[kamilake]

Tänud ette!
Logfile of HijackThis v1.99.0
Scan saved at 10:07:04 AM, on 12/30/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Program Files\Compaq\EAB\EabServr.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Sony Ericsson\Mobile\audevicemgr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntime.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\EPMWOR~1.EXE
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\Softimage\SOFT3D_4.0\mental_ray\bin\ray2Soft3D400server.exe
C:\Program Files\Remote Control\RCServer.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\N\Local Settings\Temp\Temporary Directory 2 for hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.yahoo.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program Files\NewDotNet\newdotnet6_38.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\System32\GoogleNav1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Program Files\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Disc Detector] C:\Program Files\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Phone Connection Monitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\System32\GoogleNav1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\System32\GoogleNav1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\System32\GoogleNav1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\System32\GoogleNav1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.creative.com
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://dm.screensavers.com/dm/installers/si/1/sinstaller.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {BAC01377-73DD-4796-854D-2A8997E3D68A} (Yahoo! Photos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_2us.cab
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Compaq Remote Diagnostics Enabling Agent - Compaq Computer Corporation - C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
O23 - Service: Creative Service for CDROM Access - Unknown - C:\WINDOWS\System32\CTSVCCDA.EXE (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Ray2soft3d400 Server - Unknown - C:\Softimage\SOFT3D_4.0\mental_ray\bin\ray2Soft3D400server.exe
O23 - Service: Remote Control Server - Unknown - C:\Program Files\Remote Control\RCServer.exe
O23 - Service: Symantec Network Drivers Service - Unknown - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Herr Kurm]

scanspyware on ostetud ja ma ise sellega v2ga rahul, kuna leidis ja suutis kahjutuks teha mitu pahalast, millest ma teadsin, et nad raudselt masinas on. Ja seda xfire asja ei maksa kahtlustada. See on täiesti puhas progeke.

kyssa kahh
mida annab lisaks päis?

tänud kahh

[kamilake]

to Hacax:Oletame, et laen selle LSP-fix-i ära ja püüan sest newdotnet-ist vabaneda ja kui juhul kaobki nett ära siis mismoodi seda LSP-fixi kasutada?
Kuidas siis netti taastada?

[HacaX]

Ütleme, et tõesti õnnestub nett ära kaotada... kasutamine ekstreemselt lihtne: lased käima, näitab sulle millised draiverid sul võrguga tegelevad ja milline neist puudulik on (s.t. mis on registris kirjas aga faili ei ole), paned linnukese "I know waht I'm doing" kasti, siis laseb sul probleemitseva draiveri valida, klõpsid ">>" nuppu nii et see liigutatakse Remove kasti, edasi Finish ja kustutabki registrist selle sissekande ning muudab automaatselt ülejäänute sissekandeid arvestades selle ühe kustutamist. Ja peakski asi funkama (asi ongi just nende ülejäänute kerges muutmises, kui seda ei tuleks teha siis võiks ka lihtsalt käsitsi registri kallale minna ja vajalik asi maha lasta).

Herr Kurm: päis näitaks mis versioon OSist/IEst/HJTst. Mitte just eluliselt vajalik info, aga siiski tuleb kasuks.

[kamilake]

kas LSP fix peab t6mbama arvutisse v6i v6ib ka cd peale lasta?
pakutakse ka eraldi mingit removal tool-i....additional uninstall utility available uninstall4_50.exe

[HacaX]

Kasutad eelajaloolist HJT versiooni (ehk maakeeli: hangi 1.99!), aga see LBBHO.DLL jubin ei ole mitte hea tegelane.

[Herr Kurm]

http://www.hijackthis.de/index.php
nagu hacax juba oma juhendis kirjutas, siin saad lasta oma logi analüüsida

[raal]

Tegelikult tahtsin öelda, et kasutaja HacaX peaks teenustasu võtma hakkama
Kuid seda tehes juhtus midagi millest aru ei saa.
Oskab öelda, mis kamm on, vajutan selle teema all reply ja antivir kukub kisama järgneva tekstiga O_o




C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\OPERA\OPERA7\PROFILE\CACHE4\OPR0MBTK.HTM

Contains signature of the HTML script virus HTML/Exploit.Mhtml

[rixk]

Hijackthis logifailide analüüsimiseks on tehtud selline koht: http://hijackthis.de/index.php

[sergeik]

Tere,
Mul üks mure millest ma ise jagu ei saa, nimelt SPYBOT leiab iga kord 3 samat asja mida ta parandab ja üks viga mida tema parandada ei saa asi asub WINDOWS kaustas ja niumeks SchedLgU.txt ? Ja kurat kustutasin safe modes ära ja restart ja asi on uuesti olemas?
Samas AdAware on ka peal ja tema ei räägi sellest asjast midagi.
Äkki tead mis see on?

Ja kuidas selle progress listi saab kätte vaataks selle ka endal?

[Rajareits]

sergeik, eks ta tuleb jah, Windowsi fail ju. Ju siis viirus sisse läinud või miskit? Mul ta 32 KB suur, SPYBOT ei röögi.
Mida mõtled "progress listi" all? Protsesse? See on ALT+CTRL+DEL ja lahte "Processes". Tema aga protsess olla ei saa, .txt fail ju.
Äkki saad nii terveks, et saadan Sulle selle faili, lähed "safe mode"'i ja sealt lased maha ja siis see asemele. Kui uuesti röögib, siis järelikult miski tekitab seda ja see vaja üles otsida. Edu!

[HacaX]

Nagu SB kodukalgi kirjas: tegu igati legaalse failiga, Task Scheduleri logifailiga (TS ju kogu aeg jookseb ja kasutab faili, seega ei saagi kustutada).
SB, muideks, ei väidagi et tegu on mingi pahalasega ja leidis IMO ainult siis kui sisse lülitatud tegutsemisjälgede (MRU nimekirjad ja muu säärane) kustutamine.
Kas keela Task Scheduleri jooksutamine ära või ela selle ühe failiga.

[sergeik]

Rajareits, Kuule provikss jah asendada, aga kuhu sa mulle saadad selle?
ALT+CTRL+DEL ma loomulikult tean, ma mõtlesin seda nimekirja mis siin teemas eelnevalt kõik saatsid ülevaatamisele, ja miu arust see ei olnud see mis ALT+CTRL+DEL Processesi all näitab?

[Rajareits]

sergeik, see on HiJackThis.
www.zone.ee/rajareits/sergeik.zip
Seal HiJackThis ja see fail sees. Leht kust kontrollida, võta siit: http://hijackthis.de/index.php

[sergeik]

Rajareits, Kuule aitäh selle HiJackThis-i eest väga hea asi, sai endal mõned asjad likvideeritud
Aga nüüd selle samuse SchedLgU.txt probleemiga, vahetasin sinu omaga ära ja ikka smama asi SPYBOT räägib et ei saa parandada. Tegin ka nii et Task Schadule lülitasin Startup-is välja ja siis SPYBOT sai temast jagu ütles et on parandatud, nii kui tagasi panin Sturtup-is Task Schadule jälle sama viga? Kas sa tead mis see Task Schadule üldse on kas seda on vaja või võib välja lülitada?
Aitäh sulle

[Rajareits]

[sergeik]

Rajareits, kuule vist ei kasuta seda Task Shedule, ok siis aitäh sulle, et viitsisid kaasa aidata!

[Ohakaoskar]

see 194.126.101.34 viitab elioni serverile ja ei tohiks kahtlane olla.

Need O10 ja O16 tõmbasin hijackthis progega maha.

[sergeik]

[Ohakaoskar]

[HacaX]

Kuule, sa kasutad ju eelajaloolist versiooni HJTst mis ei näita teenuseid ega midagi. Tiri viimane versioon (1.99.1) ja viska uus logi.

[sergeik]

[quote="Ohakaoskar"] tõmba siit: http://www.zone.ee/rajareits/sergeik.zip

[Mario.]

nope...ei ole täheldanud, et oleks kiiremaks muutunud.

[A2100]

[Mario.]

nvm....kus ma panen 200gb tähtsaid faile...ml pole tagavarakõvaketast.

[A2100]

[HDD]

Ehk on nagu lihtsam logid txt failina kuhugi yles panna ja link anda .. väga ebamugav on seda teemat kerida ...

[weyx13]

[HacaX]

Winni enda omad need. See DUMPREP lühidalt öeldes kirjutab crashi puhul kogu(?) mälu sisu faili (mõte on, et mõni arvutite low-level hingeeluga kursis olev patsiga vend saab siis vast välja uurida mis täpselt juhtus).
Ülejäänud read peaksid näitama, et IEle on piiranguid peale pandud (osad pahalased teevad seda, aga samamoodi võimaldavab ka näiteks SpyBot IEd natuke "kinnisemaks" kruvida et igaüks avalehte jms muutma ei pääseks).

[weyx13]

kas nad võisid tulla Spybot 1.4-ga kaasa?

[raul141]

weyx13, ma panen sis veelkorra selle aadressi siia HacaX, minuarust kuskil seda isegi mulle õpetas Pane logi sinna ja vastus ju olemas ja terve logi ,sa siin jupitad oma kahe kolme reaga. üsna hästi seletab ju

http://www.hijackthis.de/index.php#anl

[weyx13]

raul141,
minu inglise keel on, paraku, hindele 3+(ja sedagi 10-pallisüsteemis )
Sellest hoolimata sain ma suurepäraselt aru, millised protsessid on ohtlikud-ohutud-mõttetud jne ning mis nendega peale hakata. Küsimus oli pigem (võimalik, et ebaterves) uudishimus, miks teatud sündmused minu kastis aset leiavad ja kust nad alguse saavad. Selles suhtes on HacaX-i eestikeelsed abitekstid mulle väga teretulnud.
Sinu antud link on ammu kasutusel - ennem, kui sa seda meile nina peale hõõruda jõudsid

[raul141]

weyx13, saksakeelne ka täitsa saadaval

[A2100]

Täitsa jama, nüüd tõmbasin küll endale hullema viiruse kaela. Ei saa lahti ka enam. HiJackThis-iga mitu korda üle käidud - pastetud sinna analüüsi kasti aga ikkagi on midagi mis jääb tal kahe silma vahele. Kõige suurem jama see, et proovin avada Task manageri, siis ütleb mulle: Task Manager has been disabled by your administrator. Oskate äkki öelda, kust saab seda kruttida, et ta jälle lubama hakkaks ning soovitage ka mõnda väga head programmi...

[raul141]

A2100, ot sa safe modes ikka kõike proovinud? ja administrator kontole vast mine,mul vähemalt kaks kontot on

[HacaX]

Omaette mõte on proovida mõne mitteadminni konto raames.
Ja HJTl ju endal task manager sisse ehitatud mis ei tohiks Winni omale alla jääda: Config=>Misc Tools=>Open process manager

[A2100]

Jah, nende teie nõuannatega kohe arvuti korras... Aint see üks ja sama probleem on veel: Ei luba Task Manageri avada, selle tahaks ka korda saada, see nagu jäi mingist viirusest maha aga nüüd ühtegi üleliigset processi ei tööta, seega tahaks selle kuskilt ära kruttida, et ikka see avaneks nüüd mulle - Mingeid takistusi ei ole..

Aap ja siis üks asi veel, kui viirus oli sees siis see muutis mu backround image ära, mingiks: Spyware detected jne...proovisin nüüd nagu nagu muuta taustapilti, aga see pole aktiivne - muuta ei saa midagi :S

[droz]

Factor, helista/maili parem oma kohalikule IT'le, ja softise antud asjad võid märkamata jätta, keerad seaded peeti

[Factor]

[droz]

ega sa printeri drivereid pole paigaldanud/muutnud ? ehk selles hoopis asi, et driver kalab
startupil käimatõmmatavatest asjadest anab veel väga hea ülevaate http://www.sysinternals.com/Utilities/Autoruns.html

[Factor]

[A2100]

Probleem siis selline, et alguses tuli miski väike viiruseuss mulle arvutisse sisse. Esmalt muutis ta desktop wallpaperi ära miskiks Spyware detected...blablabla. Proovisin kohe wallpaperit muuta, see kast aga kust seda muuta saab, oli muutunud mitteaktiivseks, seega muuta ei saanud. Sealt on näha, et arvuti kasutab desktopi pildiks mingi internet shortcut faili - nimeks desktop. Läksin kohe windowsi kausta ja otsisin selle faili üles ning leidsingi. Esimese asjana lasin kohe selle maha. Desktopi pilt muutus ühevärviliseks kuid pilti ikka muuta ei saanud. Jäi selline mulje et arvuti kasutas desktopi pildiks mingit internetis asuvat pilti, kui ma selle aga maha lasin siis seda pilit enam desktopil polnud. Lasin kõik HJT ja SpyBot-iga üle - ei leidnud midagi, kõik oli kombes. Peale seda avastasin ma veel, et ma ei saa Task Manageri avada, kust näiteks see sama viiruse process kinni panna saaks. Läksin siis HJT process manageri ja sealt nägin jällegi, et ühtegi kala sees ei ole. Praegu mulle tundub nii, et sain pool viirusest eemaldatud, kuid nn. "järelkajad" on veel jäänud, mis midagi halba ei tee.

Hetkel on nii, et kui arvuti käima panen siis tuleb algul welcome tekst nagu peakski siis tuleb nähtavale mu endine wallpaper, mis oli enne viiruse saabumist minu arvutisse. (Kusjuures siis ühtegi ikooni desktopil näha ei ole, näha on ainult alumine windowsi riba.) Siis läheb natuke aega (umbes 5-10 sekundit) kuni tuleb ühevärviline taust ning kõik ikoonid. Proovides avada Task Manageri, ütleb mulle: Task Manager has been disabled by you system administartor.

Oleksin väga tänulik, kui viitsiksite minu probleemi lahendada.

[HacaX]

Too pildiefekt peaks tingitud olema sellest, et esialgne pilt on Winnil veel "meeles" ja seetõttu kuvataksegi (ja kui hakatakse pildifaili otsima siis avastatakse, et seda polegi enam ja koristatakse "meenutus" ekraanilt). Kas *uuesti* taustapildi panemine ei aita? Omaette mõte oleks ka ajutiste failide mahalaskmine ja pagefile'i tühjendamine.
Siin on kirjeldatud 2 meetodit Task manageri ärakeelamiseks. Soovitaks mõlemad üle kontrollida, äkki pahalane aktiveeris neist ühe.

[A2100]

Nii kui tark mees arvuti taha lastakse nii ka temast väga palju abi väljub. Task Manager nüüd avaneb.

[RCC]

mina leian 75% sellest üleliigse
seega saaks 75% sellest välja rookida

[NooFear]

http://www.hijackthis.de/ abiks

[Azatris]

Teema on olemas, postitan siia, sest Silver?! soovitas seda.

Et siis on mul väike probleem... ma avastasin, et mul käib korraga mingi 40-50 processi. Et seda arvu vähendada, tegin ma HiJackThis-iga skänni, ainult et ma ei tea mida sealt listist peaks eemaldama.
Palun aidake!!! Kindlasti peaks jääma ühendus/internet/modem vms ja turvalisus...

Logfile of HijackThis v1.99.1
Scan saved at 23:14:42, on 4/22/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Norton Internet Security\ISSVC.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Logitech\Video\LogiTray.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Messenger\msmsgs.exe
C:\program files\steam\steam.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Logitech\Video\FxSvr2.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\-Silver-\LOCALS~1\Temp\Rar$EX00.984\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neti.ee/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=1033
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O8 - Extra context menu item: Download All by FlashGet - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: E&kspordi Microsoft Excelisse - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesuk.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesuk.dll
O9 - Extra button: Uurimistöö - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131434164850
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe



Oleks siis hea võimalikult palju... Tänan

[HacaX]

Esimene asi oleks tõesti Nortonist vabanemine (praegusest 36st aktiivsest protsessist on Nortoni omasid 9, ehk siis 1/4). Kas Steam, iPod, Messenger ning too PowerDVD vidin peavad kah automaatselt käivituma?

Need on suht mõttetud read millel erilist praktilist väärtust pole (s.t. vähemalt ise, peale seda kui olen HJT lahti pakkinud (mitte ei jooksuta otse arhiivist nagu sina pragu teed) ning sätetes tagavarakoopiate tegemise sisse lülitanud, laseks nad kustutada):

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\K-Lite Codec Pack\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe


Logitechi protsessid võiks kah üle vaadata, et kas neid tõesti on kõiki kogu aeg vaja (selle asemel et käivitada siis kui otsene vajadus tekib).

[Azatris]

[XsXn0]

Process File: jusched or jusched.exe
Process Name: Sun Java Update Scheduler

Description:
jusched.exe is a process installed alongside Sun Microsystem's Java2 suite and, and checks for/installs Java updates. This program is important for the stable and secure running of your computer and should not be terminated.