|
taskmgr.exe, rundll32.exe, svchost.exe, csrss.exe kummittelee koneella + HJT-loki
|
|
|
Phimi
Junior Member
|
29. tammikuuta 2010 @ 20:54 |
Linkki tähän viestiin
|
Eli nämä on siis jonkunlaisia viruksia/matoja, jotka hidastaa konetta. Tietäiskö joku miten nämä saadaan poistettua?
Logfile of Trend Micro HijackThis v2.0.3 (BETA)
Scan saved at 20:48:03, on 29.1.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\BUFFALO\Client Manager3\bwsvc\bwsvc.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BUFFALO\Client Manager3\cm3_tray.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Linkit
R3 - URLSearchHook: ToggleFI Toolbar - {a95df5b3-97ae-4a89-8e8d-c65ec85f607e} - C:\Program Files\ToggleFI\tbTog0.dll
R3 - URLSearchHook: DigitalPowered Toolbar - {b317125e-2f10-4388-bf1f-2c31c6cd89ed} - C:\Program Files\DigitalPowered\tbDig1.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Liven kirjautumisapuohjelma - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ToggleFI Toolbar - {a95df5b3-97ae-4a89-8e8d-c65ec85f607e} - C:\Program Files\ToggleFI\tbTog0.dll
O2 - BHO: DigitalPowered Toolbar - {b317125e-2f10-4388-bf1f-2c31c6cd89ed} - C:\Program Files\DigitalPowered\tbDig1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ToggleFI Toolbar - {a95df5b3-97ae-4a89-8e8d-c65ec85f607e} - C:\Program Files\ToggleFI\tbTog0.dll
O3 - Toolbar: DigitalPowered Toolbar - {b317125e-2f10-4388-bf1f-2c31c6cd89ed} - C:\Program Files\DigitalPowered\tbDig1.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Paikallinen palve')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Verkkopalve')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ClientManager3.lnk = C:\Program Files\BUFFALO\Client Manager3\cm3_tray.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\jp2iexp.dll
O9 - Extra button: Lisää tämä blogiin - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Lisää tämä blogiin tuotteessa Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Mes...nt.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Bwsvc - BUFFALO INC. - C:\Program Files\BUFFALO\Client Manager3\bwsvc\bwsvc.exe
O23 - Service: Loogisen levyn hallinnan valvontapalvelu (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Tapahtumaloki (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: CD-levyjen kirjoittamisen IMAPI COM -palvelu (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NetMeeting etätyöpöydän jakaminen (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Etätyöpöydän ohjeen istunnonhallinta (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Älykortti (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Resurssilokit ja -hälytykset (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Aseman tilannevedos (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: WMI resurssisovitin (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Windows Media Playerin verkkojakamispalvelu (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe
--
End of file - 8597 bytes
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 29. tammikuuta 2010 @ 21:28
|
|
weski
Member
7 tuotearviota
|
29. tammikuuta 2010 @ 21:43 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Phimi:
Eli nämä on siis jonkunlaisia viruksia/matoja, jotka hidastaa konetta. Tietäiskö joku miten nämä saadaan poistettua?
Käsittääkseni ihan normaaleja Windowsin prosesseja kaikki. taskmgr.exe on ainakin juurikin tuo tehtävienhallinta josta niitä prosesseja tiirailet, csrss.exe on myös ihan normaali jos se on tuolla System32 kansiossa. Jospa joku osaa sinua autella, itse en osaa HJT-lokeja tulkita. Mutta googlella voit aika hyvin karsia noita vääriä hälytyksiä.
Antec Sonata III | EarthWatts 500W | Asus P5Q | Intel Core 2 Quad Q9550 | Sapphire Radeon HD4890 Vapor-X 1Gt | WD Caviar 320Gt + Caviar 500Gt | 2x2Gt 800MHz Kingston HyperX | Windows 7 Pro x64
|
|
Phimi
Junior Member
|
29. tammikuuta 2010 @ 22:04 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti weski:
Lainaus, alkuperäisen viestin kirjoitti Phimi:
Eli nämä on siis jonkunlaisia viruksia/matoja, jotka hidastaa konetta. Tietäiskö joku miten nämä saadaan poistettua?
Käsittääkseni ihan normaaleja Windowsin prosesseja kaikki. taskmgr.exe on ainakin juurikin tuo tehtävienhallinta josta niitä prosesseja tiirailet, csrss.exe on myös ihan normaali jos se on tuolla System32 kansiossa. Jospa joku osaa sinua autella, itse en osaa HJT-lokeja tulkita. Mutta googlella voit aika hyvin karsia noita vääriä hälytyksiä.
Tuolta http://www.windowsstartup.com/wso/search.php sivulta katsoin ja siellä luki että nuo kyseiset prosessit on viruksia tai matoja, mjoo, jos joku voi vielä tsekata tuon hjt lokin niin hyvä olisi. :)
|
|
weski
Member
7 tuotearviota
|
29. tammikuuta 2010 @ 22:13 |
Linkki tähän viestiin
|
Jos vaikka ensin lukisit huolella sen mitä haet, LINKKI. Siinä on tuo taskmgr.exe. Tämän *click* taisit löytää. Nyt jos huomaat eron niin kerro ihmeessä.
Antec Sonata III | EarthWatts 500W | Asus P5Q | Intel Core 2 Quad Q9550 | Sapphire Radeon HD4890 Vapor-X 1Gt | WD Caviar 320Gt + Caviar 500Gt | 2x2Gt 800MHz Kingston HyperX | Windows 7 Pro x64
|
|
Phimi
Junior Member
|
29. tammikuuta 2010 @ 22:32 |
Linkki tähän viestiin
|
|
5 rundll.exeä on C://WINDOWS/Prefetch kansiossa, PF-tiedostona.
1 rundll.exe on siellä system32
1 rundll.exe on C://WINDOWS/ServicePackFiles/i386 kansiossa
|
|
warwas
Suspended permanently
|
30. tammikuuta 2010 @ 00:36 |
Linkki tähän viestiin
|
|
Ihan ookoo tiedostoja, lokiin:
Mene Lisää/poista sovellukseen ja poista seuraava:
Toggle <- kaikki mikä alkaa tolla.
Scannaa HJT:lla Do A System scan only
Ruksaa seuraavat rivit:
R3 - URLSearchHook: ToggleFI Toolbar - {a95df5b3-97ae-4a89-8e8d-c65ec85f607e} - C:\Program Files\ToggleFI\tbTog0.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: ToggleFI Toolbar - {a95df5b3-97ae-4a89-8e8d-c65ec85f607e} - C:\Program Files\ToggleFI\tbTog0.dll
Klikkaa SCAN
SAmmuta ja käynnistä tietokone
Poista seuraava tummennettu kansio:
C:\Program Files\ToggleFI
Tuolta eikä finnishirc saa ikinä ladata/asentaa mitään!
|
|
Phimi
Junior Member
|
30. tammikuuta 2010 @ 13:09 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti warwas:
Ihan ookoo tiedostoja, lokiin:
Mene Lisää/poista sovellukseen ja poista seuraava:
Toggle <- kaikki mikä alkaa tolla.
Scannaa HJT:lla Do A System scan only
Ruksaa seuraavat rivit:
R3 - URLSearchHook: ToggleFI Toolbar - {a95df5b3-97ae-4a89-8e8d-c65ec85f607e} - C:\Program Files\ToggleFI\tbTog0.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: ToggleFI Toolbar - {a95df5b3-97ae-4a89-8e8d-c65ec85f607e} - C:\Program Files\ToggleFI\tbTog0.dll
Klikkaa SCAN
SAmmuta ja käynnistä tietokone
Poista seuraava tummennettu kansio:
C:\Program Files\ToggleFI
Tuolta eikä finnishirc saa ikinä ladata/asentaa mitään!
Poistin sen ToggleFI Toolbarin Lisää/Poista sovelluksesta ja scannasin hjt:lla eikä siellä enään näkynyt tuota R3 ToggleFI Toolbaria eikä O2 ToggleFI Toolbaria.
p.s. ei siellä lukenut että SCAN
|
|
Phimi
Junior Member
|
30. tammikuuta 2010 @ 18:09 |
Linkki tähän viestiin
|
|
Ja mulla näkyy täällä kans tuo DigitalPower Toolbar, pitääkö sekin poistaa?
|
Moderator
14 tuotearviota
|
31. tammikuuta 2010 @ 15:11 |
Linkki tähän viestiin
|
Phimi, yksi ketju / aihe riittää. Lisäksi jos haluat lisätä jotain sanomaasi, muokkaa viestiä sen sijaan että kirjoitat uuden viestin oman viestisi perään.
LUE: Keskustelualueiden säännöt
Phenom X4 955BE | HD 5770 | 4GB DDR3 || #afterdawn.com @ QuakeNet
|
|
warwas
Suspended permanently
|
31. tammikuuta 2010 @ 16:02 |
Linkki tähän viestiin
|
Lainaus, alkuperäisen viestin kirjoitti Phimi:
Ja mulla näkyy täällä kans tuo DigitalPower Toolbar, pitääkö sekin poistaa?
sori, mun moka, tuo myös pois, samat ohjeet mutta eri ohjelma nyt poistossa :)
|
|
Mainos
|
|
|
|
JooZa
Junior Member
|
6. heinäkuuta 2010 @ 19:17 |
Linkki tähän viestiin
|
|
Näistä prosesseista.. niin onko normaalia että prosesseissa on Rundll32.exe 2 kertaa...
Käyttöjärjestelmänä on siis windows 7 ultimate (64-bit)
|
