Prosím o radu ohledně Hijackthis
Dobrý den,
na jednom firemním počítači nejdoupsát písmenka s háčky (našel jsem zde na foru thread, který se podobá tomuto - řešením je vir, který pomocí Hijackthis odstranili, bohužel když jsem vytvořil log, tento vir tam nebyl). Další problém je, že na ppočítači přestal fungovat přístup k internetu - pomocívzdálené plochy se k němu připojím, ale prohlížení stránek nefunguje. Když jsem vložil log sem - cz moc z toho chytrý nejsem :/ Prosím o pomoc s diagnózou :/
p.s. na počítači je nainstalován Avast internet security, antispyware search and destroy, pravidelně se na něm dělají defragmentace, prohlížeč mozilla firefox
Předem moc děkuji za pomoc
log z hijackthis:
1/2
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:39:44, on 10.1.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17093)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\afwServ.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Firebird2\bin\fb_inet_server.exe
C:\Program Files\PCNetSoftware\RAC Server\RACs.exe
C:\Program Files\CyberPower PowerPanel Personal Edition\ppped.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ASUS\EPU-4 Engine\FourEngine.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\CyberPower PowerPanel Personal Edition\pppeuser.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
\Pospa\a pošta hojda\hijackthis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.seznam.cz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = fwlink
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = fwlink
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = fwlink
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = fwlink
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
2/2
O4 - HKLM\..\Run: [Six Engine] "C:\Program Files\ASUS\EPU-4 Engine\FourEngine.exe" -r
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PowerPanel Personal Edition User Interaction] "C:\Program Files\CyberPower PowerPanel Personal Edition\pppeuser.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {7B43048F-DA7A-458F-AF35-D825BDBB6816} (NetVideoOCX Control V2.2) - NetVideoOCX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{62FAAFFF-692C-4 E63-BBA4-C1978CE062FF}: NameServer = 192.168.2.1
O20 - Winlogon Notify: RACServerLogon - C:\WINDOWS\SYSTEM32\RACServerLogon2.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Firewall - AVAST Software - C:\Program Files\Alwil Software\Avast5\afwServ.exe
O23 - Service: avast! Mail Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - AVAST Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - C:\Program Files\Firebird2\bin\fb_inet_server.exe
O23 - Service: PCNetSoftware RAC Server - Andrea Paulu - C:\Program Files\PCNetSoftware\RAC Server\RACs.exe
O23 - Service: PowerPanel Personal Edition Service (ppped) - Unknown owner - C:\Program Files\CyberPower PowerPanel Personal Edition\ppped.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe
--
End of file - 5651 bytes
zbytečnosti:
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [PowerPanel Personal Edition User Interaction] "C:\Program Files\CyberPower PowerPanel Personal Edition\pppeuser.exe"
toto nikdy nikomu nepomohlo:
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
rovnou odinstalovávám z pc:
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
wtf?
O16 - DPF: {7B43048F-DA7A-458F-AF35-D825BDBB6816} (NetVideoOCX Control V2.2) - NetVideoOCX.cab
zamysli se jestli potřebuješ:
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - Firebird Project - C:\Program Files\Firebird2\bin\fb_inet_server.exe
O23 - Service: PCNetSoftware RAC Server - Andrea Paulu - C:\Program Files\PCNetSoftware\RAC Server\RACs.exe
O23 - Service: PowerPanel Personal Edition Service (ppped) - Unknown owner - C:\Program Files\CyberPower PowerPanel Personal Edition\ppped.exe
je to možná soft oficiálních firem, přesto není důvod aby to zbytečné běželo v ram, nebo fízlovalo hledání v ie:
C:\Program Files\Firebird2\bin\fb_inet_server.exe ... potřebuješ databázi?
C:\Program Files\PCNetSoftware\RAC Server\RACs.exe ... víš k čemu ho máš?
C:\Program Files\CyberPower PowerPanel Personal Edition\ppped.exe
R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\WidgiToolbarIE.dll
O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
děkuji za odpověď,
databázi potřebuji, používá ji Doprava 3k, kterou testuji. RAC server je na vzdálenou plochu, ten také využívám. Ten power panel, to netuším, to je asi nějaká hračka k desce? :) tu vypnu. Ty Tebou zvýrazněné toolbary odeberu pomocí hijackthis? Ale tyto prográmky nemají za důsledek to, že nejde internet, bude zakopaný pes jinde, viď? Ale netuším kde :/ Nastavení internetu je stále stejné, žádná proxy nastavená není, to jsem kontroloval a navíc je divné,že se k počítači přes vzdálenou plochu dostanu, ale www prohlížet přes něj nejde.
jo, mi pak došlo že to je pracovní pc a ta databáze je tam vědomně.
pokud o tom rac serveru víš, je to v pořádku. jde to pochopitelně doma zneužít pro neoprávněný přístup, ale ve fabrice to bývá ošetřeno právy.
toolbary zakážeš ve správě doplňků ie. nevím jestli to umí hjt vypnout, používám ho jen pro log pro přehled.
když ti jde místní lan ale nejde ti internet (přístup ven ze sítě), nemáš správně nastavenou bránu = adresu routeru, viz výpis: ipconfig -all
součástí dnešních antivirových balíků bývá často firewall. není na něj moc vidět, přitom se dá špatně nastavit že blokuje činnost dns, nebo žádoucí síťová spojení.
pokud je to jen ve webovém prohlížeči, způsobuje to často cizojazyčný vyhledávací doplněk (máš tam přehled tools co máš zakázat)
když to ale dělá ve všech aplikacích, je podezření na keylogger nebo rootkit který z běžícího systému antivirem vždy nezachytíš.
pak potřebuješ např. nabootovat z cd s antivirem, a tím proskenovat celý disk.
díky, zítra to zkusím. Problém je, že ten počítač funguje jako server , tak je obtížná jakákoliv práce na něm. Ale ještě jednou mockrát děkuji za pomoc, určitě se ozvu jak to dopadlo. Jinak jestli se mi to podaří vyčistit, je podle tebe Plná verze avast internet security dobrý nástroj na zabezpečení počítače? Licence brzy vyprší, tak jestli ji mám obnovovat či nikoliv
cokoliv co je aktualizované. konkrétně "Plnou verzi avast internet security" neznám, sám nepoužívám žádný antivir, jen v zaměstnání máme cosi korporátního - momentálně shitový mcafee.
u "internet security" se děsím že je kromě antiviru celý balík, který se možná neprůhledně montuje do něčeho co nemá. pokud nejsou konflikty s vámi použivanými softy, proč ne.
v práci rozhodují jiná kritéria než u domácí 1-licence a "jeden známý povídal".
pro zaměstnavatele je důležitá hromadná cena, bezproblémová dálková správa z jednoho místa, distribuce aktualizací na stanice v síti, zabezpečení lokálních instalací heslem správce proti vypnutí, rychlá centrální změna pravidel skenování pro všechny pc v síti.
a jestli nějaký antivir uspěje v nějakém žebříčku o místo výš, to není moc důležité.
jestli máte av jen na tomto jednom "serveru" a jste s ním spokojení, klidně ho používejte dále. v tom případě bych si dával bacha na každý balík, jehož součástí je jakýsi firewall. na druhou stranu moc nechápu, co má co server surfovat ven na internet. na to je dost jiných pc, jejichž možné zavirování neznamená výpadek pro celou síť.