Súgó
A téma zárva.
Biztos hogy nem csak annyi mert vissza jött. Talán van más belyegyzés is a rgystriben esetleg futott 1 folyamat ami vissza írta... Nem tudom de hamarosan feladom!
Internet-kezdőlap megváltozása (pl.: searchx.cc)
#512
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 633
- Csatlakozott: --
Elküldve: 2005. 01. 05. 16:25
Egy about:blank átirányítással kezdődhetett, és lehet, hogy a lemezkiadók által terjesztett WMA + DRM "vírust" kaptam be. Tegnap még ennyit írtam az Origo virushirado topikjába, de semmi válasz nem jött. Azóta még arra tippelek, hogy a belassulások oka, hogy azért a tűzfal, stb. megfog valamit, csak emiatt a gép is leáll. Csak tipp. Most melóhelyen írok.
A tegnap esti (ma hajnali 4 óra) állapotom:
w2k server, SP4, NetShield (frissített leíró), AdAware (frissített dettó), ZoneAlarmPro 4, RAID1-en a rendszer, vinyók jónak tűnnek (reset miatt volt rebuild, semmit sem talált), kábelmodem
NetShield nem talál semmit, AdAware kiírtott egy about:blank átirányítást
Temp-ben van jusched.log, meg volt hsperfdata_[username] könyvtár. Azaz valaki szórakozik a MS VJM-mel? A jusched.log-ba amikor indul a gép, szépen beírásra kerül egy új sor.
Idő után gép behal: lemezműveletek és/vagy hálózat behalnak -> minden leáll, örülök ha netelni tudok boot után 10 percig
chkdsk c: /f boot alatt (!) semmit sem talál, eventlog dettó semmi érdemi
chkdsk c: futó windózer (!) alatt egyre súlyosabbakat mond 2-3 futás és vége a gépnek: volume bitmap-ben, MFT-ben talál hibát, szabad területek vannak foglaltnak jelölve, index, stb. /f nélkül is "kijavít" néhányat, gépnek annyi is lesz tőle (persze lehet, hogy nem ettől hal be, de ilyet még nem láttam, hogy boot alatt lemegy simán, utána meg romokban találja a rendszert, tudom, fut más is ilyenkor mellette, de amiket talál, az nekem nonszensz)
Google semmit használhatót sem dob fel a jusched.log-ra.
Ja, és a gépem boot során van hogy rendesen bejön (esetek 10%-a), többnyire az Initializing network connections vagy mi alatt vár 10 percet, természetesen event-log-ban semmi nyom.
Most mi vaaaaaan? Nem vagyok kezdő de most itt állok szőkén.
A tegnap esti (ma hajnali 4 óra) állapotom:
w2k server, SP4, NetShield (frissített leíró), AdAware (frissített dettó), ZoneAlarmPro 4, RAID1-en a rendszer, vinyók jónak tűnnek (reset miatt volt rebuild, semmit sem talált), kábelmodem
NetShield nem talál semmit, AdAware kiírtott egy about:blank átirányítást
Temp-ben van jusched.log, meg volt hsperfdata_[username] könyvtár. Azaz valaki szórakozik a MS VJM-mel? A jusched.log-ba amikor indul a gép, szépen beírásra kerül egy új sor.
Idő után gép behal: lemezműveletek és/vagy hálózat behalnak -> minden leáll, örülök ha netelni tudok boot után 10 percig
chkdsk c: /f boot alatt (!) semmit sem talál, eventlog dettó semmi érdemi
chkdsk c: futó windózer (!) alatt egyre súlyosabbakat mond 2-3 futás és vége a gépnek: volume bitmap-ben, MFT-ben talál hibát, szabad területek vannak foglaltnak jelölve, index, stb. /f nélkül is "kijavít" néhányat, gépnek annyi is lesz tőle (persze lehet, hogy nem ettől hal be, de ilyet még nem láttam, hogy boot alatt lemegy simán, utána meg romokban találja a rendszert, tudom, fut más is ilyenkor mellette, de amiket talál, az nekem nonszensz)
Google semmit használhatót sem dob fel a jusched.log-ra.
Ja, és a gépem boot során van hogy rendesen bejön (esetek 10%-a), többnyire az Initializing network connections vagy mi alatt vár 10 percet, természetesen event-log-ban semmi nyom.
Most mi vaaaaaan? Nem vagyok kezdő de most itt állok szőkén.
#513
- Őstag
-
- Csoport: Kitiltott
- Hozzászólások: 43.097
- Csatlakozott: --
Elküldve: 2005. 01. 05. 17:18
Én letiltanék minden Javás alkalmazást - jusched.log ahhoz tartozik - talán nem ez a legfontosabb, aminek futnia kell, és safe módban HijackThis, meg CWShredder... dehát te mondtad, nem vagy kezdő...
¤
® "A legjobb tanácsadók nem azok, akik különleges esetekben megmondják, hogy hogyan cselekedjünk; hanem azok, akik elkötelezett szellemiségükből és cselekedni vágyásukból adnak, majd ránk hagyják, hogy még ha sok hibával is de magunk találjuk meg a cselekvés véleményünk szerinti legjobb formáját."
® "A legjobb tanácsadók nem azok, akik különleges esetekben megmondják, hogy hogyan cselekedjünk; hanem azok, akik elkötelezett szellemiségükből és cselekedni vágyásukból adnak, majd ránk hagyják, hogy még ha sok hibával is de magunk találjuk meg a cselekvés véleményünk szerinti legjobb formáját."
#514
- Tag
-
- Csoport: Fórumtag
- Hozzászólások: 211
- Csatlakozott: --
Elküldve: 2005. 01. 06. 14:18
Idézet: ics - Dátum: 2005. jan. 5., szerda - 15:25
Egy about:blank átirányítással kezdődhetett.....
Én megnézném, nem-e gondoskodik folyamatosan valami arról, hogy a registryben nyoma maradjon.
ezzel nézd meg:
http://www.sysintern...ce/regmon.shtml
#515
- Senior tag
-
- Csoport: Fórumtag
- Hozzászólások: 2.563
- Csatlakozott: --
Elküldve: 2005. 01. 06. 14:59
Idézet: ics - Dátum: 2005. jan. 5., szerda - 17:25
Egy about:blank átirányítással kezdődhetett, és lehet, hogy a lemezkiadók által terjesztett WMA + DRM "vírust" kaptam be. Tegnap még ennyit írtam az Origo virushirado topikjába, de semmi válasz nem jött. Azóta még arra tippelek, hogy a belassulások oka, hogy azért a tűzfal, stb. megfog valamit, csak emiatt a gép is leáll. Csak tipp. Most melóhelyen írok.
A tegnap esti (ma hajnali 4 óra) állapotom:
w2k server, SP4, NetShield (frissített leíró), AdAware (frissített dettó), ZoneAlarmPro 4, RAID1-en a rendszer, vinyók jónak tűnnek (reset miatt volt rebuild, semmit sem talált), kábelmodem
NetShield nem talál semmit, AdAware kiírtott egy about:blank átirányítást
Temp-ben van jusched.log, meg volt hsperfdata_[username] könyvtár. Azaz valaki szórakozik a MS VJM-mel? A jusched.log-ba amikor indul a gép, szépen beírásra kerül egy új sor.
Idő után gép behal: lemezműveletek és/vagy hálózat behalnak -> minden leáll, örülök ha netelni tudok boot után 10 percig
chkdsk c: /f boot alatt (!) semmit sem talál, eventlog dettó semmi érdemi
chkdsk c: futó windózer (!) alatt egyre súlyosabbakat mond 2-3 futás és vége a gépnek: volume bitmap-ben, MFT-ben talál hibát, szabad területek vannak foglaltnak jelölve, index, stb. /f nélkül is "kijavít" néhányat, gépnek annyi is lesz tőle (persze lehet, hogy nem ettől hal be, de ilyet még nem láttam, hogy boot alatt lemegy simán, utána meg romokban találja a rendszert, tudom, fut más is ilyenkor mellette, de amiket talál, az nekem nonszensz)
Google semmit használhatót sem dob fel a jusched.log-ra.
Ja, és a gépem boot során van hogy rendesen bejön (esetek 10%-a), többnyire az Initializing network connections vagy mi alatt vár 10 percet, természetesen event-log-ban semmi nyom.
Most mi vaaaaaan? Nem vagyok kezdő de most itt állok szőkén.
A tegnap esti (ma hajnali 4 óra) állapotom:
w2k server, SP4, NetShield (frissített leíró), AdAware (frissített dettó), ZoneAlarmPro 4, RAID1-en a rendszer, vinyók jónak tűnnek (reset miatt volt rebuild, semmit sem talált), kábelmodem
NetShield nem talál semmit, AdAware kiírtott egy about:blank átirányítást
Temp-ben van jusched.log, meg volt hsperfdata_[username] könyvtár. Azaz valaki szórakozik a MS VJM-mel? A jusched.log-ba amikor indul a gép, szépen beírásra kerül egy új sor.
Idő után gép behal: lemezműveletek és/vagy hálózat behalnak -> minden leáll, örülök ha netelni tudok boot után 10 percig
chkdsk c: /f boot alatt (!) semmit sem talál, eventlog dettó semmi érdemi
chkdsk c: futó windózer (!) alatt egyre súlyosabbakat mond 2-3 futás és vége a gépnek: volume bitmap-ben, MFT-ben talál hibát, szabad területek vannak foglaltnak jelölve, index, stb. /f nélkül is "kijavít" néhányat, gépnek annyi is lesz tőle (persze lehet, hogy nem ettől hal be, de ilyet még nem láttam, hogy boot alatt lemegy simán, utána meg romokban találja a rendszert, tudom, fut más is ilyenkor mellette, de amiket talál, az nekem nonszensz)
Google semmit használhatót sem dob fel a jusched.log-ra.
Ja, és a gépem boot során van hogy rendesen bejön (esetek 10%-a), többnyire az Initializing network connections vagy mi alatt vár 10 percet, természetesen event-log-ban semmi nyom.
Most mi vaaaaaan? Nem vagyok kezdő de most itt állok szőkén.
Remélem tudok segíteni Nektek about:blank ügyben.
Benyeltem ezt a cuccot, és napokat töltöttem azzal, hogy leszedjem valahogy. Szóval átrágtam magam a témán. Igazából nem tett kárt, inkább csak idegesítő, hogy folyton blank oldal ugrik fel, amikor elindítom az explorert, és hiába módosítom, visszajön újra.
Próbáltam rengeteg ilyen olyan vírus és egyéb szemét mentesítőt, de mind hatástalanok voltak: Spybot Search and destroy, Hijack This, Ad-aware SE (amit mindenki nagyon ajánl, de erre nem volt jó), AVG vírusirtó,Registry First Aid, és még vagy 4-5, az internetről free letöltött kereső és irtó, amik semmit nem értek. Illetve megtalálták a hibát, elvileg le is szedték, de gyakorlatilag rögtön utána újra jelentkezett a probléma.
Szóval eltöltöttem egy kis időt a témával foglalkozó topicok nézegetésével, és egy küldöldi fórumban találtam rá arra a programra, ami ingyen letölthető és leszedte az about:blank-et.
A program az alábbi helyről tölthető le:
adwareway
Az oldal alján van, hogy download Adware Away, klikk, és már tölti is.
http://adwareaway.com/aboutblank.htm Itt még lehet olvasni egy kis útmutatót, hogy miként használjuk a szoftvert, ami lényegében tök egyszerű. Ki kell jelölni, hogy milyen férget (vagy mit) akarsz leszedni a gépedről, és direkt arra mozdul rá. Nekem 1mp alatt leszedte, és azóta nyoma sincs. Hehe
))))))Na remélem segíthettem!!!
Eme nemesnek nem mondható Spyware eltávolítására van egy másik +oldás is de az túl hosszú. A Registryben kell kotorászni a gépet Csökkentett módban indítva. Mindjárt beírom.
A legbiztosabb jele annak, hogy létezik intelligens élet a Földön kívül az az, hogy még nem próbáltak kapcsolatba lépni velünk.
#516
- Senior tag
-
- Csoport: Fórumtag
- Hozzászólások: 2.563
- Csatlakozott: --
Elküldve: 2005. 01. 07. 07:56
Idézet: DKG - Dátum: 2005. jan. 6., csütörtök - 15:18
Én megnézném, nem-e gondoskodik folyamatosan valami arról, hogy a registryben nyoma maradjon.
ezzel nézd meg:
http://www.sysintern...ce/regmon.shtml
ezzel nézd meg:
http://www.sysintern...ce/regmon.shtml
http://www.faqfarm.c...ter/Virus/19285
Az about:blank irtása.
A legbiztosabb jele annak, hogy létezik intelligens élet a Földön kívül az az, hogy még nem próbáltak kapcsolatba lépni velünk.
#517
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 633
- Csatlakozott: --
Elküldve: 2005. 01. 09. 00:16
Bocsi, hogy eltűntem, de pár éjszakát átkűzdöttem a géppel... Egy gépem van, vagy safe mód, vagy a neten olvasgatom az okosságokat (safe+net tűzfal nélkül nem játszik), azaz reboot forever...
Röviden:
Folytatás
Jelenleg a CHKDSK úgy tűnik lenyugodott, Explorer futkározik, egyszer csak BUMM, megint leáll minden... Nem fagy le, kapcsolgatni lehet a task-ok között, de minden ablak üres, semmi se történik, shutdown soha se fut le...
Reset.
Betelt a pohár, eldöntöm, hogy novemberi image-et visszahúzom, de előtte azért lementem a jelenlegit. Boot CD + Drive Image 5.0 lefut, kiírja, hogy lementve, nagy OK a képernyő közepén, de ekkor az egér már áll, nincs billentyű... Most mi a f#sz van??? Hardware szállt el??? Hálókártya??? Annak mi köze a Drive Image-hez???
Reset, boot és itt vagyok.
Kiporszívóztam a gépet, megmozgattam a PCI kártyákat és eldöntöttem, hogy kicserélem a proci melleti kondikat (ez is hülyeség, akkor úgy fagyna mint a kő). Ha ezek után lefagy megint, lementem az adatokat megint (ha lehet egyáltalán) és esküszöm kidobom az egészet a hatodikról a p#csába... Van udvar, nem fog meghalni senki.
...Ha ez mégsem következne be, itt jönnek a HiJackThis log-og.
Lac
-------------------
Amit leszedtem Safe módban (valaki átfuthatná, lehet hogy van amit nem kellett volna leszednem)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx #Windows Media Player, legalább megszabadultam tőle az IE-ből
O4 - HKLM\..\Run: [anvshell] anvshell.exe #Asus video, eleve fölösleges volt a taskbar-on
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe #MS Java: nincs ember, nincs probléma
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe #Creative Labs emlékeztető, eleve fölösleges
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll #MS Java: nincs ember, nincs probléma
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll #MS Java: nincs ember, nincs probléma
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) #??? Ez mi lehetett?
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/sher/x.chm::/load.exe #soha nem tűnt fel, hogy futna
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200207...meInstaller.exe #nem tudom mi, de nem tetszik
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/do...d/o2cplayer.cab #nem tudom már, hogy mi, de nem kell
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE #3D Studio nincs a gépen, esetleg valamikor volt, nem kell
O23 - Service: Privilege Win32 Server - Aladdin Knowledge Systems - C:\WINNT\System32\PLServ.exe #vmi software DRM, nem tudom mit keres a gépemen, de nem tetszik
Amit "normál" módban szedtem most le
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , #Ez mi lehetett? A Backup file is üres.
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , #Ez mi lehetett? A Backup file is üres.
Mellékelném a mostani log-ot. Szerintem negatív, de valaki azért átfuthatná. Köszi, ha mégis...
Logfile of HijackThis v1.99.0
Scan saved at 21:40:13, on 2005. 01. 08.
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\devldr32.exe
C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\ups.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\ismserv.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE
C:\WINNT\System32\qttask.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Psion\PsiWin\Psconsv.exe
C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
C:\Program Files\United Devices\UD.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Microsoft Office\Office\1033\wfxmsrvr.exe
C:\PROGRA~1\MICROS~3\Office\1033\OLFMOD32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\United Devices\ud_7174683.exe
C:\Program Files\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
J:\Temporary\tmp\___\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Speed racer] C:\Program Files\Creative\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot #vaklárma, az Update_OB zavarja meg, csak .exe-ként lenne
gáz
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [USB Device] servicelog.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: McUpdate.lnk = C:\Program Files\Network Associates\NetShield 2000\MCUPDATE.EXE
O4 - Global Startup: PsiWin 2.3 Connection Server.lnk = C:\Program Files\Psion\PsiWin\Psconsv.exe
O4 - Global Startup: SiICfg.lnk = C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
O4 - Global Startup: SymmTime.lnk = C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
O4 - Global Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.exe
O4 - Global Startup: Windows Task Manager.lnk = C:\WINNT\system32\taskmgr.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = icsw.hu #én így hívom a gépemet is...
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2AB423-E983-43E1-8706-839106F669A5}: Domain = icsw.hu
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = icsw.hu
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = icsw.hu
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: Network Associates Alert Manager - McAfee Division of Network Associates, Inc. - C:\Program Files\Common Files\Network Associates\Alert
Manager\amgrsrvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\vstskmgr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
Röviden:
- Köszönöm az ötleteket!!!
- about:blank: (ha élt egyáltalán) nem tűnt fel, nekem eleve ez a defaultom... Ad-Aware likvidálta (ha valós volt egyáltalán).
- regmon: letöltöttem, de még nem volt erőm hozzá, nem itt lehet megfogni szerintem
- CWShredder: két dolgot talált Mupdate és AlfaSearch. AlfaSearch csak a registry-ben, .exe már nincs, azaz nem működőképes, azért reg-et rendberaktam. Az Mupdate-hoz se .exe-t se reg-et nem találok órák után se, így azt se tudom honnan veszi, kénytelen vagyok vaklármának minősíteni.
- HijackThis: Na ez már talált sokmindent. Törölgettem. Mellékelek log-ot, valaki nézzen már rá, előre is köszi.
- adwareaway: nagyon korrekt kis progi, szépen kipirosította a gyanúsnak vélt dolgokat eszement sok szempontból, de nem talált semmit (elődei megtették). Egy óvatlan pillanatban letiltattam vele 3 service-et, amiből a Task scheduler és Messenger azért kell (UPS és Netshield is ezt használja), a Remote Registry belátom fölösleges.
Folytatás
Jelenleg a CHKDSK úgy tűnik lenyugodott, Explorer futkározik, egyszer csak BUMM, megint leáll minden... Nem fagy le, kapcsolgatni lehet a task-ok között, de minden ablak üres, semmi se történik, shutdown soha se fut le...
Reset.
Betelt a pohár, eldöntöm, hogy novemberi image-et visszahúzom, de előtte azért lementem a jelenlegit. Boot CD + Drive Image 5.0 lefut, kiírja, hogy lementve, nagy OK a képernyő közepén, de ekkor az egér már áll, nincs billentyű... Most mi a f#sz van??? Hardware szállt el??? Hálókártya??? Annak mi köze a Drive Image-hez???
Reset, boot és itt vagyok.
Kiporszívóztam a gépet, megmozgattam a PCI kártyákat és eldöntöttem, hogy kicserélem a proci melleti kondikat (ez is hülyeség, akkor úgy fagyna mint a kő). Ha ezek után lefagy megint, lementem az adatokat megint (ha lehet egyáltalán) és esküszöm kidobom az egészet a hatodikról a p#csába... Van udvar, nem fog meghalni senki.
...Ha ez mégsem következne be, itt jönnek a HiJackThis log-og.
Lac
-------------------
Amit leszedtem Safe módban (valaki átfuthatná, lehet hogy van amit nem kellett volna leszednem)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx #Windows Media Player, legalább megszabadultam tőle az IE-ből
O4 - HKLM\..\Run: [anvshell] anvshell.exe #Asus video, eleve fölösleges volt a taskbar-on
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe #MS Java: nincs ember, nincs probléma
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe #Creative Labs emlékeztető, eleve fölösleges
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll #MS Java: nincs ember, nincs probléma
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll #MS Java: nincs ember, nincs probléma
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) #??? Ez mi lehetett?
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/sher/x.chm::/load.exe #soha nem tűnt fel, hogy futna
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200207...meInstaller.exe #nem tudom mi, de nem tetszik
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/do...d/o2cplayer.cab #nem tudom már, hogy mi, de nem kell
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE #3D Studio nincs a gépen, esetleg valamikor volt, nem kell
O23 - Service: Privilege Win32 Server - Aladdin Knowledge Systems - C:\WINNT\System32\PLServ.exe #vmi software DRM, nem tudom mit keres a gépemen, de nem tetszik
Amit "normál" módban szedtem most le
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , #Ez mi lehetett? A Backup file is üres.
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , #Ez mi lehetett? A Backup file is üres.
Mellékelném a mostani log-ot. Szerintem negatív, de valaki azért átfuthatná. Köszi, ha mégis...
Logfile of HijackThis v1.99.0
Scan saved at 21:40:13, on 2005. 01. 08.
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\devldr32.exe
C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\ups.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\ismserv.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE
C:\WINNT\System32\qttask.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Psion\PsiWin\Psconsv.exe
C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
C:\Program Files\United Devices\UD.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Microsoft Office\Office\1033\wfxmsrvr.exe
C:\PROGRA~1\MICROS~3\Office\1033\OLFMOD32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\United Devices\ud_7174683.exe
C:\Program Files\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
J:\Temporary\tmp\___\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Speed racer] C:\Program Files\Creative\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot #vaklárma, az Update_OB zavarja meg, csak .exe-ként lenne
gáz
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [USB Device] servicelog.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: McUpdate.lnk = C:\Program Files\Network Associates\NetShield 2000\MCUPDATE.EXE
O4 - Global Startup: PsiWin 2.3 Connection Server.lnk = C:\Program Files\Psion\PsiWin\Psconsv.exe
O4 - Global Startup: SiICfg.lnk = C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
O4 - Global Startup: SymmTime.lnk = C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
O4 - Global Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.exe
O4 - Global Startup: Windows Task Manager.lnk = C:\WINNT\system32\taskmgr.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = icsw.hu #én így hívom a gépemet is...
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2AB423-E983-43E1-8706-839106F669A5}: Domain = icsw.hu
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = icsw.hu
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = icsw.hu
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: Network Associates Alert Manager - McAfee Division of Network Associates, Inc. - C:\Program Files\Common Files\Network Associates\Alert
Manager\amgrsrvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\vstskmgr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
#518
- Őstag
-
- Csoport: Kitiltott
- Hozzászólások: 43.097
- Csatlakozott: --
Elküldve: 2005. 01. 09. 00:37
Idézet: ics - Dátum: 2005. jan. 9., vasárnap - 0:16
Logfile of HijackThis v1.99.0
Scan saved at 21:40:13, on 2005. 01. 08.
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\devldr32.exe
C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\ups.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\ismserv.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE
C:\WINNT\System32\qttask.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Psion\PsiWin\Psconsv.exe
C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
C:\Program Files\United Devices\UD.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Microsoft Office\Office\1033\wfxmsrvr.exe
C:\PROGRA~1\MICROS~3\Office\1033\OLFMOD32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\United Devices\ud_7174683.exe
C:\Program Files\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
J:\Temporary\tmp\___\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Speed racer] C:\Program Files\Creative\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot #vaklárma, az Update_OB zavarja meg, csak .exe-ként lenne gáz
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [USB Device] servicelog.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: McUpdate.lnk = C:\Program Files\Network Associates\NetShield 2000\MCUPDATE.EXE
O4 - Global Startup: PsiWin 2.3 Connection Server.lnk = C:\Program Files\Psion\PsiWin\Psconsv.exe
O4 - Global Startup: SiICfg.lnk = C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
O4 - Global Startup: SymmTime.lnk = C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
O4 - Global Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.exe
O4 - Global Startup: Windows Task Manager.lnk = C:\WINNT\system32\taskmgr.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = icsw.hu #én így hívom a gépemet is...
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2AB423-E983-43E1-8706-839106F669A5}: Domain = icsw.hu
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = icsw.hu
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = icsw.hu
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: Network Associates Alert Manager - McAfee Division of Network Associates, Inc. - C:\Program Files\Common Files\Network Associates\Alert Manager\amgrsrvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\vstskmgr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
Scan saved at 21:40:13, on 2005. 01. 08.
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\devldr32.exe
C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\ups.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\ismserv.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE
C:\WINNT\System32\qttask.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Psion\PsiWin\Psconsv.exe
C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
C:\Program Files\United Devices\UD.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Microsoft Office\Office\1033\wfxmsrvr.exe
C:\PROGRA~1\MICROS~3\Office\1033\OLFMOD32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\United Devices\ud_7174683.exe
C:\Program Files\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
J:\Temporary\tmp\___\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Speed racer] C:\Program Files\Creative\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot #vaklárma, az Update_OB zavarja meg, csak .exe-ként lenne gáz
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [USB Device] servicelog.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: McUpdate.lnk = C:\Program Files\Network Associates\NetShield 2000\MCUPDATE.EXE
O4 - Global Startup: PsiWin 2.3 Connection Server.lnk = C:\Program Files\Psion\PsiWin\Psconsv.exe
O4 - Global Startup: SiICfg.lnk = C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
O4 - Global Startup: SymmTime.lnk = C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
O4 - Global Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.exe
O4 - Global Startup: Windows Task Manager.lnk = C:\WINNT\system32\taskmgr.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = icsw.hu #én így hívom a gépemet is...
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2AB423-E983-43E1-8706-839106F669A5}: Domain = icsw.hu
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = icsw.hu
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = icsw.hu
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: Network Associates Alert Manager - McAfee Division of Network Associates, Inc. - C:\Program Files\Common Files\Network Associates\Alert Manager\amgrsrvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\vstskmgr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
A zöldek keményen átgondolandók, tényleg kellenek-e? A sok Notepad micsoda?
A narancs kidobandó, a piros szintén
¤
® "A legjobb tanácsadók nem azok, akik különleges esetekben megmondják, hogy hogyan cselekedjünk; hanem azok, akik elkötelezett szellemiségükből és cselekedni vágyásukból adnak, majd ránk hagyják, hogy még ha sok hibával is de magunk találjuk meg a cselekvés véleményünk szerinti legjobb formáját."
® "A legjobb tanácsadók nem azok, akik különleges esetekben megmondják, hogy hogyan cselekedjünk; hanem azok, akik elkötelezett szellemiségükből és cselekedni vágyásukból adnak, majd ránk hagyják, hogy még ha sok hibával is de magunk találjuk meg a cselekvés véleményünk szerinti legjobb formáját."
#519
- Senior tag
-
- Csoport: Fórumtag
- Hozzászólások: 2.563
- Csatlakozott: --
Elküldve: 2005. 01. 09. 15:37
Idézet: ics - Dátum: 2005. jan. 9., vasárnap - 0:16
Bocsi, hogy eltűntem, de pár éjszakát átkűzdöttem a géppel... Egy gépem van, vagy safe mód, vagy a neten olvasgatom az okosságokat (safe+net tűzfal nélkül nem játszik), azaz reboot forever...
Röviden:
Jelenleg a CHKDSK úgy tűnik lenyugodott, Explorer futkározik, egyszer csak BUMM, megint leáll minden... Nem fagy le, kapcsolgatni lehet a task-ok között, de minden ablak üres, semmi se történik, shutdown soha se fut le...
Reset.
Betelt a pohár, eldöntöm, hogy novemberi image-et visszahúzom, de előtte azért lementem a jelenlegit. Boot CD + Drive Image 5.0 lefut, kiírja, hogy lementve, nagy OK a képernyő közepén, de ekkor az egér már áll, nincs billentyű... Most mi a f#sz van??? Hardware szállt el??? Hálókártya??? Annak mi köze a Drive Image-hez???
Reset, boot és itt vagyok.
Kiporszívóztam a gépet, megmozgattam a PCI kártyákat és eldöntöttem, hogy kicserélem a proci melleti kondikat (ez is hülyeség, akkor úgy fagyna mint a kő). Ha ezek után lefagy megint, lementem az adatokat megint (ha lehet egyáltalán) és esküszöm kidobom az egészet a hatodikról a p#csába... Van udvar, nem fog meghalni senki.
...Ha ez mégsem következne be, itt jönnek a HiJackThis log-og.
Lac
-------------------
Amit leszedtem Safe módban (valaki átfuthatná, lehet hogy van amit nem kellett volna leszednem)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx #Windows Media Player, legalább megszabadultam tőle az IE-ből
O4 - HKLM\..\Run: [anvshell] anvshell.exe #Asus video, eleve fölösleges volt a taskbar-on
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe #MS Java: nincs ember, nincs probléma
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe #Creative Labs emlékeztető, eleve fölösleges
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll #MS Java: nincs ember, nincs probléma
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll #MS Java: nincs ember, nincs probléma
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) #??? Ez mi lehetett?
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/sher/x.chm::/load.exe #soha nem tűnt fel, hogy futna
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200207...meInstaller.exe #nem tudom mi, de nem tetszik
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/do...d/o2cplayer.cab #nem tudom már, hogy mi, de nem kell
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE #3D Studio nincs a gépen, esetleg valamikor volt, nem kell
O23 - Service: Privilege Win32 Server - Aladdin Knowledge Systems - C:\WINNT\System32\PLServ.exe #vmi software DRM, nem tudom mit keres a gépemen, de nem tetszik
Amit "normál" módban szedtem most le
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , #Ez mi lehetett? A Backup file is üres.
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , #Ez mi lehetett? A Backup file is üres.
Mellékelném a mostani log-ot. Szerintem negatív, de valaki azért átfuthatná. Köszi, ha mégis...
Logfile of HijackThis v1.99.0
Scan saved at 21:40:13, on 2005. 01. 08.
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\devldr32.exe
C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\ups.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\ismserv.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE
C:\WINNT\System32\qttask.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Psion\PsiWin\Psconsv.exe
C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
C:\Program Files\United Devices\UD.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Microsoft Office\Office\1033\wfxmsrvr.exe
C:\PROGRA~1\MICROS~3\Office\1033\OLFMOD32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\United Devices\ud_7174683.exe
C:\Program Files\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
J:\Temporary\tmp\___\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Speed racer] C:\Program Files\Creative\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot #vaklárma, az Update_OB zavarja meg, csak .exe-ként lenne
gáz
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [USB Device] servicelog.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: McUpdate.lnk = C:\Program Files\Network Associates\NetShield 2000\MCUPDATE.EXE
O4 - Global Startup: PsiWin 2.3 Connection Server.lnk = C:\Program Files\Psion\PsiWin\Psconsv.exe
O4 - Global Startup: SiICfg.lnk = C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
O4 - Global Startup: SymmTime.lnk = C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
O4 - Global Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.exe
O4 - Global Startup: Windows Task Manager.lnk = C:\WINNT\system32\taskmgr.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = icsw.hu #én így hívom a gépemet is...
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2AB423-E983-43E1-8706-839106F669A5}: Domain = icsw.hu
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = icsw.hu
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = icsw.hu
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: Network Associates Alert Manager - McAfee Division of Network Associates, Inc. - C:\Program Files\Common Files\Network Associates\Alert
Manager\amgrsrvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\vstskmgr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
Röviden:
- Köszönöm az ötleteket!!!
- about:blank: (ha élt egyáltalán) nem tűnt fel, nekem eleve ez a defaultom... Ad-Aware likvidálta (ha valós volt egyáltalán).
- regmon: letöltöttem, de még nem volt erőm hozzá, nem itt lehet megfogni szerintem
- CWShredder: két dolgot talált Mupdate és AlfaSearch. AlfaSearch csak a registry-ben, .exe már nincs, azaz nem működőképes, azért reg-et rendberaktam. Az Mupdate-hoz se .exe-t se reg-et nem találok órák után se, így azt se tudom honnan veszi, kénytelen vagyok vaklármának minősíteni.
- HijackThis: Na ez már talált sokmindent. Törölgettem. Mellékelek log-ot, valaki nézzen már rá, előre is köszi.
- adwareaway: nagyon korrekt kis progi, szépen kipirosította a gyanúsnak vélt dolgokat eszement sok szempontból, de nem talált semmit (elődei megtették). Egy óvatlan pillanatban letiltattam vele 3 service-et, amiből a Task scheduler és Messenger azért kell (UPS és Netshield is ezt használja), a Remote Registry belátom fölösleges.
Jelenleg a CHKDSK úgy tűnik lenyugodott, Explorer futkározik, egyszer csak BUMM, megint leáll minden... Nem fagy le, kapcsolgatni lehet a task-ok között, de minden ablak üres, semmi se történik, shutdown soha se fut le...
Reset.
Betelt a pohár, eldöntöm, hogy novemberi image-et visszahúzom, de előtte azért lementem a jelenlegit. Boot CD + Drive Image 5.0 lefut, kiírja, hogy lementve, nagy OK a képernyő közepén, de ekkor az egér már áll, nincs billentyű... Most mi a f#sz van??? Hardware szállt el??? Hálókártya??? Annak mi köze a Drive Image-hez???
Reset, boot és itt vagyok.
Kiporszívóztam a gépet, megmozgattam a PCI kártyákat és eldöntöttem, hogy kicserélem a proci melleti kondikat (ez is hülyeség, akkor úgy fagyna mint a kő). Ha ezek után lefagy megint, lementem az adatokat megint (ha lehet egyáltalán) és esküszöm kidobom az egészet a hatodikról a p#csába... Van udvar, nem fog meghalni senki.
...Ha ez mégsem következne be, itt jönnek a HiJackThis log-og.
Lac
-------------------
Amit leszedtem Safe módban (valaki átfuthatná, lehet hogy van amit nem kellett volna leszednem)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx #Windows Media Player, legalább megszabadultam tőle az IE-ből
O4 - HKLM\..\Run: [anvshell] anvshell.exe #Asus video, eleve fölösleges volt a taskbar-on
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe #MS Java: nincs ember, nincs probléma
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe #Creative Labs emlékeztető, eleve fölösleges
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll #MS Java: nincs ember, nincs probléma
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll #MS Java: nincs ember, nincs probléma
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) #??? Ez mi lehetett?
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/sher/x.chm::/load.exe #soha nem tűnt fel, hogy futna
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/200207...meInstaller.exe #nem tudom mi, de nem tetszik
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/do...d/o2cplayer.cab #nem tudom már, hogy mi, de nem kell
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINNT\System32\DRIVERS\CDANTSRV.EXE #3D Studio nincs a gépen, esetleg valamikor volt, nem kell
O23 - Service: Privilege Win32 Server - Aladdin Knowledge Systems - C:\WINNT\System32\PLServ.exe #vmi software DRM, nem tudom mit keres a gépemen, de nem tetszik
Amit "normál" módban szedtem most le
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = , #Ez mi lehetett? A Backup file is üres.
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = , #Ez mi lehetett? A Backup file is üres.
Mellékelném a mostani log-ot. Szerintem negatív, de valaki azért átfuthatná. Köszi, ha mégis...
Logfile of HijackThis v1.99.0
Scan saved at 21:40:13, on 2005. 01. 08.
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\CTsvcCDA.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\devldr32.exe
C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\ups.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\wins.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\System32\ismserv.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE
C:\WINNT\System32\qttask.exe
C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Psion\PsiWin\Psconsv.exe
C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
C:\Program Files\United Devices\UD.exe
C:\PROGRA~1\Psion\PsiWin\Elogerr.exe
C:\WINNT\system32\taskmgr.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Microsoft Office\Office\1033\wfxmsrvr.exe
C:\PROGRA~1\MICROS~3\Office\1033\OLFMOD32.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\United Devices\ud_7174683.exe
C:\Program Files\United Devices\ud_7174683_0.dir\ud_ligfit_Release.exe
J:\Temporary\tmp\___\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [Speed racer] C:\Program Files\Creative\PlayCenter\CTSRReg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Program Files\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\NetShield 2000\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [QuickTime Task] C:\WINNT\System32\qttask.exe
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r
O4 - HKLM\..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\evntsvc.exe -osboot #vaklárma, az Update_OB zavarja meg, csak .exe-ként lenne
gáz
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [USB Device] servicelog.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: McUpdate.lnk = C:\Program Files\Network Associates\NetShield 2000\MCUPDATE.EXE
O4 - Global Startup: PsiWin 2.3 Connection Server.lnk = C:\Program Files\Psion\PsiWin\Psconsv.exe
O4 - Global Startup: SiICfg.lnk = C:\Program Files\Silicon Image\SiICfg\SiICfg.exe
O4 - Global Startup: SymmTime.lnk = C:\Program Files\Symmetricom\SymmTime\SymmTime.exe
O4 - Global Startup: UD Agent.lnk = C:\Program Files\United Devices\UD.exe
O4 - Global Startup: Windows Task Manager.lnk = C:\WINNT\system32\taskmgr.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = icsw.hu #én így hívom a gépemet is...
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2AB423-E983-43E1-8706-839106F669A5}: Domain = icsw.hu
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = icsw.hu
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = icsw.hu
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O23 - Service: Network Associates Alert Manager - McAfee Division of Network Associates, Inc. - C:\Program Files\Common Files\Network Associates\Alert
Manager\amgrsrvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.exe
O23 - Service: Logical Disk Manager Administrative Service - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Associates McShield - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\mcshield.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\NetShield 2000\vstskmgr.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
Üdv ics! Sajnálom a menet közbeni hibát.
Ez utásn a Crash után félve írom le:ha még aktuális, akkor egy registrys about:blank irtás:
Néha az alábbi ágba telepszik REJTVEa bejegyzés.
1. Irány a HKEY_LOCAL_MACHNIE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\ ág.
2. A Windows kulcsot nevezd át Windows2-re, mert a windows kulcsot nem lehet módosítani.
3. Ebben a most már Windows2-ben keresd meg az Appinit_dlls bejegyzést.
4. Jobb klikk az Appinit_dlls bejegyzésen, ha ezután azt választjuk, hogy Módosítás nincs értéke.
De ha a modify binary data-t választod, akkor két lehetőség van:
A: nincs benne semmi, csak ennyi, hogy 00 00
B: egy elindításra váló dll nevével együtt.-->B esetben "fertőzött" a PC.
Ha B eset lőn, akkor Appinit_dlls bejegyzést ahogy van DELETE! De csak akkor ha a
..\Windows-t ..\Windows2-re nevezted át.
5. Del Appinit_dlls után, Windows2 vissza-átnevezése az eredeti Windows-ra.
6. Ezután Temp könyvtárak ürítése a ../Local Settings/temp-et is.
7. Safe módban fenteb említett HijackThis, Adwareaway futtatása talált dll-ek törlése.
8. Reboot után ELVILEG OK kéne hogy legyen.
Néhány példa a HijackThisnél mit érdemes törölni:
HKCU\Software\Microsoft\IE\Main, Search Bar=file://C:\Dokume~1\User1\Locals~1\Temp\sp.html
HKCU\Software\Microsoft\IE\Main, Search Page=file://C:\Dokume~1\User1\Locals~1\Temp\sp.html
HKCU\Software\Microsoft\IE\Main, Search Assistant=file://C:\Dokume~1\User1\Locals~1\Temp\sp.html
HKCU\Software\Microsoft\IE\Main, HomeOldSP=about:blank
C:\Windows\System32\feocii.dll ez volt a registryben a fertőzőtt a fájl.
Ezek után el kéne tűnnie.
Üdv! és sok sikert mindenhez! Nekem így sikerált.
A legbiztosabb jele annak, hogy létezik intelligens élet a Földön kívül az az, hogy még nem próbáltak kapcsolatba lépni velünk.
#520
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 617
- Csatlakozott: --
Elküldve: 2005. 01. 14. 08:32
Elnezest nem vettem eszre a kiemelt forumot.
http://here4search.com
Naszoval en is benyaltam egy ilyet es fel nap kuzkodes utan odaig jutottam valahol megbujik a rendszeben es visszatolti magat az IE kezdolapjara. A szornyu az hogy ez huzogatja a torjai lovakat lefele.
HiJack, Ad-adware, spybot, zonealar, panda mind nem segit.
Egyszeruen ha meg is talalom a gyoker filet nem tom kitorolni. Lassan linux bootcd-t fogok csinalni azzal csak megengedi letorolni magat.
Csak tudnam honnet szedtem ossze mert nem jarok ilyen buzi http cimeken...
http://here4search.com
Naszoval en is benyaltam egy ilyet es fel nap kuzkodes utan odaig jutottam valahol megbujik a rendszeben es visszatolti magat az IE kezdolapjara. A szornyu az hogy ez huzogatja a torjai lovakat lefele.
HiJack, Ad-adware, spybot, zonealar, panda mind nem segit.
Egyszeruen ha meg is talalom a gyoker filet nem tom kitorolni. Lassan linux bootcd-t fogok csinalni azzal csak megengedi letorolni magat.
Csak tudnam honnet szedtem ossze mert nem jarok ilyen buzi http cimeken...
"De sagittis Hungarorum libera nos, Domine."
#521
- Őstag
-
- Csoport: Fórumtag
- Hozzászólások: 11.975
- Csatlakozott: --
Elküldve: 2005. 01. 14. 12:22
Idézet: Garmacor - Dátum: 2005. jan. 14., péntek - 8:32
Elnezest nem vettem eszre a kiemelt forumot.
http://here4search.com
Naszoval en is benyaltam egy ilyet es fel nap kuzkodes utan odaig jutottam valahol megbujik a rendszeben es visszatolti magat az IE kezdolapjara. A szornyu az hogy ez huzogatja a torjai lovakat lefele.
HiJack, Ad-adware, spybot, zonealar, panda mind nem segit.
Egyszeruen ha meg is talalom a gyoker filet nem tom kitorolni. Lassan linux bootcd-t fogok csinalni azzal csak megengedi letorolni magat.
Csak tudnam honnet szedtem ossze mert nem jarok ilyen buzi http cimeken...
http://here4search.com
Naszoval en is benyaltam egy ilyet es fel nap kuzkodes utan odaig jutottam valahol megbujik a rendszeben es visszatolti magat az IE kezdolapjara. A szornyu az hogy ez huzogatja a torjai lovakat lefele.
HiJack, Ad-adware, spybot, zonealar, panda mind nem segit.
Egyszeruen ha meg is talalom a gyoker filet nem tom kitorolni. Lassan linux bootcd-t fogok csinalni azzal csak megengedi letorolni magat.
Csak tudnam honnet szedtem ossze mert nem jarok ilyen buzi http cimeken...
A válasz ua.:
1. How to remove HERE4SEARCH
2. How to remove HERE4SEARCH
"Figyelj arra, aki keresi az igazságot és őrizkedj attól, aki hirdeti: megtalálta."
/André Gide/
/André Gide/
#522
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 633
- Csatlakozott: --
Elküldve: 2005. 01. 15. 01:14
Bár már nem az about:blank miatt írok, de visszajelzek. Ha fagyáskor hálókábelt lehúzom, ZAPRO lelő és újraindít, majd hálókártya visszadug, akkor a gép megy tovább. Ez aranyos. Vagy haldoklik a kártya vagy a ZAPRO kergül meg valamitől. Most hálókártyát lecseréltem, nincs fagyás, chkdsk nyugodt, de majd ha egy hét múlva is ez a szitu, akkor nyugszom meg én is. Más. DNS, WINS és DHCP szervizek letiltása után is lassan boot-olt, pedig az "initializing network connections" állítólag a DNS hasfájása miatt lassul le (volt, amikor nem egyedül volt a gépem, ezek akkor kellettek, jelenleg még fix IP-je sincs). Ez nem segített, kapott még egy ipconfig /flushdns és ipconfig /registerdns párost, és a második boot óta már gyors, csak el ne kiabáljam (az új háló-kártyával is lassú volt, ez valszeg konfig gond).Sok Notepad - tényleg futnak, én tényleg ebbe irogatok ha valami eszembe jut és nem papírra akarom felírni...
CTsvcCDA.exe - állítólag csak Me-hez és 9x-hez kell, ez meg 2k, repült
Dfssvc.exe - egy gépen tényleg nehéz DFS-et csinálni, repült
mdm.exe - eddig sohasem vettem igénybe, inkább "printf" szintű megoldással keresem a programokban (néhanapján ha írok még) a hibát, repült
mspmspsv.exe - SDMI és WMP, repült
createcd.exe - végül is kakukktojás volt a system tray-en, csak egy shortcut, repült
Elogerr.exe - PSION Revo, nem bántom
AcroIEHelper.ocx - sose szerettem, ha az IE-ben nyílt meg, repült
CTSRReg.exe - Creative labs emlékeztető, repült
Köszi Lamex!!!
#523
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 633
- Csatlakozott: --
Elküldve: 2005. 01. 15. 02:26
Fentiek visszavonva, gép ugyanúgy fagy és lassan boot-ol. Kábelhuzogatás után ugyanúgy Reset let belőle. Részemről lezártam, köszi aki eddig segített.
#524
- Őstag
-
- Csoport: Fórumtag
- Hozzászólások: 11.975
- Csatlakozott: --
Elküldve: 2005. 01. 15. 04:37
Microsoft® Windows® Malicious Software Removal Tool (KB890830)
Idézet
This tool checks your computer for infection by specific, prevalent malicious software (including Blaster, Sasser, and Mydoom) and helps to remove the infection if it is found.
"Figyelj arra, aki keresi az igazságot és őrizkedj attól, aki hirdeti: megtalálta."
/André Gide/
/André Gide/
#525
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 1.279
- Csatlakozott: --
Elküldve: 2005. 01. 15. 20:02
Idézet: Niceday - Dátum: 2005. jan. 15., szombat - 4:37
Remélem ezt a feature-t bennehagyják:
Idézet
#526
- Őstag
-
- Csoport: Fórumtag
- Hozzászólások: 11.975
- Csatlakozott: --
Elküldve: 2005. 01. 15. 20:06
Ez a program, nem az a program... 
... 
...
Szerkesztette: Niceday 2005. 01. 15. 20:07 -kor
"Figyelj arra, aki keresi az igazságot és őrizkedj attól, aki hirdeti: megtalálta."
/André Gide/
/André Gide/
#527
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 1.279
- Csatlakozott: --
Elküldve: 2005. 01. 17. 16:53
Idézet: Niceday - Dátum: 2005. jan. 15., szombat - 20:06
Ez a program, nem az a program... ...
... Már amikor postoltam sejtettem...
Ne aggódj, egyik jobb lesz, mint a másik; a végén úgyis összeakadnak.
(Utólag is sorry, összekeveredtem.)
#528
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 776
- Csatlakozott: --
Elküldve: 2005. 01. 22. 11:30
Én is beszoptam a Messengert.
A kedvenceket megpakolta és nem lehet kiszedni.
Az Explorert ki lehet uninstallálni?
Állandóan feljön egy ablak amit nem tudok leirtani.
Ez az:
Mit lehet tenni?
Spyware hegyeket futtatok de nem találnak semmit.
A kedvenceket megpakolta és nem lehet kiszedni.
Az Explorert ki lehet uninstallálni?
Állandóan feljön egy ablak amit nem tudok leirtani.
Ez az:
Mit lehet tenni?
Spyware hegyeket futtatok de nem találnak semmit.
#529
- Őstag
-
- Csoport: Kitiltott
- Hozzászólások: 43.097
- Csatlakozott: --
Elküldve: 2005. 01. 22. 11:34
Talán végigolvasni a topikot... és elkezdeni - a hálóról fizikailag is lekapcsolódva - Safe Módban pucolni.
¤
® "A legjobb tanácsadók nem azok, akik különleges esetekben megmondják, hogy hogyan cselekedjünk; hanem azok, akik elkötelezett szellemiségükből és cselekedni vágyásukból adnak, majd ránk hagyják, hogy még ha sok hibával is de magunk találjuk meg a cselekvés véleményünk szerinti legjobb formáját."
® "A legjobb tanácsadók nem azok, akik különleges esetekben megmondják, hogy hogyan cselekedjünk; hanem azok, akik elkötelezett szellemiségükből és cselekedni vágyásukból adnak, majd ránk hagyják, hogy még ha sok hibával is de magunk találjuk meg a cselekvés véleményünk szerinti legjobb formáját."
#530
- Törzsvendég
-
- Csoport: Fórumtag
- Hozzászólások: 776
- Csatlakozott: --
Elküldve: 2005. 01. 22. 12:20
Idézet: lameXpert - Dátum: 2005. jan. 22., szombat - 11:34
Talán végigolvasni a topikot... és elkezdeni - a hálóról fizikailag is lekapcsolódva - Safe Módban pucolni.
Ok!
Az a gond, hogy még soha nem szoptam ekkorát, ezért nem vagyok naprakész.
