b.prosze o sprawdzenie loga

[fajermen]

Witam !
Bardzo uprzejmnie prosił bym kolegów, którzy sie znają o sprawdzenie loga. nie znam sie na tym co powinno być , a co jest szkodliwe.
Po ostatniej walce z hakerami i jakimś jeszcze szkodnikami, formatowałem dysk, ale nie jest tak samo jak było kiedyś, często zwiesza sie, zatrzymuje się system (wyświetla ekran na niebiesko zapisany ..ze zat6rzymał system ze względu na błąd co mógłby spowodować uszkodzenie komputera, bardzo "wołowato" chodzi, a szczególnie wołowato się uruchamia.

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 17:02:26, on 2006-04-28
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
C:\Program Files\ArcaBit\ArcaVir\AvMon.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ArcaBit\ArcaAgent\ArcaBit.ArcaAgent.Service.exe
C:\Program Files\ArcaBit\Common\TaskScheduler.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe
D:\Archiwum\Programy_instalacyjne\hijackthis (loga)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MS Config] msdconfig.exe
O4 - HKLM\..\Run: [Microsoft Windows Keyboard service] keyboard.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
O4 - HKLM\..\Run: [jssvc23] jsssvc.exe
O4 - HKLM\..\Run: [AVMenu] C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
O4 - HKLM\..\Run: [abregmon] C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\RunServices: [MS Config] msdconfig.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Keyboard service] keyboard.exe
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
O4 - HKLM\..\RunServices: [csr] csrrs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MS Config] msdconfig.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Przyspieszenie uruchomienia programu AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{D054E4A5-7A00-4CB6-9E68-661E85226EB0}: NameServer = 194.204.152.34 217.98.63.164
O20 - Winlogon Notify: TS_LogonListener - C:\WINDOWS\SYSTEM32\TS_LogonListener.dll
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit - C:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
O23 - Service: ArcaBit.ArcaAgent.Service - Unknown owner - C:\Program Files\ArcaBit\ArcaAgent\ArcaBit.ArcaAgent.Service.exe" -service (file missing)
O23 - Service: ArcaBit.Core.Configurator - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
O23 - Service: ArcaBit.Core.LoggingService - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe
O23 - Service: ArcaBit.TaskScheduler - ArcaBit sp. z o.o. - C:\Program Files\ArcaBit\Common\TaskScheduler.exe
O23 - Service: ArcaVir Antivirus Monitor Service (ArcaVirMonitor) - ArcaBit - C:\Program Files\ArcaBit\ArcaVir\AvMon.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe

A jak by ktoś zadał jeszcze sobie odrobinę trudu i nakierował mnie mówiąc jaki algorytm obowiazuje przy sprawdzaniu takich logów, byłbym mu dozgonnie wdzieczny.
Z góry dziękuję za jakiekolwiek zainteresowanie.
Pozdrawiam
Władysław Z.

[jeff]

poczytaj jak sie umieszcza log w tagach

http://forum.programosy.pl/hijackthis-gtobsuga-i-umieszczanie-loga-vt9452.html

[Red]

Władek wklej log w tagi jak napisał detektyw

[Bieniol]

W trybie awaryjnym z wyłącząnym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery pogrubione ręcznie z dysku):

O4 - HKLM\..\Run: [MS Config] msdconfig.exe
O4 - HKLM\..\Run: [Microsoft Windows Keyboard service] keyboard.exe
O4 - HKLM\..\Run: [msconfig38] mssvcc.exe
O4 - HKLM\..\Run: [jssvc23] jsssvc.exe
O4 - HKLM\..\RunServices: [MS Config] msdconfig.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Keyboard service] keyboard.exe
O4 - HKLM\..\RunServices: [msconfig38] mssvcc.exe
O4 - HKLM\..\RunServices: [jssvc23] jsssvc.exe
O4 - HKLM\..\RunServices: [csr] csrrs.exe
O4 - HKCU\..\Run: [MS Config] msdconfig.exe

Po zabiegach nowy log do kontroli

[Hellfire]

Platform: Windows XP (WinNT 5.01.2600)

Po komletnym oczyszczeniu kompa instalujesz SP2 bo bez niego długo nie pociagniesz...

A jak by ktoś zadał jeszcze sobie odrobinę trudu i nakierował mnie mówiąc jaki algorytm obowiazuje przy sprawdzaniu takich logów, byłbym mu dozgonnie wdzieczny.

Tu nie ma zadnego algorytmu, jest wiedza i doswiadczenie oraz google.pl

Pozdro!

[fajermen]

Witam !
To jest log. po normalnym uruchomieniu systemu, po zabiegu hijackiem w trybie awaryjnym i wyłączonym przywracaniem systemu.

Kod: Zaznacz wszystko

Logfile of HijackThis v1.99.1
Scan saved at 19:00:46, on 2006-04-28
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
C:\Program Files\ArcaBit\ArcaVir\AvMon.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ArcaBit\ArcaAgent\ArcaBit.ArcaAgent.Service.exe
C:\Program Files\ArcaBit\Common\TaskScheduler.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Lexmark X1100 Series\lxbkbmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Archiwum\Programy_instalacyjne\hijackthis (loga)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [AVMenu] C:\Program Files\ArcaBit\ArcaVir\AVMenu.exe
O4 - HKLM\..\Run: [abregmon] C:\Program Files\ArcaBit\ArcaVir\ABregmon.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Program Files\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Przyspieszenie uruchomienia programu AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - Winlogon Notify: TS_LogonListener - C:\WINDOWS\SYSTEM32\TS_LogonListener.dll
O23 - Service: ArcaBit NetMonitor (ABNetMon) - ArcaBit - C:\Program Files\ArcaBit\ArcaVir\NetMonSV.exe
O23 - Service: ArcaBit.ArcaAgent.Service - Unknown owner - C:\Program Files\ArcaBit\ArcaAgent\ArcaBit.ArcaAgent.Service.exe" -service (file missing)
O23 - Service: ArcaBit.Core.Configurator - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe
O23 - Service: ArcaBit.Core.LoggingService - ArcaBit - C:\Program Files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe
O23 - Service: ArcaBit.TaskScheduler - ArcaBit sp. z o.o. - C:\Program Files\ArcaBit\Common\TaskScheduler.exe
O23 - Service: ArcaVir Antivirus Monitor Service (ArcaVirMonitor) - ArcaBit - C:\Program Files\ArcaBit\ArcaVir\AvMon.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe



Zastanawiają mnie dwa programy , tj. smss.exe i lsass.exe czy nie powinienem ich fizycznie z kompa wywalić ....czy one sa systemowi potrzebne.
Co do SP2 to można go jeszcze teraz zainstalować bezpiecznie.
Pozdrawiam.
Władysław Z.

[jeff]

w logu czysto. Zrób dodatkowo skan www.ewido.com i powywalaj co znajdzie

[Bieniol]

tj. smss.exe i lsass.exe czy nie powinienem ich fizycznie z kompa wywalić

To są procesy systemowe i nie wolno ich wywalać

Co do SP2 to można go jeszcze teraz zainstalować bezpiecznie.

Nie ma rzeczy niemożliwych - ściągnij --> http://www.microsoft.com/poland/windowsxp/sp2/default.mspx i zainstaluj

[fajermen]

zeskanowałem Ewido anti-malware..m jeszcze 14 infekcji usunoł,
Troche się poprawiło, ale w dalszym ciągu długo sie "namyśla czy juz ma się załadować system", i stoi tak na etapie -ZAPRASZAMY i dopiero jak go popchne klikając jakimś klawiszem zdecyduje się powoli załadować do końca.... nieraz to myśle ze się znowu zawiesił. Chyba jeszcze raz potraktuje go fdiskiem, i do początku wszystko wgram.
Co do tego SP2, to wszedłem na strone Microsoftu, chciałem pobrać aktualizacje i doszedłem do etapu pobrania ActiveX, instruują aby u góry zaraz pod paskiem adresu prawą stroną kliknać i miało żekomo się pokazać "zainstaluj ActiveX" ale u mnie nic podobnego nie ma, klikając prawą strona myszki rozwija sie lista ale bez propozycji zainstalowania ActiveX, nie ma jej nawet nieaktywnej. Można jakoś to ominąć i pobrać w postaci pliku i samemu zainstalować ?.
Dziękuję wszystkim za zaangaowanie i pomoc, w tych logach zaznaczyłem sobie niepotrzebne wpisy aby na przyszłość wiedziec co trzeba usówać.
Pozdrawiam.
Władysław Z.