Stránka 1 z 1

Zvláštní procesy - log Hijackthis

Napsal: 12 zář 2007 20:24
od waterresist
Snad to nic neznamená ale jistota je jistota.

Instaloval jsem si program Eagle 4.16r2 a při jeho instalaci (jenom při ní, instalace se mi zdařila až na počtvrté(blokováno firewallem, ale aspon jsem přišel na tento problem a že se projevuje jen při instalaci tohoto programu) se spustilo několik procesů, viz. obrázek Obrázek
wowexec.exe bude normální windowsí proces obstarávající 16bitové a dosové aplikace(zjistil google), winoldap.mod jsem našel v PC hledáním, tváří se jako medialní soubor Nero Showtime ale program formát nepodporuje(to není nic zvláštního myslím, takových souborů mám ve složce windows a podsložkách požehnaně) poslední jsem nenašel jak v PC tak na google(tedy ne nic použitelného).

Po instalaci a spuštění programu se problem neprojevuje ale pro jistotu jsem PC vyčistil Ccleanerem. Dále jsem ho projel NoAdware5.0, Spybot SaD oba aktualizované dnes, ted projíždím PC AdAwarem1,06 SE taky dnes aktualizovaný tak dám vědět jak dopadne, no a nakonec jsem udělal log z HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 19:51:17, on 12.9.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Program Files\qipinfium9000\infium.exe
C:\Documents and Settings\Honza\My Documents\Programy\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 8215020203
O17 - HKLM\System\CCS\Services\Tcpip\..\{141D41D9-0C9C-4EF0-92CA-58295B123CAE}: NameServer = 193.165.222.254,193.165.192.9
O17 - HKLM\System\CS1\Services\Tcpip\..\{141D41D9-0C9C-4EF0-92CA-58295B123CAE}: NameServer = 193.165.222.254,193.165.192.9
O17 - HKLM\System\CS2\Services\Tcpip\..\{141D41D9-0C9C-4EF0-92CA-58295B123CAE}: NameServer = 193.165.222.254,193.165.192.9
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe[/quote]

testy

Napsal: 12 zář 2007 20:45
od waterresist
Tak AdAware nic nenašel(až na drobné ........) jo a koukám že jsem nenapsal jak dopadli ty ostatní testy- ani jeden nic nenašel, tak snad to nic nebude. Kdyby bylo něco ošklivýho v logu nebo někdo věděl co mají ty procesy znamenat dejte vědět.

Napsal: 13 zář 2007 05:43
od alias75
_isdel.exe
_isdel.exe je proces přidružený s InstallShield® z InstallShield Software Corporation.

winoldap.mod by neměl být nic špatného

Napsal: 13 zář 2007 12:50
od fredik
winoldap.mod se ti tváří dobře protože *.mod je hudební formát ale jinak ten soubor je toto:
Windows NT Non-Win16 application shell

Co se týče log z HJT ten je v pořádku, fixni drobnost:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

Poznámka:
Používáš starší verzi HijackThis, pokud by jsi někdy v budoucnu ho potřeboval, stáhni si aktuální verzi zde a tu starou před použitím vymaž.

Hijackthis

Napsal: 13 zář 2007 18:52
od waterresist
OK dík za ujištění.
BTW není ta nová verze ta co se musí instalovat?

Napsal: 13 zář 2007 20:14
od fredik
Na stránkách TrendSecure jsou tři verze, zabalená, instalace a přímo spustitelná. Odkaz daný je na tu přímo spustitelnou takže se bát nemusíš. :wink: