Dziwna sprawa!
Jakis miesiac temu po zgraniu od kolegi z plytki strony www po otwarciu folderu nastepnego dnia znalazlem tam kolo 10 plikow exe o losowych nazwach typu svsschtjw . <-przyklad ale jak to bedzie istotne moge znalezc taki plik.
teraz znow sie na takie natknalem (plyta od kolegi byla czysta, avast nie widzi nic podejrzanego w tych plikach, ani na dysku).
W folderze zgranego z wlasnego nowego laptopa zawierajacego na pewno czyste pliki stron internetowych.
Teraz sie zorientowalem (wyszukujac pliki html i odwiedzajac foldery z nimi ze w kazdym katalogu na dysku zawierajacym choc jeden plik html znajduje sie wlasnie taki dziwny exe ( a dokladnie tyle plikow xe co html)…
Log raczej czysty ale wrzuce.
Poza tym czasem wywala mi sie explorer (niby wszystko ok ale sie zawiesz. Niby calyczas procka idzie na proces bezczynnosi. Po zakonczeniu explorera svchost zuzywa caly czas procka i nic sie nie da zrobic. Oczywiscie zakonczenie svchota skutkuje restartem po minuie
dodatkowo czasem bluescreen, ale to moze byc zwiazane z prockiem. (komp byl na czysczeniu w serwisie i gosc zdjal radiator z proca i pewnie nie dal pasty zaladajac go spowrotem. proc ma 70-71 stopni (ale nie zdarza mu sie miec wiecej. Monitorowalem go przez godzine intensywnego grania, oraz podzczas wykonywania renderu i oscylowal ciagle miedzy 70 i 71) jak wchodzil na 71 slychac zmiane rytmupracy radiatora i spowrotem 70 loga wrzuce jutro, bo mu wyczysciem procesy prawie do zera same systemowe, by nic mi nie przeszkadzalo w napisaniu posta
z gory thx
edit:
wlasnie dowiedzialem sie poco te exe i czemu akurat przy html’ah…
tworzylem taka strone w notatniku i tam na poczatku dopisane jest
w kazym pliku cos w tym stylu, a pod odpowiednim kluczem w rejestrze znajduje sie link do tego exe'ka...
a oto log z hijacka:
Logfile of HijackThis v1.99.1
Scan saved at 00:32:41, on 2007-03-31
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
R:\Programy\Alwil Software\Avast4\aswUpdSv.exe
R:\Programy\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDLL32.exe
C:\Program Files\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe
R:\Programy\ALWILS~1\Avast4\ashDisp.exe
R:\programy\adobe\3.0\Apps\apdproxy.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
R:\temp\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [FLMOFFICE4DMOUSE] C:\Program Files\Trust\3011A WIRELESS OPTICAL DESKSET\Mouse\mouse32a.exe
O4 - HKLM…\Run: [avast!] R:\Programy\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [Adobe Photo Downloader] “R:\programy\adobe\3.0\Apps\apdproxy.exe”
O4 - HKLM…\Run: [SoundService] rundll32.exe “C:\WINDOWS\System32\aekxvbhw.dll”,setvm
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU…\Run: [Gadu-Gadu] “E:\Program Files\Gadu-Gadu\gg.exe” /tray
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - R:\Programy\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - R:\Programy\Alwil Software\Avast4\ashServ.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
------------------------------------
Uważaj na słownictwo
Tytuł zmieniono
Asterisk