Asentelin Windowsin uudestaan ja katselin processlibrarysta mitä prosesseja mulla on päällä ja sen mukaan System - niminen prosessi on troijalainen. Kokeilin sitten End Process Tree - komentoa, ja kone buuttasi itsensä. Ensin se herjasi että ei voi lopettaa ja sitten tuli ilmoituksia oikein satelemalla, jossain niistä mainittiin DCOM server process launcher. Buuttauksen jälkeen kaikki pikakuvakkeet Taskbarista oli hävinneet kuten myös address-bar ja se, että olin muuttanut sen kaksiriviseksi. Tämän jälkeen netti oli poikki (niin tässä kanettavassa kuin pöytäkoneessakin), vaikka verkkoyhteydet näytti olevan muuten kunnossa. Otin verkkopiuhan vähäksi aikaa irti ja kun laitoin taas kiinni yhteys toimii. Kyseinen System - prosessi kummittelee kuitenkin edelleen taustalla, enkä uskalla siihen enää omin päin mennä koskemaan. Tässä sen vuoksi HJT-loki. Logfile of HijackThis v1.99.1 Scan saved at 1:58:25, on 27.7.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\WLTRAY.exe C:\Program Files\Atheros\ACU.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Messenger\msmsgs.exe C:\hjt\HijackThis.exe O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe EDIT: Näyttäisi siltä että netti toimii vähän aikaa buuttauksen jälkeen ja ensin hidastuu, sitten katkeaa kokonaan (nyt on tosin hetken aikaa toiminut). Oli vaikeuksia päästä tännekin. Windowsia asentaessa oli verkkopiuha irti eli siitä ei ole kiinni. Käytössä on Norton Antivirus 2005 ja Kerio Firewall. Kerion muuria käytän ensimmäistä kertaa, olisiko mahdollista että on jäänyt joku vitaali asetus valitsematta? Kokeilin sen Systemin poistoa vikasietotilassakin ja sama homma: paljon ilmoituksia ja buuttaus n.minuutin sisään. Ja se siis näkyy kummassakin koneessa. Lisäksi kun asensin Adawaren niin päivitysten haussa se jumittui 5%:n kohdalle, poistin sen hakeakseni kohta uuden, mutta tämä kaikki keskeytti. Nortonin skannaus ei löytänyt mitään ja Adaware safe modessa toisella koneella pari trackeria.
1. Eli lukeeko taskmanagerissa system.exe? 2. kyseessä voi olla Trojan.Mitglieder.B. 3. Tällä pystyt poistaa -> http://labs.paretologic.com/spyware.aspx?remove=Trojan.Mitglieder.B 4. Voit myös kokeilla A2 free -> http://www.emsisoft.com/en/software/free/ 5. Kokeile vielä Online virus skannauksella löytyy täältä -> http://keskustelu.afterdawn.com/thread_view.cfm/162275 EDIT typot..
Taskmanagerissa lukee ainoastaan System, ei System.exe. Meinaako se, että kyseessä ei olisikaan troijalainen? Joka tapauksessa en ole sitä ennen taskmanagerissa nähnyt. Kokeilin F-Securen ja Trend Micron online skannauksia, mitään ei löytynyt. Myöskään XoftSpy ei löytänyt mitään.
System ei ole trojalainen mutta system.exe on. Mutta odotetaan että joku katsoo login läpi kun en itse osaa... EDIT: Tällä pysty vielä katsomaan niitä prosesseja Process Explorer http://www.sysinternals.com/Utilities/ProcessExplorer.html
Ok, kiitos infosta, alkaa verenpaine tasaantua. Hain ProcessExplorerin, siitä pari kysymystä. -Mistä tiedän mikä versio sopii omalle koneelleni? (32 vai 64 -bit?) Hain 32-bit -version. -Kannattaako Taskmanager korvata sillä? Ja miten saan Windows Messengerin pois taustalta pyörimästä? Kun tapan process treen niin kohta se taas tulee takaisin. Kokeilin joskus sen poistamistakin, mutta windows ei sallinut.
1. Jos olet asentanut MSN messgerin poista se ensin. 2. Mene lisää ja poista sovellukseen-> windows ohjelmat sieltä poistat Windows messengerin. 3. Asenna MSN messengerin (Jos tarvit sitä) Jaa.. en tiedä Korvata? ainahan se Taskmanager on siellä.. Process Explorerila on helpompi katsoa mitä ne pyörivät ohjelmat ovat.
No niin, sain Windows Messengerin poistettua. Process Explorerin optioneissa voi valita "replace task manager", sitä tarkoitin. Ja ihan normaalistihan se toimii: kun painaa ctrl-alt-del, avautuukin Process Explorer eikä Task Manager. Lieneekö sitten suurempaa käytännön hyötyä... Versiosta: 32-bit toimii, joten eiköhän se ole oikea.
Hienoa, että joku jaksoi senkin vielä katsoa, vaikka ongelma oikeastaan olikin jo ratkennut. Ja onneksi mitään ei löytynyt. Kiitokset molemmille.
