files (x86) \ Spybot - Search & Destroy \ TeaTimer.exe O4 - HKCU \ .. \ Run: [WMPNSCFG] C: \ Program Files (x86) \ Windows Media Player \ WMPNSCFG.exe O4 - HKCU \ .. \ Run: [Guma] C: \ Program Files \ Eraser \ eraser.exe-hide O4 - HKUS \ S-1-5-19 \ .. \ Run: [Postranní panel]% ProgramFiles% \ Windows Postranní panel \ Sidebar.exe / detectMem (User 'místních') O4 - HKUS \ S-1-5-19 \ .. \ Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll, ShowWelcomeCenter (User 'místních') O4 - HKUS \ S-1-5-20 \ .. \ Run: [Postranní panel]% ProgramFiles% \ Windows Postranní panel \ Sidebar.exe / detectMem (User 'Network Service') O4 - HKUS \ S-1-5-18 \ .. \ Run: [DelayShred] c: \ PROGRA ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ miliontin ~ 1 \ Windows \ TEMPO R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User 'systém') O4 - HKUS \. DEFAULT \ .. \ Run: [DelayShred] c: \ PROGRA ~ 2 \ McAfee \ mshr \ ShrCL.EXE / P7 / q C: \ Users \ Bill \ AppData \ Local \ miliontin ~ 1 \ Windows \ TEMPO R ~ 1 \ Content.IE5 \ RAH40RDV \ V_1_ ~ 1.SH! (User 'Výchozí uživatel') O8 - Extra kontextového menu položku: E & xportovat do aplikace Microsoft Excel - res: / / C: \ PROGRA ~ 2 \ miliontin ~ 2 \ Office12 \ EXCEL.EXE/3000 O9 - Extra button: (no name) - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - (08B0E5C0-4FCB-11CF-AAA5-00401C608501) - C: \ Program Files 2 \ Java \ JRE16 ~ 2.0_0 \ bin \ ssv.dll O9 - Extra tlačítka: Send to OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 2 \ miliontin ~ 2 \ Office12 \ ONBttnIE.dll O9 - Extra 'Nástroje' MENUITEM: S & konce OneNote - (2670000A-7350-4f3c-8081-5663EE0C6C49) - C: \ PROGRA ~ 2 \ miliontin ~ 2 \ Office12 \ ONBttnIE.dll O9 - Extra tlačítka: Výzkum - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ PROGRA ~ 2 \ miliontin ~ 2 \ Office12 \ REFIEBAR.DLL O9 - Extra tlačítka: (bez názvu) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 2 \ Spybot ~ 1 \ SDHelper.dll O9 - Extra 'Nástroje' MENUITEM: Spybot - Search & Destroy Konfigurace - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ PROGRA ~ 2 \ Spybot ~ 1 \ SDHelper.dll O10 - Neznámý soubor Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Neznámý soubor Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Neznámý soubor Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Neznámý soubor Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Neznámý soubor Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Neznámý soubor Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O10 - Neznámý soubor Winsock LSP: c: \ windows \ system32 \ nvlsp.dll O13 - Gopher Předčíslí: O16 - DPF: (D27CDB6E-AE6D-11CF-96B8-444553540000) (Shockwave Flash Object) -- http://fpdownload2.macromedia.com/ge...sh/swflash.cab O20 - AppInit_DLLs: C: \ Windows \ SysWOW64 \ guard32.dll O23 - Service: @% SystemRoot% \ system32 \ Alg.exe, -112 (ALG) - Neznámý vlastník - C: \ Windows \ System32 \ alg.exe (file chybí) O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Neznámý vlastník - C: \ Program Files \ COMODO \ COMODO Internet Security \ cmdagent.exe O23 - Service: @ dfsrres.dll, -101 (DFSR) - Neznámý vlastník - C: \ Windows \ system32 \ DFSR.exe (soubor chybí) O23 - Service: @% systemroot% \ system32 \ fxsresm.dll, -118 (Fax) - Neznámý vlastník - C: \ Windows \ system32 \ fxssvc.exe (soubor chybí) O23 - Service: ForceWare inteligentních aplikací Manager (IAM) - Neznámý vlastník - C: \ Program Files \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcAppFlt. exe O23 - Service: InstallDriver Tabulka Manager (IDriverT) - Macrovision Corporation - C: \ Program Files (x86) \ Common Files \ InstallShield \ Driver \ 11 \ Intel 32 \ IDriverT.exe O23 - Service: @ keyiso.dll, -100 (KeyIso) - Neznámý vlastník - C: \ Windows \ system32 \ lsass.exe (file chybí) O23 - Service: @ comres.dll, -2797 (MSDTC) - Neznámý vlastník - C: \ Windows \ System32 \ msdtc.exe (soubor chybí) O23 - Service: @% SystemRoot% \ System32 \ netlogon.dll, -102 (Netlogon) - Neznámý vlastník - C: \ Windows \ system32 \ lsass.exe (file chybí) O23 - Service: ForceWare IP služeb (nSvcIp) - Neznámý vlastník - C: \ Program Files \ NVIDIA Corporation \ NetworkAccessManager \ bin32 \ nSvcIp.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - Neznámý vlastník - C: \ Windows \ system32 \ nvvsvc.exe (soubor chybí) O23 - Service: PnkBstrA - Neznámý vlastník - C: \ Windows \ system32 \ PnkBstrA.exe O23 - Service: @% systemroot% \ system32 \ psbase.dll, -300 (ProtectedStorage) - Neznámý vlastník - C: \ Windows \ system32 \ lsass.exe (file chybí) O23 - Service: @% systemroot% \ system32 \ Locator.exe, -2 (RPCLOCATOR Lokátor) - Neznámý vlastník - C: \ Windows \ system32 \ Locator.exe (soubor chybí) O23 - Service: @% SystemRoot% \ system32 \ samsrv.dll, -1 (SamSs) - Neznámý vlastník - C: \ Windows \ system32 \ lsass.exe (file chybí) O23 - Service: Centrum zabezpečení SBSD Service (SBSDWSCService) - Safer Sítě sro - C: \ Program Files (x86) \ Spybot - Search & Destroy \ SDWinSec.exe O23 - Service: @% SystemRoot% \ system32 \ SLsvc.exe, -101 (slsvc) - Neznámý vlastník - C: \ Windows \ system32 \ SLsvc.exe (soubor chybí) O23 - Service: @% SystemRoot% \ system32 \ snmptrap.exe, -3 (SNMPTRAP) - Neznámý vlastník - C: \ Windows \ System32 \ snmptrap.exe (soubor chybí) O23 - Service: @% systemroot% \ system32 \ spoolsv.exe, -1 (Spooler) - Neznámý vlastník - C: \ Windows \ System32 \ spoolsv.exe (file chybí) O23 - Service: @% SystemRoot% \ system32 \ ui0detect.exe, -101 (UI0Detect) - Neznámý vlastník - C: \ Windows \ system32 \ UI0Detect.exe (soubor chybí) O23 - Service: @% SystemRoot% \ system32 \ vds.exe, -100 (VDS) - Neznámý vlastník - C: \ Windows \ System32 \ vds.exe (soubor chybí) O23 - Service: @% systemroot% \ system32 \ vssvc.exe, -102 (VSS) - Neznámý vlastník - C: \ Windows \ system32 \ vssvc.exe (soubor chybí) O23 - Service: @% systemroot% \ system32 \ wbengine.exe, -104 (wbengine) - Neznámý vlastník - C: \ Windows \ system32 \ wbengine.exe (soubor chybí) O23 - Service: @% systemroot% \ system32 \ softwaru WBEM \ wmiapsrv.exe, -110 (wmiApSrv) - Neznámý vlastník - C: \ Windows \ system32 \ softwaru WBEM \ WmiApSrv.exe (soubor chybí) O23 - Service: @% ProgramFiles% \ Windows Media Player \ wmpnetwk.exe, -101 (WMPNetworkSvc) - Neznámý vlastník - C: \ Program Files (x86) \ Windows Media Player \ wmpnetwk.exe (soubor chybí) -- End of file - 9203 bytes |
|
#9
7 listopadu 2008, 12:05
| |||
| |||
| HJT log Neodpověděl jste na dvě otázky, zeptal jsem se dříve o HJT - ty odpovědi vám pomohou pochopit, co se díváte v protokolu. |
|
#10
7 listopadu 2008, 13:26
| |||
| |||
| HJT log Sorry, jsem neměl odpověď pak jsem se musel podívat se nahoru a porazit jej do mého mozku. HijackThis je utilita, která slouží k identifikaci malware. Vyrábí výpis konkrétní nastavení najdete na jednotlivce počítači. Skenuje registry a další soubory (nevím, který ještě jiné, jen jsem začal) na llok pro zápisy podobné těm, spyware nebo únosce programy by zanechat. Vzhledem k tomu oprávněné programy nechat odejít někdy stejné věci za sebou, musím se naučit rozdílu. |
