Proszę o analizę loga i pomoc
Proszę o analizę logu:
I mam następujący problem.
Otóź mam neostradę i zainstalowanego Kerio Personal Firewall i NAV2004 Prof.
Wczoraj formatowałam dysk i oczywiście przy połączeniu do internetu złapałam Sasser'a.
Na szczęście dzięki temu forum udało mi się go usunąć :D
Ale Wczoraj pojawił się problem. Po zmianie IP przez Neo, gdy wchodzę do netu, po paru chwilach nastepuje mega zwolnienie. Zwolnienie jest nawet gdy odłączę net i działam w plikach systemowych.
Gdy Ctrl+Alt+Delete to procek jest na 100% (teraz np.waha się 0–5%)
Moje podejrzenia to pliki z loga o nazwie "ssms.exe","videosd32.exe", "windbg.exe".
Są one w Kerio i najbardziej niepokoi mnie ten "videosd32.exe",bo jak rozwinę go w Kerio to mam ikonkę,źe to jest "połączenie nasłuchujące"(All:19959).
Proszę o pomoc i co mam z tym zrobić!
Juź bronię się jak mogę! Cały czas dopadają mnie rzeczy typu W32.KorgoV czy W32.Pinfi. Naszczęscie po formacie jestem na to uodporniona, więc NAV od razu je wykrywa i wywala.
P.S. Sorki,za długi post, ale mam nadzieję,źe Wam to pomoźe w rozwiązaniu mojego problemu.
Logfile of HijackThis v1.98.1
Scan saved at 11:46:49, on 2004–09–05
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesCommon FilesSymantec SharedccSetMgr.exe
C:Program FilesCommon FilesSymantec SharedccEvtMgr.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSSystem32cisvc.exe
C:Program FilesKerioPersonal Firewall 4kpf4ss.exe
C:Program FilesNorton AntiVirus avapsvc.exe
C:Program FilesNorton AntiVirusAdvToolsNPROTECT.EXE
C:Program FilesCommon FilesSymantec SharedCCPD–LCsymlcsvc.exe
C:WINDOWSSystem32Tablet.exe
C:Program FilesKerioPersonal Firewall 4kpf4gui.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesKerioPersonal Firewall 4kpf4gui.exe
C:Program FilesNorton AntiVirusSAVScan.exe
C:WINDOWSSystem32windbg.exe
C:Program FilesCommon FilesSymantec SharedccApp.exe
C:WINDOWSSystem32ssms.exe
C:WINDOWSSystem32winsys.exe
C:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
C:Program FilesWacomTabUserW.exe
C:WINDOWSSystem32videosd32.exe
C:Program FilesMessengermsmsgs.exe
C:Documents and SettingsRudaPulpithijackthisHijackThis.exe
R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.pl/
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 – BHO: AcroIEHlprObj Class – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0ReaderActiveXAcroIEHelper.dll
O2 – BHO: CCHelper – {0CF0B8EE–6596–11D5–A98E–0003470BB48E} – C:Program FilesPanicwarePop–Up Stopper CompanionCCHelper.dll
O2 – BHO: NAV Helper – {BDF3E430–B101–42AD–A544–FADC6B084872} – C:Program FilesNorton AntiVirusNavShExt.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O3 – Toolbar: Pop–Up Stopper &Companion – {8F05B1A8–9D77–4B8F–AF54–6B2202066F95} – C:Program FilesPanicwarePop–Up Stopper Companionpopupus.dll
O3 – Toolbar: Norton AntiVirus – {42CDD1BF–3FFB–4238–8AD1–7859DF00B1D6} – C:Program FilesNorton AntiVirusNavShExt.dll
O4 – HKLM..Run: [ccApp] "C:Program FilesCommon FilesSymantec SharedccApp.exe"
O4 – HKLM..Run: [Advanced Tools Check] C:PROGRA~1NORTON~1AdvToolsADVCHK.EXE
O4 – HKLM..Run: [System Update] C:WINDOWSSystem32fihykne.exe
O4 – HKLM..Run: [Windows Debugger] windbg.exe
O4 – HKLM..Run: [lsasss.exe] C:WINDOWSlsasss.exe
O4 – HKLM..Run: [WindowsRegKey update] winsys.exe
O4 – HKLM..Run: [Smss] ssms.exe
O4 – HKLM..Run: [Win32 Configuration] videosd32.exe
O4 – HKLM..RunServices: [Windows Debugger] windbg.exe
O4 – HKLM..RunServices: [WindowsRegKey update] winsys.exe
O4 – HKLM..RunServices: [Smss] ssms.exe
O4 – HKLM..RunServices: [Win32 Configuration] videosd32.exe
O4 – HKLM..RunOnce: [Windows Debugger] windbg.exe
O4 – HKLM..RunOnce: [Win32 Configuration] videosd32.exe
O4 – HKCU..Run: [Windows Debugger] windbg.exe
O4 – HKCU..Run: [Smss] ssms.exe
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [Win32 Configuration] videosd32.exe
O4 – HKCU..Run: [WindowsRegKey update] winsys.exe
O4 – HKCU..RunOnce: [Windows Debugger] windbg.exe
O4 – HKCU..RunOnce: [Win32 Configuration] videosd32.exe
O4 – Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
O4 – Global Startup: TabUserW.lnk = C:Program FilesWacomTabUserW.exe
O4 – Global Startup: Adobe Gamma Loader.lnk = C:Program FilesCommon FilesAdobeCalibrationAdobe Gamma Loader.exe
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 – Extra button: Badanie – {92780B25–18CC–41C8–B9BE–3C9C571A8263} – C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
I mam następujący problem.
Otóź mam neostradę i zainstalowanego Kerio Personal Firewall i NAV2004 Prof.
Wczoraj formatowałam dysk i oczywiście przy połączeniu do internetu złapałam Sasser'a.
Na szczęście dzięki temu forum udało mi się go usunąć :D
Ale Wczoraj pojawił się problem. Po zmianie IP przez Neo, gdy wchodzę do netu, po paru chwilach nastepuje mega zwolnienie. Zwolnienie jest nawet gdy odłączę net i działam w plikach systemowych.
Gdy Ctrl+Alt+Delete to procek jest na 100% (teraz np.waha się 0–5%)
Moje podejrzenia to pliki z loga o nazwie "ssms.exe","videosd32.exe", "windbg.exe".
Są one w Kerio i najbardziej niepokoi mnie ten "videosd32.exe",bo jak rozwinę go w Kerio to mam ikonkę,źe to jest "połączenie nasłuchujące"(All:19959).
Proszę o pomoc i co mam z tym zrobić!
Juź bronię się jak mogę! Cały czas dopadają mnie rzeczy typu W32.KorgoV czy W32.Pinfi. Naszczęscie po formacie jestem na to uodporniona, więc NAV od razu je wykrywa i wywala.
P.S. Sorki,za długi post, ale mam nadzieję,źe Wam to pomoźe w rozwiązaniu mojego problemu.
Odpowiedzi: 4
P.S. Co Ty sciagasz lub gdzie chodzisz ze masz co chwile problemy ?
Ja tylko mam Neostradę od kilku dni i włazi mi róźne badziewie (więc zabezpieczam się jak mogę)
W drugim kompie w innym mieście mam sieć osiedlową i o badziewie martwi się mój admin, tam mam tylko NAV'a
A wchodzę narazie na normalne strony (czyli wydające się na bezpieczne np. www.centrumxp.pl
Ale chyba to nie jest dla Was problem by mi pomóc? Jak obczaję sobie bardziej te sprawy wirusowo–robakowe to moźe będę rzadziej pytała Was o pomoc.
Lia:
natomiast pliki: "lsass.exe" i "ssms.exe" nie dały się usunąć, poniewaź "są w uźyciu...bla bla".
Nie lsass a lsasss (z 3–ma "s"). Lsass to rzeczywiscie plik systemowy a Ty masz sie pozbyc tego drugiego z potrojnym "s", jesli oczywiscie znajdziesz go na dysku. W Twoim logu widac go tylko w rejestrze. Zalacz pokazywanie plikow ukrytych i przeszukaj dysk.
Plik ssms.exe powinnas usunac, wylaczajac wczesniej taki proces w Task managerze. Jesli sie nie uda, uruchom komputer z plyty, wejdz do konsoli odzyskiwania i usun ten plik komenda:
del C:WINDOWSSystem32ssms.exe
To W32.Gismor
To winsys – http://www.pestpatrol.com/PestInfo/W/Win–Spy.asptylko (z procesów innych niz zwykle) "winsys.exe". Czy moźe to być?
i musisz sie tego pozbyc.
Po usunieciu wszystkiego mozesz podeslac log.
P.S. Co Ty sciagasz lub gdzie chodzisz ze masz co chwile problemy ?
Ok, zrobiłam jak poleciłeś.Dziękuję.
W trybie awaryjnym udało mi się usunąć TYLKO plik "winbp.exe" z katalogu C:WindowsSystem32, natomiast pliki: "lsass.exe" i "ssms.exe" nie dały się usunąć, poniewaź "są w uźyciu...bla bla".
Więc weszłam w msconfig i okazało się, źe są w autostarcie.
Przy próbach wyłączenia pojawił się komunikat, źe programy te to "krytyczne procesy systemu.Nie moźna usunąć".
Jeśli chodzi o aplikacje: fihykne.exe i videosd32.exe to juź ich nie ma.
Aktualnie w trybie normalnym w autostarcie nie działają źadne z wyźej wymienionych, tylko (z procesów innych niz zwykle) "winsys.exe". Czy moźe to być?
P.S. Przeprowadzony przed chwilą log wydaje się być normalny...wysłać go do analizy?
W trybie awaryjnym udało mi się usunąć TYLKO plik "winbp.exe" z katalogu C:WindowsSystem32, natomiast pliki: "lsass.exe" i "ssms.exe" nie dały się usunąć, poniewaź "są w uźyciu...bla bla".
Więc weszłam w msconfig i okazało się, źe są w autostarcie.
Przy próbach wyłączenia pojawił się komunikat, źe programy te to "krytyczne procesy systemu.Nie moźna usunąć".
Jeśli chodzi o aplikacje: fihykne.exe i videosd32.exe to juź ich nie ma.
Aktualnie w trybie normalnym w autostarcie nie działają źadne z wyźej wymienionych, tylko (z procesów innych niz zwykle) "winsys.exe". Czy moźe to być?
P.S. Przeprowadzony przed chwilą log wydaje się być normalny...wysłać go do analizy?
Pozbadz sie tego zarowno z loga jak i z dysku po wylaczeniu tych procesow. Moze potrzebny bedzie tryb awaryjny.C:WINDOWSSystem32ssms.exe
C:WINDOWSSystem32winsys.exe
C:WINDOWSSystem32videosd32.exe
O4 – HKLM..Run: [System Update] C:WINDOWSSystem32fihykne.exe
O4 – HKLM..Run: [lsasss.exe] C:WINDOWSlsasss.exe
O4 – HKLM..Run: [WindowsRegKey update] winsys.exe
O4 – HKLM..Run: [Smss] ssms.exe
O4 – HKLM..Run: [Win32 Configuration] videosd32.exe
O4 – HKLM..RunServices: [WindowsRegKey update] winsys.exe
O4 – HKLM..RunServices: [Smss] ssms.exe
O4 – HKLM..RunServices: [Win32 Configuration] videosd32.exe
O4 – HKLM..RunOnce: [Windows Debugger] windbg.exe
O4 – HKLM..RunOnce: [Win32 Configuration] videosd32.exe
O4 – HKCU..Run: [Smss] ssms.exe
O4 – HKCU..Run: [Win32 Configuration] videosd32.exe
O4 – HKCU..Run: [WindowsRegKey update] winsys.exe
O4 – HKCU..RunOnce: [Win32 Configuration] videosd32.exe
Strona 1 / 1