Sniper Zverejnené 30. August, 2006 Zdieľať Zverejnené 30. August, 2006 Toto je nutrinkin log, čo mi poslala na analýzu. Sú tam trojani, idem sa na to pozrieť. Logfile of HijackThis v1.99.1 Scan saved at 11:45:16, on 30.8.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\MaxAntiSpyware\SDService.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\System32\nvraidservice.exe C:\Program Files\Eset\nod32kui.exe C:\WINDOWS\system32\Windowsfixsystem.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\MaxAntiSpyware\MASSystemTray.exe C:\Program Files\Microcom\ADSL DeskPorte USB\CnxDslTb.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\wbem\unsecapp.exe C:\Program Files\Winamp\winamp.exe C:\Program Files\ICQLite\ICQLite.exe c:\Program Files\HijackThis\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [Windows Update] Windowsfixsystem.exe O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SystemTrayMAS] C:\Program Files\MaxAntiSpyware\MASSystemTray.exe O4 - HKLM\..\Run: [MASAutoLiveupdate] C:\Program Files\MaxAntiSpyware\LiveUpdateMAS.exe -AUTO O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Microcom\ADSL DeskPorte USB\CnxDslTb.exe" "Microcom\ADSL DeskPorte USB" O4 - HKLM\..\RunServices: [Windows SRS Client] winsrs.exe O4 - HKLM\..\RunServices: [Windows Update] Windowsfixsystem.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Scan Spyware] "C:\Program Files\ScanSpyware v3.7\Scanner.exe" O4 - HKCU\..\RunServices: [Windows SRS Client] winsrs.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155642067437 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155642059015 O17 - HKLM\System\CCS\Services\Tcpip\..\{270605E2-491E-43BA-8BCD-3B2D6C09FBD8}: NameServer = 195.146.132.58 195.146.128.60 O20 - Winlogon Notify: SDNotify - C:\Program Files\MaxAntiSpyware\SDNotify.dll O23 - Service: MASService - Max Secure Software - C:\Program Files\MaxAntiSpyware\SDService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe Odkaz na príspevok Zdieľať na iných stránkach Ďalšie možnosti zdieľania...
Sniper Zverejnené 30. August, 2006 Autor Zdieľať Zverejnené 30. August, 2006 Vidím tam neznámy proces C:\Program Files\MaxAntiSpyware\SDService.exe na ten sú viazané aplikácie: O4 - HKLM\..\Run: [SystemTrayMAS] C:\Program Files\MaxAntiSpyware\MASSystemTray.exe O4 - HKLM\..\Run: [MASAutoLiveupdate] C:\Program Files\MaxAntiSpyware\LiveUpdateMAS.exe -AUTO O20 - Winlogon Notify: SDNotify - C:\Program Files\MaxAntiSpyware\SDNotify.dll O23 - Service: MASService - Max Secure Software - C:\Program Files\MaxAntiSpyware\SDService.exe OK, ale toto je v poriadku. Horšie je to s procesom: C:\WINDOWS\system32\Windowsfixsystem.exe podozrenie na Trojan.WindowsFixSystem.Process (Threat Level 8) Aplikácie: O4 - HKLM\..\Run: [Windows Update] Windowsfixsystem.exe O4 - HKLM\..\RunServices: [Windows Update] Windowsfixsystem.exe Ďalší: C:\WINDOWS\System32\wbem\unsecapp.exe Ten však by mal byť v poriadku. Ďalší: O4 - HKLM\..\RunServices: [Windows SRS Client] winsrs.exe O4 - HKCU\..\RunServices: [Windows SRS Client] winsrs.exe Podozrenie na červ W32/Rbot-BXQ alebo WORM_SDBOT.CPQ Odkaz na príspevok Zdieľať na iných stránkach Ďalšie možnosti zdieľania...
Sniper Zverejnené 30. August, 2006 Autor Zdieľať Zverejnené 30. August, 2006 OK skúsime to manuálne odstrániť, stratiť nemáš čo. Stlač CTRL+ALT+DEL a medzi procesmi ukonči procesy Windowsfixsystem.exe a winsrs.exe Potom choď do zložky C:\WINDOWS\system32\ nájdi tam súbor Windowsfixsystem.exe a zmaž ho. Ten winsrs.exe nikd nevidím kde by mohol byť, zatiaľ to necháme tak. Spusť HijackThis a zafajkni tieto hodnoty: O4 - HKLM\..\Run: [Windows Update] Windowsfixsystem.exe O4 - HKLM\..\RunServices: [Windows Update] Windowsfixsystem.exe O4 - HKLM\..\RunServices: [Windows SRS Client] winsrs.exe O4 - HKCU\..\RunServices: [Windows SRS Client] winsrs.exe a klikni na Fix Checked. Reštartni PC. Odkaz na príspevok Zdieľať na iných stránkach Ďalšie možnosti zdieľania...
Odporúčané príspevky
Vytvorte si účet alebo sa prihláste, aby ste mohli písať príspevky
Ak chcete odoslať príspevok, musíte byť členom
Vytvoriť konto
Zaregistrujte si nový účet v našej komunite. Je to ľahké!
Zaregistrovať si nové kontoPrihlásiť sa
Máte už konto? Prihláste sa tu.
Prihlásiť sa teraz