|
System - troijalainen? +hjt-loki
|
|
Junior Member
|
26. heinäkuuta 2005 @ 22:11 |
Linkki tähän viestiin
|
|
Asentelin Windowsin uudestaan ja katselin processlibrarysta mitä prosesseja mulla on päällä ja sen mukaan System - niminen prosessi on troijalainen.
Kokeilin sitten End Process Tree - komentoa, ja kone buuttasi itsensä. Ensin se herjasi että ei voi lopettaa ja sitten tuli ilmoituksia oikein satelemalla, jossain niistä mainittiin DCOM server process launcher. Buuttauksen jälkeen kaikki pikakuvakkeet Taskbarista oli hävinneet kuten myös address-bar ja se, että olin muuttanut sen kaksiriviseksi.
Tämän jälkeen netti oli poikki (niin tässä kanettavassa kuin pöytäkoneessakin), vaikka verkkoyhteydet näytti olevan muuten kunnossa. Otin verkkopiuhan vähäksi aikaa irti ja kun laitoin taas kiinni yhteys toimii.
Kyseinen System - prosessi kummittelee kuitenkin edelleen taustalla, enkä uskalla siihen enää omin päin mennä koskemaan. Tässä sen vuoksi HJT-loki.
Logfile of HijackThis v1.99.1
Scan saved at 1:58:25, on 27.7.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\Program Files\Atheros\ACU.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Messenger\msmsgs.exe
C:\hjt\HijackThis.exe
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
EDIT: Näyttäisi siltä että netti toimii vähän aikaa buuttauksen jälkeen ja ensin hidastuu, sitten katkeaa kokonaan (nyt on tosin hetken aikaa toiminut). Oli vaikeuksia päästä tännekin.
Windowsia asentaessa oli verkkopiuha irti eli siitä ei ole kiinni. Käytössä on Norton Antivirus 2005 ja Kerio Firewall. Kerion muuria käytän ensimmäistä kertaa, olisiko mahdollista että on jäänyt joku vitaali asetus valitsematta?
Kokeilin sen Systemin poistoa vikasietotilassakin ja sama homma: paljon ilmoituksia ja buuttaus n.minuutin sisään. Ja se siis näkyy kummassakin koneessa.
Lisäksi kun asensin Adawaren niin päivitysten haussa se jumittui 5%:n kohdalle, poistin sen hakeakseni kohta uuden, mutta tämä kaikki keskeytti. Nortonin skannaus ei löytänyt mitään ja Adaware safe modessa toisella koneella pari trackeria.
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 26. heinäkuuta 2005 @ 23:13
|
Senior Member
2 tuotearviota
|
27. heinäkuuta 2005 @ 06:20 |
Linkki tähän viestiin
|
|
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 27. heinäkuuta 2005 @ 08:26
|
Junior Member
|
27. heinäkuuta 2005 @ 08:18 |
Linkki tähän viestiin
|
|
Taskmanagerissa lukee ainoastaan System, ei System.exe. Meinaako se, että kyseessä ei olisikaan troijalainen? Joka tapauksessa en ole sitä ennen taskmanagerissa nähnyt.
Kokeilin F-Securen ja Trend Micron online skannauksia, mitään ei löytynyt. Myöskään XoftSpy ei löytänyt mitään.
|
Senior Member
2 tuotearviota
|
27. heinäkuuta 2005 @ 08:22 |
Linkki tähän viestiin
|
|
Viestiä on muokattu lähettämisen jälkeen. Viimeisin muokkaus 27. heinäkuuta 2005 @ 08:24
|
Junior Member
|
27. heinäkuuta 2005 @ 08:54 |
Linkki tähän viestiin
|
|
Ok, kiitos infosta, alkaa verenpaine tasaantua. Hain ProcessExplorerin, siitä pari kysymystä.
-Mistä tiedän mikä versio sopii omalle koneelleni? (32 vai 64 -bit?) Hain 32-bit -version.
-Kannattaako Taskmanager korvata sillä?
Ja miten saan Windows Messengerin pois taustalta pyörimästä? Kun tapan process treen niin kohta se taas tulee takaisin. Kokeilin joskus sen poistamistakin, mutta windows ei sallinut.
|
Senior Member
2 tuotearviota
|
27. heinäkuuta 2005 @ 09:00 |
Linkki tähän viestiin
|
Quote:
Ja miten saan Windows Messengerin pois taustalta pyörimästä? Kun tapan process treen niin kohta se taas tulee takaisin. Kokeilin joskus sen poistamistakin, mutta windows ei sallinut.
1. Jos olet asentanut MSN messgerin poista se ensin.
2. Mene lisää ja poista sovellukseen-> windows ohjelmat sieltä poistat Windows messengerin.
3. Asenna MSN messengerin (Jos tarvit sitä)
Quote:
-Mistä tiedän mikä versio sopii omalle koneelleni? (32 vai 64 -bit?) Hain 32-bit -version.
Jaa.. en tiedä :)
Quote:
Kannattaako Taskmanager korvata sillä?
Korvata? ainahan se Taskmanager on siellä.. Process Explorerila on helpompi katsoa mitä ne pyörivät ohjelmat ovat.
|
Junior Member
|
27. heinäkuuta 2005 @ 09:35 |
Linkki tähän viestiin
|
|
No niin, sain Windows Messengerin poistettua.
Process Explorerin optioneissa voi valita "replace task manager", sitä tarkoitin. Ja ihan normaalistihan se toimii: kun painaa ctrl-alt-del, avautuukin Process Explorer eikä Task Manager. Lieneekö sitten suurempaa käytännön hyötyä...
Versiosta: 32-bit toimii, joten eiköhän se ole oikea.
|
Senior Member
2 tuotearviota
|
27. heinäkuuta 2005 @ 09:43 |
Linkki tähän viestiin
|
Quote:
Process Explorerin optioneissa voi valita "replace task manager", sitä tarkoitin. Ja ihan normaalistihan se toimii: kun painaa ctrl-alt-del, avautuukin Process Explorer eikä Task Manager. Lieneekö sitten suurempaa käytännön hyötyä...
Ok.. ymmärsin pikkaisen väärin :) Eihän sillä kai mitään väliä ole. Riippuu ihan miten tykkää..
|
Senior Member
|
27. heinäkuuta 2005 @ 17:28 |
Linkki tähän viestiin
|
|
Hjt logi on puhdas.
|
|
Mainos
|
|
|
Junior Member
|
28. heinäkuuta 2005 @ 08:53 |
Linkki tähän viestiin
|
|
Hienoa, että joku jaksoi senkin vielä katsoa, vaikka ongelma oikeastaan olikin jo ratkennut. Ja onneksi mitään ei löytynyt.
Kiitokset molemmille.
|
