proces hieci.exe

**Posty:** 8 · przez **Porter** 28 Kwi 2008, 16:41

Mam problem z komputerem a dokladnie mowiac z procesem ktory sie nazywa "hieci.exe" nie mam pojecia z kad on sie wziol gdy go zamykam uruchamia sie ponownie , moje podejrzenia ida do procesu svchost.exe ktorego zawsze moglem zamknac i sie nie wlaczal a teraz te dwa procesy sie wlaczaja przy ich zamykaniu i poprostu nie wiem do czego ten proces jest . Sformatowalem komputer 2 dni temu bo tez mialem proces w dziwnej nazwie "aeah.exe"
po sformatowaniu po jakims czasie znowu wyskoczy ale juz pod ta inna nazwa to jest jakis trojan podlaczony do tego svchost.exe ??
Prosze o fachowa pomoc z gory dziekuje

**Posty:** 8001 · przez **Okocza** 28 Kwi 2008, 17:26

google mi za dużo na ten temat nie powiedziały... tak dla sprawdzenia czy nie jest to coś powiązanego z innym trojanem czy czymś

http://www.forum.programosy.pl/hijackthis-amp-silent-runners-gtobsuga-i-umieszczanie-vt9452.html

daj log z hijack this

Autor postu otrzymał pochwałę

**Posty:** 8 · przez **Porter** 28 Kwi 2008, 19:48

Oto Log z HJ

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:39:47, on 2008-04-28 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Winamp\winampa.exe C:\WINDOWS\system32\ctfmon.exe C:\windows\inf\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\wscntfy.exe c:\program files\uninstall information\hieci.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ggao.hit.gemius.pl/hitredir/id=0sg6SGbWJ9M3mK6DV6tWLKbSrtJsaI7u8he9Z8Zspzb.a7/stparam=lkgscldlnz/sarg=0000000189E70820/url=http://ad.pl.doubleclick.net/click;h=v2|3985|0|0|*|a;201802194;0-0;0;26483550;31-1|1;26254111|26271965|1;;?http://www.bigbox.kfc.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" O4 - HKLM\..\Run: [ashiec] c:\program files\uninstall information\hieci.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [systems] c:\windows\inf\svchost.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 2701 bytes

I co To moze byc
:!:

**Posty:** 8001 · przez **Okocza** 28 Kwi 2008, 20:03

Porter napisał(a):c:\program files\uninstall information\hieci.exe

przeskanuj na http://www.virustotal.com/ i zamieść raport.

**Posty:** 8 · przez **Porter** 28 Kwi 2008, 22:25

okocza nie wiem jak by to ujac ale tego pliku sie tam zamiescic nie da , wogole chcailem wejsc do tego folderu i jest calkowicie pusty a zajmuje 15,4 kb i jak podaje ta sciezke

Kod: Zaznacz wszystko: c:\program files\uninstall information\hieci.exe

do pliku to tez nigdziej nie wchodzi ani nic sie nie dzieje , opcje folderow mam ust pokaz ukryte pliki i pliki systemowe ... :?:

no i nie wiem co dalej ... licze na Twoja pomoc

[ Dodano: Dzisiaj o 21:45 ]
przeskanowalem kompa takim programem spyware terminator i znalazl mi takie cso :

Kod: Zaznacz wszystko: Trojan.AutoRun.Br (trojan) i Affiliate Tracking Cookie (tracking cookie)

zamieszcze CI loga z tego terminatora :

Kod: Zaznacz wszystko: Logfile of Spyware Terminator v2.2.0.411 (db:2.004.028.001) Scan Time: 2008-04-28 22:40:15 length: 50 s Platform: WXP (5.1.0.2600) User: Admin Boot Mode: Normal Scan type: Fast_Spyware_Scan Scanned Objects: 30118 (Critical:2) Filter: No System items, No Safe items, No Invalid items Running Processes nvsvc32.exe [NVIDIA Corporation] : C:\WINDOWS\system32\nvsvc32.exe Internet Settings R - HKLM\Software\Microsoft\Internet Explorer\Main, Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R - HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm R - HKLM\Software\Microsoft\Internet Explorer\Search, CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm R - HKLM\System\CurrentControlSet\Services\Tcpip\Parameters, Domain = R - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Telephony, DomainName = Shell Extensions Desktop Explorer - {1CDB2949-8F65-4355-8456-263E7C208A5D} - [NVIDIA Corporation] : C:\WINDOWS\system32\nvshell.dll - {1E9B04FB-F9E5-4718-997B-B8DA88302A47} - [NVIDIA Corporation] : C:\WINDOWS\system32\nvshell.dll nView Desktop Context Menu - {1E9B04FB-F9E5-4718-997B-B8DA88302A48} - [NVIDIA Corporation] : C:\WINDOWS\system32\nvshell.dll WinRAR - {B41DB860-8EE4-11D2-9906-E49FADC173CA} - : C:\Program Files\WinRAR\rarext.dll Services 23 - [Realtek Semiconductor Corp.] : C:\WINDOWS\system32\drivers\RtkHDAud.sys 23 - [NVIDIA Corporation] : C:\WINDOWS\system32\DRIVERS\nvata.sys 23 - [NVIDIA Corporation] : C:\WINDOWS\system32\DRIVERS\NVENETFD.sys 23 - [NVIDIA Corporation] : C:\WINDOWS\system32\DRIVERS\nvnetbus.sys 23 - [NVIDIA Corporation] : C:\WINDOWS\system32\nvsvc32.exe Threat Files <Trojan.AutoRun.br> : C:\WINDOWS\inf\svchost.exe Advanced Files Report %SYSDIR%\nvapi.dll [NVIDIA Corporation] [NVIDIA Windows drivers] MD5=BCB7334687FDFE2A89567233295CB5AF SIZE=196608 %SYSDIR%\NVRSPL.DLL [NVIDIA Corporation] [NVIDIA Compatible Windows 2000 Display driver, Version 91.63] MD5=99DC17BD8B3384B6747249898AE5FC7C SIZE=249856 %PROGRAMFILES%\Gadu-Gadu\Crypto.dll [sms-express.com] [Gadu-Gadu] MD5=91F1B9383B5CB9A1DE65883F99DFF176 SIZE=139264 %PROGRAMFILES%\Gadu-Gadu\LIBEAY32.dll [The OpenSSL Project, http://www.openssl.org/] [The OpenSSL Toolkit] MD5=29B0D8A99C2BD0B6D5093FACE4E5F52C SIZE=1040384 %PROGRAMFILES%\Gadu-Gadu\SSLEAY32.dll [The OpenSSL Project, http://www.openssl.org/] [The OpenSSL Toolkit] MD5=19174858C208FABFA5C79013D0E406CD SIZE=196608 %PROGRAMFILES%\Gadu-Gadu\ggwhook.dll [Gadu-Gadu S.A.] [Gadu-Gadu] MD5=EF48E4333E7EB9A71BB1C95E997E8692 SIZE=102400 %PROGRAMFILES%\Gadu-Gadu\libcurl.dll MD5=7103E21386C95D3522179040BE41F5A8 SIZE=198656 %PROGRAMFILES%\Gadu-Gadu\libssl32.dll [The OpenSSL Project, http://www.openssl.org/] [The OpenSSL Toolkit] MD5=19174858C208FABFA5C79013D0E406CD SIZE=196608 %PROGRAMFILES%\Gadu-Gadu\Lang.PL.dll [Gadu-Gadu S.A.] [Gadu-Gadu] MD5=10F2F751ABD27D9EF3ECC593F3DA4873 SIZE=2158592 %PROGRAMFILES%\Gadu-Gadu\archives.dll [n0ne] [Archiwum] MD5=FA93E1E2058755490D3E2067D9D6105A SIZE=176128 %PROGRAMFILES%\Gadu-Gadu\GGMedia.dll [Gadu-Gadu S.A.] [Gadu-Gadu] MD5=9FEF41ED7E68D2CB4DA9F0E2F8DEED41 SIZE=516096 %PROGRAMFILES%\Gadu-Gadu\libiax2.dll MD5=08F3C23A8F0D350A86DCC6A929F4FC81 SIZE=106496 %PROGRAMFILES%\Gadu-Gadu\libjb.dll MD5=73F3D3F5077FFCCCEDFEFFB7DF7E5559 SIZE=61440 %SYSDIR%\nvsvc32.exe [NVIDIA Corporation] [NVIDIA Driver Helper Service, Version 91.63] MD5=36032035FA55F030D55237D5C639A81D SIZE=155715 %PROGRAMFILES%\uninstall information\hieci.exe deskpan.dll %SYSDIR%\nvshell.dll [NVIDIA Corporation] [NVIDIA Desktop Explorer, Version 110.60] MD5=4450BBAF1B77F2B87AB9C5EE4E69532C SIZE=466944 %PROGRAMFILES%\WinRAR\rarext.dll MD5=6D2D012897D95EFE9A5C7284E9889AA4 SIZE=125440 %SYSDIR%\svchost.exe -k netsvcs %SYSDIR%\svchost -k DcomLaunch %SYSDIR%\svchost.exe -k NetworkService %SYSDIR%\drivers\RtkHDAud.sys [Realtek Semiconductor Corp.] [Realtek(r) High Definition Audio Function Driver (HRTF data Copyright 1994 by MIT Media Lab)] MD5=C4006AF18682FCA0D8A011A0A21070F8 SIZE=4547584 %SYSDIR%\svchost.exe -k LocalService %SYSDIR%\DRIVERS\nvata.sys [NVIDIA Corporation] [NVIDIA nForce(TM) IDE Driver] MD5=EF9941593B2E9B436F64A87DDB570D1A SIZE=105472 %SYSDIR%\DRIVERS\NVENETFD.sys [NVIDIA Corporation] [NVENETFD] MD5=0AE6258709D58FB53638E8D28F4480D4 SIZE=58368 %SYSDIR%\DRIVERS\nvnetbus.sys [NVIDIA Corporation] [NVNETBUS] MD5=1296B33C223A58485D5EAA779752216A SIZE=19968 %SYSDIR%\svchost -k rpcss End of Report Usuń proces: Przygotowywanie struktur Tworzenie punktu przywracania systemu Usuń Invalid Startup Items Usunięty rejestr : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run systems Usunięty rejestr : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ashiec Zamykanie punktu przywracania systemu Wykonane

i zniknol ten hieci.exe i svchost.exe tak samo ;d

dzieki za pomoc

proces hieci.exe

proces hieci.exe

Kto jest na forum