Nový vir? Po startu XP to mluví z repro jak čínsky.

ka-spel · Příspěvek od **ka-spel** » úte 3. kvě 2005, 12:21

Nevíte jestli to není nějaký nový vir? Poslední dobou mi připadá pc nějaký pomalý. Mám AVG - aktualizované, Kerio, jsem za linux routrem, provedl jsem test na Symantecu - nalezen akorát jeden špeh, v Spybotu nic. Po startu pc - pokud nechám zaplé repro to začne jakoby mluvit čínsky (nějaké dvě tři slova - pořád stejná). Jinak též v poslední době přestal fungovat přehrávač DVD WinDVD od Intervidea (OEM k základní desce). Po vložení DVD se sice spustí, ale při kliknutí na přehrát spadne.

Příspěvek od **zombux** » úte 3. kvě 2005, 12:23

HijackThis log sem

ka-spel · Příspěvek od **ka-spel** » úte 3. kvě 2005, 12:25

zombux píše:HijackThis log sem

Myslíš tím log z Hijack?

Příspěvek od **zombux** » úte 3. kvě 2005, 12:27

ka-spel · Příspěvek od **ka-spel** » úte 3. kvě 2005, 12:35

Tady je:

Logfile of HijackThis v1.99.1
Scan saved at 12:31:53, on 3.5.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Motherboard Monitor 5\MBM5.EXE
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\windows\SOUNDMAN.EXE
C:\windows\system32\ctfmon.exe
C:\windows\system32\svchost.exe
C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\BOINC\boinc_gui.exe
C:\Program Files\FirefoxPreloader\FirefoxPreloader.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\BOINC\projects\climateprediction.net\hadsm3_4.12_windows_intelx86.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Psi\psi.exe
C:\Program Files\BOINC\projects\predictor1.scripps.edu\mfoldB125_4.28_windows_intelx86.exe
C:\Program Files\BOINC\projects\climateprediction.net\hadsm3um_4.12_windows_intelx86.exe
C:\Program Files\DC++\DCPlusPlus.exe
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Xi\NetTransport 2\NetTransport.exe
C:\Program Files\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\windows\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [Trunk32] Trunk32.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Program Files\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Miranda IM.lnk = C:\Program Files\Miranda IM\miranda32.exe
O4 - Startup: Psi.lnk = C:\Program Files\Psi\psi.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BOINC.lnk = C:\Program Files\BOINC\boinc_gui.exe
O4 - Global Startup: Firefox Preloader.lnk = C:\Program Files\FirefoxPreloader\FirefoxPreloader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Stáhnout pomocí Net Transportu - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Stáhnout vše pomocí &Net Transportu - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 ... scan53.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kp

Jinak dělal jsem i jiné online testy a nic.

ka-spel · Příspěvek od **ka-spel** » úte 3. kvě 2005, 12:36

Nevíš co je ten Trunk?

Příspěvek od **zombux** » úte 3. kvě 2005, 12:42

mě se nelíbí tohle:

SOUNDMAN.EXE
BOINC.EXE
PSI.EXE

tohle je co?

ka-spel · Příspěvek od **ka-spel** » úte 3. kvě 2005, 12:50

zombux píše:mě se nelíbí tohle:

SOUNDMAN.EXE
BOINC.EXE
PSI.EXE

tohle je co?

SOUNDMAN.EXE by mohlo mít něco společného s panelem od Realtecu ALC850

BOINC.EXE jsou distribuované výpočty (nástupce Seti atd.) - s tím problémy nikdy nebyli, kromě vytěžování systému a zabrání 100 % výkonu hned po startu. Např. pro spuštění Nera je to nutné celé shodit jinak se nespustí.

PSI.EXE je jabber klient.

Slezman · Příspěvek od **Slezman** » úte 3. kvě 2005, 12:52

ten soundman fakt patri k te zvukovce

ka-spel · Příspěvek od **ka-spel** » úte 3. kvě 2005, 12:58

Jestli nějak se mi podaří ten zvuk nahrát tak rád zveřejním. Už mě to straší víc jak měsíc.

Lemra · Příspěvek od **Lemra** » úte 3. kvě 2005, 15:51

Až na ten Trunk (vypadá na nějakej keylogger - zpomalovat PC by Ti to mohlo, zkus ho deaktivovat) ten log vypadá OK.

A k tomu čínskýmu zvuku - nemáš v BIOSu aktivovanou tu nesmyslnou ASUSí featurku, kterou se Ti deska snaží sdělit cosi, co by jinak sdělila pípnutím?

ka-spel · Příspěvek od **ka-spel** » úte 3. kvě 2005, 20:19

Lemra píše:Až na ten Trunk (vypadá na nějakej keylogger - zpomalovat PC by Ti to mohlo, zkus ho deaktivovat) ten log vypadá OK.

A k tomu čínskýmu zvuku - nemáš v BIOSu aktivovanou tu nesmyslnou ASUSí featurku, kterou se Ti deska snaží sdělit cosi, co by jinak sdělila pípnutím?

Jak se to jmenuje v tom Biosu? No od Asuse jsem instaloval jen AIBooster - ale nefachčilo a tak jsem ho odinstaloval, stejně tak jsem krátce použil asusupdate na přeflešování biosu. Jediné co by mohlo něco mluvit mě napadá motherboard monitor.

Shit · Příspěvek od **Shit** » stř 4. kvě 2005, 00:04

Asus .... něco ....reporter @ na disable

ka-spel · Příspěvek od **ka-spel** » stř 4. kvě 2005, 08:15

Lemra píše:Až na ten Trunk (vypadá na nějakej keylogger - zpomalovat PC by Ti to mohlo, zkus ho deaktivovat) ten log vypadá OK.

Měl si pravdu. Ten online test symantecu mi vyhodil, že to našlo špeha, ale popis byl spíš obecny. Teď když jsem dal vyhledat trunk32.exe, tak mi to hned našlo

http://securityresponse.symantec.com/av ... buddy.html

a je to SpyBuddy - ten jsem před časem zkoušel trial, ale asi jsem ho úplně neodinstaloval.

ka-spel · Příspěvek od **ka-spel** » úte 31. kvě 2005, 23:36

Už jsme na to přišel. S největší pravděpodobností zvukové výstupy Mirandy

ka-spel · Příspěvek od **ka-spel** » čtv 27. říj 2005, 08:45

ka-spel píše:Už jsme na to přišel. S největší pravděpodobností zvukové výstupy Mirandy

Tak Mirandou to není.

Diskutoval jsem to s prodejcem a jedná se o nějaký úvodní pozdrav od výrobce desky. Bohužel nevím, kde to vypnout v biosu. Bylo mi řečeno, že u některých desek to prostě nejde. Vždy když při startu zapomenu zapnuté bedny, tak se celkem leknu co to mám v bytě za asiaty.

fanik · Příspěvek od **fanik** » čtv 27. říj 2005, 09:36

sice jsem ho nikde v logu nevidel.... ale na memluvi ICQ pri spusteni japonsky =)))

Don Martinez

ka-spel píše:Tak Mirandou to není. Diskutoval jsem to s prodejcem a jedná se o nějaký úvodní pozdrav od výrobce desky. Bohužel nevím, kde to vypnout v biosu. Bylo mi řečeno, že u některých desek to prostě nejde. Vždy když při startu zapomenu zapnuté bedny, tak se celkem leknu co to mám v bytě za asiaty.

Pokud vim tak na CD od desky by mela byt utilitka, ktera dokaze menit jazyk toho pozdravu (aspon neco) - ja tam mam defaultne anglictinu. IMHO se to jmenuje Asus POST Reporter (ale ruku do ohne bych za to nedal).

ka-spel · Příspěvek od **ka-spel** » čtv 27. říj 2005, 11:04

Don Martinez píše:Pokud vim tak na CD od desky by mela byt utilitka, ktera dokaze menit jazyk toho pozdravu (aspon neco) - ja tam mam defaultne anglictinu. IMHO se to jmenuje Asus POST Reporter (ale ruku do ohne bych za to nedal).

To bude ono. Myslím, že tou utilitkou jde změnit i vzhled úvodního okna při startu (logo Asus). Jde ten jazyk jen měnit nebo lze i vypnout?

Don Martinez

ka-spel píše:To bude ono. Myslím, že tou utilitkou jde změnit i vzhled úvodního okna při startu (logo Asus). Jde ten jazyk jen měnit nebo lze i vypnout?

Ta utilitka aspon u me (spis rodicu) desky (Asus A7N8X-E Deluxe) se jmenuje Winbond Voice Editor ale abych pravdu rekl, nikdy jsem do ni nelezl a nic nenastavoval (proste to odjakziva mluvi anglicky) takže ti s tim moc neporadim - vic podrobnosti bys mel najit v manualu...