Skočiť na obsah

nutrinkin log


Sniper

Odporúčané príspevky

Toto je nutrinkin log, čo mi poslala na analýzu. Sú tam trojani, idem sa na to pozrieť.

 

Logfile of HijackThis v1.99.1
Scan saved at 11:45:16, on 30.8.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\MaxAntiSpyware\SDService.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\Windowsfixsystem.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\MaxAntiSpyware\MASSystemTray.exe
C:\Program Files\Microcom\ADSL DeskPorte USB\CnxDslTb.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\ICQLite\ICQLite.exe
c:\Program Files\HijackThis\HijackThis.exe

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Windows Update] Windowsfixsystem.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SystemTrayMAS] C:\Program Files\MaxAntiSpyware\MASSystemTray.exe
O4 - HKLM\..\Run: [MASAutoLiveupdate] C:\Program Files\MaxAntiSpyware\LiveUpdateMAS.exe -AUTO
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\Microcom\ADSL DeskPorte USB\CnxDslTb.exe" "Microcom\ADSL DeskPorte USB"
O4 - HKLM\..\RunServices: [Windows SRS Client] winsrs.exe
O4 - HKLM\..\RunServices: [Windows Update] Windowsfixsystem.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Scan Spyware] "C:\Program Files\ScanSpyware v3.7\Scanner.exe"
O4 - HKCU\..\RunServices: [Windows SRS Client] winsrs.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1155642067437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1155642059015
O17 - HKLM\System\CCS\Services\Tcpip\..\{270605E2-491E-43BA-8BCD-3B2D6C09FBD8}: NameServer = 195.146.132.58 195.146.128.60
O20 - Winlogon Notify: SDNotify - C:\Program Files\MaxAntiSpyware\SDNotify.dll
O23 - Service: MASService - Max Secure Software  - C:\Program Files\MaxAntiSpyware\SDService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Odkaz na príspevok
Zdieľať na iných stránkach

  • Odpovedí 2
  • Vytvorené
  • Posledná odpoveď

Top prispievatelia v tejto téme

  • Sniper

    3

Najaktívnejšie dni

Top prispievatelia v tejto téme

Najaktívnejšie dni

Vidím tam neznámy proces

 

C:\Program Files\MaxAntiSpyware\SDService.exe

 

na ten sú viazané aplikácie:

 

O4 - HKLM\..\Run: [SystemTrayMAS] C:\Program Files\MaxAntiSpyware\MASSystemTray.exe

O4 - HKLM\..\Run: [MASAutoLiveupdate] C:\Program Files\MaxAntiSpyware\LiveUpdateMAS.exe -AUTO

O20 - Winlogon Notify: SDNotify - C:\Program Files\MaxAntiSpyware\SDNotify.dll

O23 - Service: MASService - Max Secure Software - C:\Program Files\MaxAntiSpyware\SDService.exe

 

OK, ale toto je v poriadku.

 

 

Horšie je to s procesom:

 

C:\WINDOWS\system32\Windowsfixsystem.exe

 

podozrenie na Trojan.WindowsFixSystem.Process (Threat Level 8)

 

Aplikácie:

 

O4 - HKLM\..\Run: [Windows Update] Windowsfixsystem.exe

O4 - HKLM\..\RunServices: [Windows Update] Windowsfixsystem.exe

 

 

 

Ďalší:

 

C:\WINDOWS\System32\wbem\unsecapp.exe

 

Ten však by mal byť v poriadku.

 

 

Ďalší:

 

O4 - HKLM\..\RunServices: [Windows SRS Client] winsrs.exe

O4 - HKCU\..\RunServices: [Windows SRS Client] winsrs.exe

 

Podozrenie na červ W32/Rbot-BXQ alebo WORM_SDBOT.CPQ

Odkaz na príspevok
Zdieľať na iných stránkach

OK skúsime to manuálne odstrániť, stratiť nemáš čo.

 

Stlač CTRL+ALT+DEL a medzi procesmi ukonči procesy Windowsfixsystem.exe a winsrs.exe

 

Potom choď do zložky C:\WINDOWS\system32\ nájdi tam súbor Windowsfixsystem.exe a zmaž ho.

 

Ten winsrs.exe nikd nevidím kde by mohol byť, zatiaľ to necháme tak.

 

Spusť HijackThis

 

a zafajkni tieto hodnoty:

 

O4 - HKLM\..\Run: [Windows Update] Windowsfixsystem.exe

O4 - HKLM\..\RunServices: [Windows Update] Windowsfixsystem.exe

O4 - HKLM\..\RunServices: [Windows SRS Client] winsrs.exe

O4 - HKCU\..\RunServices: [Windows SRS Client] winsrs.exe

 

a klikni na Fix Checked.

 

Reštartni PC.

Odkaz na príspevok
Zdieľať na iných stránkach

Vytvorte si účet alebo sa prihláste, aby ste mohli písať príspevky

Ak chcete odoslať príspevok, musíte byť členom

Vytvoriť konto

Zaregistrujte si nový účet v našej komunite. Je to ľahké!

Zaregistrovať si nové konto

Prihlásiť sa

Máte už konto? Prihláste sa tu.

Prihlásiť sa teraz

×
×
  • Vytvoriť nové...

Dôležitá informácia

Táto stránka používa súbory cookies, pre zlepšenie používania stránok tohto webu. Pre viac informácií kliknite sem. Ďalšie informácie nájdete na stránke Zásady ochrany osobných údajov