problém s MSIE a asi i JAVOU - Kontrola HT

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

Uživatelský avatar
besst
Level 2.5
Level 2.5
Příspěvky: 386
Registrován: březen 05
Bydliště: Severozápad
Pohlaví: Nespecifikováno
Stav:
Offline
Kontakt:

problém s MSIE a asi i JAVOU - Kontrola HT

Příspěvekod besst » 25 bře 2006 16:59

ahoj, v poslední době mi nepracuje internet tak jak by měl... některé stránky jdou načíst se všemi obrázky a texty normálně, ale u některých se mi nezobrazí nic a dole mi to píše HOTOVO (třeba housecall online scan, nebo některý chatovací místnosti)... u ISOHUNT se mi třeba vůbec nezobrazí vyhledané torrenty, přitom stránka se načte celá...
používám MS Internet Explorer.. můj názor je že to bude zřejmě něco s Javou, ale nevím jak na nastavení, používám nejaktuálnější verze
a ještě něco, když chci zakázat po spuštění pomocí příkazu msconfig messenger, tak po restartování ho tam mám znovu. to samé i třeba s prográmkem "jusched"

proto příkládám log, jestli z něj někdo něco nevyčte:

Logfile of HijackThis v1.99.1
Scan saved at 16:49:25, on 25.3.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kerio\WinRoute Firewall\wrctrl.exe
C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Kerio\WinRoute Firewall\winroute.exe
C:\Program Files\Kerio\WinRoute Firewall\avServer.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Documents and Settings\Joe\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WrCtrl] "C:\Program Files\Kerio\WinRoute Firewall\wrctrl.exe"
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\LAVASOFT\AD-AWA~1\Ad-Watch.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 0274441875
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.c ... hcImpl.cab
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Kerio WinRoute Firewall (WinRoute) - Kerio Technologies - C:\Program Files\Kerio\WinRoute Firewall\winroute.exe

zde je i výledek scanování od MWAV:

Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "limewire Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "family keylogger Commercial KeyLogger" found in File System! Action Taken: No Action Taken.
File E:\System Volume Information\_restore{981ABC5E-2BD6-4DA5-8E8E-A221AEF6127D}\RP12\A0006554.exe infected by "Trojan-Dropper.Win32.Agent.ahi" Virus! Action Taken: No Action Taken.


za jakýkoliv řešení předem děkuju

Reklama
Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 25 bře 2006 18:38

Takže ty výsledky z MWAVu vyřešít tím, že vypneš obnovu systému, restartuješ a znovu ji zapneš. Tím se ten virus zlikviduje. Jinak v logu:

Nejdříve zkontroluj tento soubor na Jottiscanu:
C:\Program Files\Kerio\WinRoute Firewall\avServer.exe - pod stejným názvem se ukrývá i červ Sasser, ale i soubor Avastu. Takže ať víme, ne čem jsme.
Limewire má něco v sobě - proskenuj jeho exe soubory a dll knihovny na Jottiscanu.

Jinak nevím, k čemu máš tohle:
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab.cab - stáhl jsem si to a otestoval - je to čisté, ale activeX prvek ti může dělat ty problémy s netem. Jestli to nepotřebuješ, tak fixni a vymaž.

Na messenger mám v podpisu návod na jeho likvidaci.

Ten zbytek problémů bude v nastavení IE, ale raději si dej Firefox nebo Operu.

Uživatelský avatar
besst
Level 2.5
Level 2.5
Příspěvky: 386
Registrován: březen 05
Bydliště: Severozápad
Pohlaví: Nespecifikováno
Stav:
Offline
Kontakt:

Příspěvekod besst » 25 bře 2006 19:02

no ten system requirements já online nástroj, který mi orientačně zjistí, jestli si mohu zahrát s mým HW tu či onu hru.. ale není nutný tak jsem ho fixnul, vypnul restartoval a zapnul obnovení - jedna část je teda hotová...

ale zakopanej pes bude možná tady:
při kontrole na Jotti scan dám ověřit ten soubor AvServer, dle tvých rad, jenže stránka se zastaví na scanning - wait! a dál už nic, nemůžu zjistit výsledky... dál se to prostě nehne (jako třeba i trendmicro pages)

"Warning: you seem to have javascript disabled. This is necessary for the display of results - tak tohle mi to píše(znamená to, že se zdá, že mám znemožněn JavaScript - který je nutný aby se mi zobrazili výsledky....." - jak na to?

takže ani nemůžu zjistit co je co (mimochodem ani smajlíky nemůžu vložit do příspěvku)!!!!

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 25 bře 2006 19:15

Jak je ten soubor velký - jestli má přes 10 mega, tak to neuploaduje a zastaví se, jestli má méně, tak potom taky můžeš čekat i půl hodiny, podle rychlosti připojení a velikosti toho souboru.
Ale jak říkáš, může to být i tou vypnutou Javou. Nainstalij si Firefox - otázka 5 minut - a můžeš i Javu povolit a nainstalovat - je to o moc bezpečnější. V IE bych na Javu nešel! Možná zkusit povolit pro ten moment - Možnosti internetu - Zabezpečení - Vlastní úroveň - Nastavení zabezpečení - Tam bys měl povolit Javascripty a ActiveX a potom (po skončení skenování) zase vrátit původní (výchozí) úroveň.
Ale říkám, raději běž do alternativního browseru.

Uživatelský avatar
besst
Level 2.5
Level 2.5
Příspěvky: 386
Registrován: březen 05
Bydliště: Severozápad
Pohlaví: Nespecifikováno
Stav:
Offline
Kontakt:

Příspěvekod besst » 25 bře 2006 19:38

ten avserver je kolem 98 kB tady ani ve velikosti by chyba být neměla... bude to určitě ta JAVA... no budu muset zkusit ohnivou lišku s JAVOU

jinak dal jsem v zabezpečení vše povolit ale jotti scan a všechny netové stránky, které maj podporovanej ten jazyk se chovaj úplně stejně! a navíc nechápu, jakto že nemůžu vkládat smajlíky (a ani na chatu)!!
to má asi taky něco společnýho s tou Javou...

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 25 bře 2006 19:54

Zkus ten Firefox. Nejsou s ním žádné problémy a můžeš tam přímo Povolit Javu. Jinak jsem našel ještě další Avserver. Potom chudák virus neví do kterého se má schovat. :D

Uživatelský avatar
besst
Level 2.5
Level 2.5
Příspěvky: 386
Registrován: březen 05
Bydliště: Severozápad
Pohlaví: Nespecifikováno
Stav:
Offline
Kontakt:

Příspěvekod besst » 25 bře 2006 20:40

tak je to super... po instalaci Firefoxu mi už všechno šlape... akorát nevíte někdo jak odinstalovat ten Internet Explorer? :evil: nějak mi už nesedí!

Uživatelský avatar
mijaja
Tvůrce článků
Level 6.5
Level 6.5
Příspěvky: 4136
Registrován: září 05
Bydliště: Zlín
Pohlaví: Muž
Stav:
Offline
Kontakt:

Příspěvekod mijaja » 25 bře 2006 21:00

Nastav si ve FF, aby byl jako výchozí prohlížeč. IE nechej, protože bys neměl automatické updaty, a některé On-line AV také jedou jen přes IE. Jak dopadl Jotti?

Návštěvník
Pohlaví: Nespecifikováno

Příspěvekod Návštěvník » 25 bře 2006 21:12

jo vidíš...v tom Jottiscanu mi to nic nenašlo vše je čisté....
ale proč jsem si nainstaloval zkušební 30ti denní verzi Kerio WinRoute 6 jako firewall? protože jsem měl problémy a s Outpostem, při startu mi psal že" VBScript cannot be created" neboli že nemůže vytvořit VBScript (a to byl firewall stažen jako zkušební verze z oficiálních stránek)

poté začli ty problémy (asi to fakt byla ta JAVA v IE), tak jsem se bál, že to má nějakou návaznost na zranitelnost systému (nOutpost nešel vůbec aktualizovat) a proto jsem přešel na (opět) 30tidenní verzi Keria, v kombinaci s NODEM32, kde jsem ale kvůli kompatibilitě musel zakázat InternetovéMONitorování..

Uživatelský avatar
besst
Level 2.5
Level 2.5
Příspěvky: 386
Registrován: březen 05
Bydliště: Severozápad
Pohlaví: Nespecifikováno
Stav:
Offline
Kontakt:

Příspěvekod besst » 25 bře 2006 21:13

ten anonymní jsem já, koukám :shock:


Návštěvník
Pohlaví: Nespecifikováno

Příspěvekod Návštěvník » 25 bře 2006 21:38

s Javou už problémy nemám - naštěstí :wink:
te´d akorát zbývá vyřešit ten Outpost protože mi to pořád píše cannot create VBScript... vůbec se to kvůli tomu neaktualizuje....
takže pokud bude někdo vědět jak to zpravit (třeba je někde nějakej opravnej patch...) tak ať se ozve... jinak díky za pomoc Mijajo


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 4 hosti