Interpretacja hijack this
roni_71 - 07 Cze 2006 16:54
Jak w temacie proszę o pomoc w ziterpretowaniu:Logfile of HijackThis v1.99.0
Scan saved at 21:17:06, on 2006-06-06
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
d:\epc\BHROOT\BIN\NT611SVC.EXE
d:\epc\BHROOT\BIN\monitor.exe
C:\WINDOWS\System32\drivers\crauto.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
d:\epc\BHROOT\BIN\PORTMAP.EXE
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
d:\epc\BHROOT\BIN\DBMANG.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\RICOlmer\RICOlmer.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\eMule\emule.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\MUSIOLY\Ustawienia lokalne\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = w3cache.icm.edu.pl:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: WebCGMHlprObj Class - {56B38F40-4E70-11d4-A076-0080AD86BA2F} - C:\WINDOWS\cgmopenbho.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [RICOlmer] C:\Program Files\RICOlmer\RICOlmer.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\flashget.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/25ade6cc367b2d462205/netzip/RdxIE601.cab
O16 - DPF: {A526A2C7-723E-4081-BF70-A7A9913E8C4A} (LogData Class) - http://ipgweb.cce.hp.com/rdqemea/pl/downloads/sysinfo.cab
O16 - DPF: {A67BA5E3-5B79-11D6-A711-00C12601EADE} - http://tomcki.pl/netia4/lolidka265.exe
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: bh611 - Bell& Howell - d:\epc\BHROOT\BIN\NT611SVC.EXE
O23 - Service: Bell & Howell Monitor Service - Bell & Howell - d:\epc\BHROOT\BIN\monitor.exe
O23 - Service: crauto - Unknown - C:\WINDOWS\System32\drivers\crauto.exe
O23 - Service: Bell & Howell Database Manager - Bell & Howell - d:\epc\BHROOT\BIN\DBMANG.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PMounter - Unknown - C:\WINDOWS\system32\PMounter.exe
O23 - Service: ONC/RPC Portmapper - Bell & Howell - d:\epc\BHROOT\BIN\PORTMAP.EXE
O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\System32\ScsiAccess.EXE
Sawekfan - 07 Cze 2006 17:21
Na początek jeśli stosujesz tylko IE jako przeglądarkę to dokonaj aktualizacji. Następnie w hijackthis zaznacz:
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
O2 - BHO: Shareaza Web Download Hook - {0EEDB912-C5FA-486F-8334-57288578C627} - C:\Program Files\Shareaza\Plugins\RazaWebHook.dll (file missing)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cab
O16 - DPF: {A67BA5E3-5B79-11D6-A711-00C12601EADE} - http://tomcki.pl/netia4/lolidka265.exe
Sprawdź czy w procesach nie masz uruchomionego lolidka265.exe. Jesli tak to wyłącz i zaznacz w hijackthis do usunięcia.
Aha i jest tez nowa wersja hijackthis więc także możesz ją sobie ściągnać. Do tego przeskanuj komputer programami typu Ad-aware lub Sbyboot oraz Ewido (zanim przeskanujesz dokonaj aktualizacji a po skanowaniu odinstaluj). Wszystko jest na necie więc wystarczy w google wklepać i je znajdziesz.
roni_71 - 07 Cze 2006 17:29
Używam opery.Reszte zrobiłem w/g zaleceń.
marek216 - 07 Cze 2006 19:44
możesz to zrobić sam:
http://www.searchengines.pl/phpbb203/index.php?showtopic=15989&hl=
zresztą twój temat wskazuje na to że takiej informacji potrzebujesz
Lineusz - 07 Cze 2006 20:42
Wklej sobie ten log to tego analizatora. http://www.hijackthis.de/
oleksy009988 - 07 Cze 2006 23:45
Wklej sobie ten log to tego analizatora. http://www.hijackthis.de/
Takie wklejanie nie zawsze może przynieść oczekiwane efekty, a czasem nawet odwrotne od zamierzonych. Lepiej prześledzić wpisy wg "instrukcji" producenta programu.
Sawekfan - 08 Cze 2006 23:30
roni_71
I co???? Problem rozwiązany czy nie bo nic nie napisałeś?
roni_71 - 09 Cze 2006 06:46
Tak.Wielkie dzięki.Co prawda od czasu do czasu przy prawokliku w katalogu z filmami wyskakuje mi informacja że wystąpił problem z explorer.exe i zostanie zamknięty.Po kliknięciu "nie wysyłaj" wszystko znika i po chwili znowu się pojawia.Nie wiem o co chodzi.
paweliw - 09 Cze 2006 10:46
W Start->Uruchom->wpisz REGSVR32 /U SHMEDIA.DLL
Jak nie pomoże użyj SZUKAJ (wpisz: +explorer +avi)
roni_71 - 11 Cze 2006 07:36
Wygląda na to że wszystko jest OK.Dzięki.