System - troijalainen? +hjt-loki

Viestiketju Virukset ja haittaohjelmat -osiossa. Ketjun avasi Boheemia 26.07.2005.

  1. Boheemia

    Boheemia Regular member

    Liittynyt:
    10.06.2005
    Viestejä:
    109
    Kiitokset:
    0
    Pisteet:
    26
    Asentelin Windowsin uudestaan ja katselin processlibrarysta mitä prosesseja mulla on päällä ja sen mukaan System - niminen prosessi on troijalainen.
    Kokeilin sitten End Process Tree - komentoa, ja kone buuttasi itsensä. Ensin se herjasi että ei voi lopettaa ja sitten tuli ilmoituksia oikein satelemalla, jossain niistä mainittiin DCOM server process launcher. Buuttauksen jälkeen kaikki pikakuvakkeet Taskbarista oli hävinneet kuten myös address-bar ja se, että olin muuttanut sen kaksiriviseksi.

    Tämän jälkeen netti oli poikki (niin tässä kanettavassa kuin pöytäkoneessakin), vaikka verkkoyhteydet näytti olevan muuten kunnossa. Otin verkkopiuhan vähäksi aikaa irti ja kun laitoin taas kiinni yhteys toimii.
    Kyseinen System - prosessi kummittelee kuitenkin edelleen taustalla, enkä uskalla siihen enää omin päin mennä koskemaan. Tässä sen vuoksi HJT-loki.

    Logfile of HijackThis v1.99.1
    Scan saved at 1:58:25, on 27.7.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\System32\wltrysvc.exe
    C:\WINDOWS\System32\bcmwltry.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\acs.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\WLTRAY.exe
    C:\Program Files\Atheros\ACU.exe
    C:\Program Files\Winamp\winampa.exe
    C:\Program Files\Common Files\Symantec Shared\ccApp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Program Files\Mozilla Firefox\firefox.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\hjt\HijackThis.exe

    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
    O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui
    O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
    O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
    O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
    O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe


    EDIT: Näyttäisi siltä että netti toimii vähän aikaa buuttauksen jälkeen ja ensin hidastuu, sitten katkeaa kokonaan (nyt on tosin hetken aikaa toiminut). Oli vaikeuksia päästä tännekin.
    Windowsia asentaessa oli verkkopiuha irti eli siitä ei ole kiinni. Käytössä on Norton Antivirus 2005 ja Kerio Firewall. Kerion muuria käytän ensimmäistä kertaa, olisiko mahdollista että on jäänyt joku vitaali asetus valitsematta?

    Kokeilin sen Systemin poistoa vikasietotilassakin ja sama homma: paljon ilmoituksia ja buuttaus n.minuutin sisään. Ja se siis näkyy kummassakin koneessa.
    Lisäksi kun asensin Adawaren niin päivitysten haussa se jumittui 5%:n kohdalle, poistin sen hakeakseni kohta uuden, mutta tämä kaikki keskeytti. Nortonin skannaus ei löytänyt mitään ja Adaware safe modessa toisella koneella pari trackeria.
     
    Viimeksi muokattu: 26.07.2005
  2.  
  3. fkock

    fkock Regular member

    Liittynyt:
    16.11.2004
    Viestejä:
    1,186
    Kiitokset:
    0
    Pisteet:
    46
    Viimeksi muokattu: 27.07.2005
  4. Boheemia

    Boheemia Regular member

    Liittynyt:
    10.06.2005
    Viestejä:
    109
    Kiitokset:
    0
    Pisteet:
    26
    Taskmanagerissa lukee ainoastaan System, ei System.exe. Meinaako se, että kyseessä ei olisikaan troijalainen? Joka tapauksessa en ole sitä ennen taskmanagerissa nähnyt.

    Kokeilin F-Securen ja Trend Micron online skannauksia, mitään ei löytynyt. Myöskään XoftSpy ei löytänyt mitään.
     
  5. fkock

    fkock Regular member

    Liittynyt:
    16.11.2004
    Viestejä:
    1,186
    Kiitokset:
    0
    Pisteet:
    46
    Viimeksi muokattu: 27.07.2005
  6. Boheemia

    Boheemia Regular member

    Liittynyt:
    10.06.2005
    Viestejä:
    109
    Kiitokset:
    0
    Pisteet:
    26
    Ok, kiitos infosta, alkaa verenpaine tasaantua. Hain ProcessExplorerin, siitä pari kysymystä.

    -Mistä tiedän mikä versio sopii omalle koneelleni? (32 vai 64 -bit?) Hain 32-bit -version.
    -Kannattaako Taskmanager korvata sillä?
    Ja miten saan Windows Messengerin pois taustalta pyörimästä? Kun tapan process treen niin kohta se taas tulee takaisin. Kokeilin joskus sen poistamistakin, mutta windows ei sallinut.
     
  7. fkock

    fkock Regular member

    Liittynyt:
    16.11.2004
    Viestejä:
    1,186
    Kiitokset:
    0
    Pisteet:
    46
    1. Jos olet asentanut MSN messgerin poista se ensin.

    2. Mene lisää ja poista sovellukseen-> windows ohjelmat sieltä poistat Windows messengerin.

    3. Asenna MSN messengerin (Jos tarvit sitä)

    Jaa.. en tiedä :)

    Korvata? ainahan se Taskmanager on siellä.. Process Explorerila on helpompi katsoa mitä ne pyörivät ohjelmat ovat.



     
  8. Boheemia

    Boheemia Regular member

    Liittynyt:
    10.06.2005
    Viestejä:
    109
    Kiitokset:
    0
    Pisteet:
    26
    No niin, sain Windows Messengerin poistettua.

    Process Explorerin optioneissa voi valita "replace task manager", sitä tarkoitin. Ja ihan normaalistihan se toimii: kun painaa ctrl-alt-del, avautuukin Process Explorer eikä Task Manager. Lieneekö sitten suurempaa käytännön hyötyä...

    Versiosta: 32-bit toimii, joten eiköhän se ole oikea.
     
  9. fkock

    fkock Regular member

    Liittynyt:
    16.11.2004
    Viestejä:
    1,186
    Kiitokset:
    0
    Pisteet:
    46
    Ok.. ymmärsin pikkaisen väärin :) Eihän sillä kai mitään väliä ole. Riippuu ihan miten tykkää..
     
  10. V-kos

    V-kos Regular member

    Liittynyt:
    13.03.2005
    Viestejä:
    1,345
    Kiitokset:
    0
    Pisteet:
    46
    Hjt logi on puhdas.
     
  11. Boheemia

    Boheemia Regular member

    Liittynyt:
    10.06.2005
    Viestejä:
    109
    Kiitokset:
    0
    Pisteet:
    26
    Hienoa, että joku jaksoi senkin vielä katsoa, vaikka ongelma oikeastaan olikin jo ratkennut. Ja onneksi mitään ei löytynyt.
    Kiitokset molemmille.
     

Jaa tämä sivu