[A2100]

[HDD]

Ehk on nagu lihtsam logid txt failina kuhugi yles panna ja link anda .. väga ebamugav on seda teemat kerida ...

[weyx13]

[HacaX]

Winni enda omad need. See DUMPREP lühidalt öeldes kirjutab crashi puhul kogu(?) mälu sisu faili (mõte on, et mõni arvutite low-level hingeeluga kursis olev patsiga vend saab siis vast välja uurida mis täpselt juhtus).
Ülejäänud read peaksid näitama, et IEle on piiranguid peale pandud (osad pahalased teevad seda, aga samamoodi võimaldavab ka näiteks SpyBot IEd natuke "kinnisemaks" kruvida et igaüks avalehte jms muutma ei pääseks).

[weyx13]

kas nad võisid tulla Spybot 1.4-ga kaasa?

[raul141]

weyx13, ma panen sis veelkorra selle aadressi siia HacaX, minuarust kuskil seda isegi mulle õpetas Pane logi sinna ja vastus ju olemas ja terve logi ,sa siin jupitad oma kahe kolme reaga. üsna hästi seletab ju

http://www.hijackthis.de/index.php#anl

[weyx13]

raul141,
minu inglise keel on, paraku, hindele 3+(ja sedagi 10-pallisüsteemis )
Sellest hoolimata sain ma suurepäraselt aru, millised protsessid on ohtlikud-ohutud-mõttetud jne ning mis nendega peale hakata. Küsimus oli pigem (võimalik, et ebaterves) uudishimus, miks teatud sündmused minu kastis aset leiavad ja kust nad alguse saavad. Selles suhtes on HacaX-i eestikeelsed abitekstid mulle väga teretulnud.
Sinu antud link on ammu kasutusel - ennem, kui sa seda meile nina peale hõõruda jõudsid

[raul141]

weyx13, saksakeelne ka täitsa saadaval

[A2100]

Täitsa jama, nüüd tõmbasin küll endale hullema viiruse kaela. Ei saa lahti ka enam. HiJackThis-iga mitu korda üle käidud - pastetud sinna analüüsi kasti aga ikkagi on midagi mis jääb tal kahe silma vahele. Kõige suurem jama see, et proovin avada Task manageri, siis ütleb mulle: Task Manager has been disabled by your administrator. Oskate äkki öelda, kust saab seda kruttida, et ta jälle lubama hakkaks ning soovitage ka mõnda väga head programmi...

[raul141]

A2100, ot sa safe modes ikka kõike proovinud? ja administrator kontole vast mine,mul vähemalt kaks kontot on

[HacaX]

Omaette mõte on proovida mõne mitteadminni konto raames.
Ja HJTl ju endal task manager sisse ehitatud mis ei tohiks Winni omale alla jääda: Config=>Misc Tools=>Open process manager

[A2100]

Jah, nende teie nõuannatega kohe arvuti korras... Aint see üks ja sama probleem on veel: Ei luba Task Manageri avada, selle tahaks ka korda saada, see nagu jäi mingist viirusest maha aga nüüd ühtegi üleliigset processi ei tööta, seega tahaks selle kuskilt ära kruttida, et ikka see avaneks nüüd mulle - Mingeid takistusi ei ole..

Aap ja siis üks asi veel, kui viirus oli sees siis see muutis mu backround image ära, mingiks: Spyware detected jne...proovisin nüüd nagu nagu muuta taustapilti, aga see pole aktiivne - muuta ei saa midagi :S

[droz]

Factor, helista/maili parem oma kohalikule IT'le, ja softise antud asjad võid märkamata jätta, keerad seaded peeti

[Factor]

[droz]

ega sa printeri drivereid pole paigaldanud/muutnud ? ehk selles hoopis asi, et driver kalab
startupil käimatõmmatavatest asjadest anab veel väga hea ülevaate http://www.sysinternals.com/Utilities/Autoruns.html

[Factor]

[A2100]

Probleem siis selline, et alguses tuli miski väike viiruseuss mulle arvutisse sisse. Esmalt muutis ta desktop wallpaperi ära miskiks Spyware detected...blablabla. Proovisin kohe wallpaperit muuta, see kast aga kust seda muuta saab, oli muutunud mitteaktiivseks, seega muuta ei saanud. Sealt on näha, et arvuti kasutab desktopi pildiks mingi internet shortcut faili - nimeks desktop. Läksin kohe windowsi kausta ja otsisin selle faili üles ning leidsingi. Esimese asjana lasin kohe selle maha. Desktopi pilt muutus ühevärviliseks kuid pilti ikka muuta ei saanud. Jäi selline mulje et arvuti kasutas desktopi pildiks mingit internetis asuvat pilti, kui ma selle aga maha lasin siis seda pilit enam desktopil polnud. Lasin kõik HJT ja SpyBot-iga üle - ei leidnud midagi, kõik oli kombes. Peale seda avastasin ma veel, et ma ei saa Task Manageri avada, kust näiteks see sama viiruse process kinni panna saaks. Läksin siis HJT process manageri ja sealt nägin jällegi, et ühtegi kala sees ei ole. Praegu mulle tundub nii, et sain pool viirusest eemaldatud, kuid nn. "järelkajad" on veel jäänud, mis midagi halba ei tee.

Hetkel on nii, et kui arvuti käima panen siis tuleb algul welcome tekst nagu peakski siis tuleb nähtavale mu endine wallpaper, mis oli enne viiruse saabumist minu arvutisse. (Kusjuures siis ühtegi ikooni desktopil näha ei ole, näha on ainult alumine windowsi riba.) Siis läheb natuke aega (umbes 5-10 sekundit) kuni tuleb ühevärviline taust ning kõik ikoonid. Proovides avada Task Manageri, ütleb mulle: Task Manager has been disabled by you system administartor.

Oleksin väga tänulik, kui viitsiksite minu probleemi lahendada.

[HacaX]

Too pildiefekt peaks tingitud olema sellest, et esialgne pilt on Winnil veel "meeles" ja seetõttu kuvataksegi (ja kui hakatakse pildifaili otsima siis avastatakse, et seda polegi enam ja koristatakse "meenutus" ekraanilt). Kas *uuesti* taustapildi panemine ei aita? Omaette mõte oleks ka ajutiste failide mahalaskmine ja pagefile'i tühjendamine.
Siin on kirjeldatud 2 meetodit Task manageri ärakeelamiseks. Soovitaks mõlemad üle kontrollida, äkki pahalane aktiveeris neist ühe.

[A2100]

Nii kui tark mees arvuti taha lastakse nii ka temast väga palju abi väljub. Task Manager nüüd avaneb.

[RCC]

mina leian 75% sellest üleliigse
seega saaks 75% sellest välja rookida

[NooFear]

http://www.hijackthis.de/ abiks

[Azatris]

Teema on olemas, postitan siia, sest Silver?! soovitas seda.

Et siis on mul väike probleem... ma avastasin, et mul käib korraga mingi 40-50 processi. Et seda arvu vähendada, tegin ma HiJackThis-iga skänni, ainult et ma ei tea mida sealt listist peaks eemaldama.
Palun aidake!!! Kindlasti peaks jääma ühendus/internet/modem vms ja turvalisus...

Logfile of HijackThis v1.99.1
Scan saved at 23:14:42, on 4/22/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Messenger\msmsgs.exe
C:\program files\steam\steam.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\-Silver-\LOCALS~1\Temp\Rar$EX00.984\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neti.ee/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=1033
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: E&kspordi Microsoft Excelisse - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesuk.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesuk.dll
O9 - Extra button: Uurimistöö - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131434164850
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe



Oleks siis hea võimalikult palju... Tänan

[HacaX]

Esimene asi oleks tõesti Nortonist vabanemine (praegusest 36st aktiivsest protsessist on Nortoni omasid 9, ehk siis 1/4). Kas Steam, iPod, Messenger ning too PowerDVD vidin peavad kah automaatselt käivituma?

Need on suht mõttetud read millel erilist praktilist väärtust pole (s.t. vähemalt ise, peale seda kui olen HJT lahti pakkinud (mitte ei jooksuta otse arhiivist nagu sina pragu teed) ning sätetes tagavarakoopiate tegemise sisse lülitanud, laseks nad kustutada):

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe


Logitechi protsessid võiks kah üle vaadata, et kas neid tõesti on kõiki kogu aeg vaja (selle asemel et käivitada siis kui otsene vajadus tekib).

[Azatris]

[XsXn0]

Process File: jusched or jusched.exe
Process Name: Sun Java Update Scheduler

Description:
jusched.exe is a process installed alongside Sun Microsystem's Java2 suite and, and checks for/installs Java updates. This program is important for the stable and secure running of your computer and should not be terminated.