Macie taki proces "WinStat.exe" i "WinStatKee


(Pavvel) #1

Jak w temacie

Zlokalizowałem miejsce i niemogę usunąć, bo pisze "niemożna usunąć "WinStat" : Odmowa dostępu "

Próbowałem zakończyc proces ale znów się pojawia

Proszę o szybką pomoc Please!!

P.S. Lubię mieć porządek na komputerze i denerwują mnie takie procesy


(Qbek50) #2

daj loga z HiJackThis


(adpawl) #3

Zerknij tu: http://www3.ca.com/securityadvisor/pest ... =453075918

I daj loga!


(Mlody) #4

najprawdopodobniej plik jest w katalogu z załozonym hasłem innego uzytkownika komputera, mozesz uzyc TotalComander Power Pack i funkcji przejmowania folderów (jeseli masz dysk NTFS), ja mialem cos w podobie odmowy dostepu i tym mi sie udało dostac do plikow.


(Pavvel) #5

z Tym logiem to oto chodzi????

tu jest link http://www.members.lycos.co.uk/paul90paul/log.JPG


(Themefhisto) #6

winstat.exe

Kradnie hasła / trojan ICQ

Znany jako: Backdoor.Kodorian, Win32/Kodorian, Troj/Kodoria

Włącza się w tle.

Przesyła hasła przez e-maila.

Procesy:

winstat.exe

kodorjan.exe

server.exe

Pliki:

c:\manasi.yok

c:\winstat.exe

kodorjan.exe

okursan?yiedersinokumazsan?yibokyersin.txt

server.exe

"Winstat.exe"

Wyłącz te procesy i usuń te pliki.


(boczi) #7

Nie. Zobacz: http://forum.dobreprogramy.pl/viewtopic.php?t=17593


(Pavvel) #8

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
C:\Program Files\Java\j2re1.4.2\_06\bin\jusched.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Tlen.pl\tlen.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\Program Files\Windows AdStatus\WinStatKeep.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Windows AdStatus\WinStat.exe
C:\totalcmd\TOTALCMD.EXE
C:\PROGRA~1\DAP\DAP.EXE
C:\Documents and Settings\PaVVeL\Pulpit\hijackthis1.99\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [http://www.allegro.pl/](http://www.allegro.pl/)
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5\_5\_7\_0.dll
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT\_BHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5\_5\_7\_0.dll
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe
O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2\_06\bin\jusched.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKCU\..\Run: [Komunikator] C:\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\_06\bin\npjpi142\_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\_06\bin\npjpi142\_06.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: RaptisoftGameLoader - [http://miniclip.com/hamsterball/raptisoftgameloader.cab](http://miniclip.com/hamsterball/raptisoftgameloader.cab)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - [http://static.windupdates.com/cab/Click ... e-c112.cab](http://static.windupdates.com/cab/ClickYesToContinue/ie/Bridge-c112.cab)
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVRoam - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: StyleXPService - Unknown - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Myśle że wszystko zrobiłem ok ?!


(Pavvel) #9

Mefhisto napisał

Niemożna wyłączyć te procesy czytaj wyżej


(Musg) #10

to koniecznie pomysl o SP :slight_smile:


(adpawl) #11

Możesz sprobowac wykasować tamte pliki tym programem: http://www.bleepingcomputer.com/files/s ... illBox.zip


(Pavvel) #12

System : Microsoft Windows Xp Professional (bez serwis pack)

Nie myśle o serwis pack (bardzo dużo pamięci :twisted: zjada :twisted: )


(Qbek50) #13

zjada, ale za to nie ma się takiego syfu :smiley:


(Pavvel) #14

Bardzo pomogło tylko ten trojan robił kopie na partycji C:/

Wielkie dzięki z ten program 8) 8)

niech ten temat o serwis pack zostanie zakończony ok????

:lol: Miałem i :frowning: niechce mieć serwis pack :frowning: Bardzo mi łącze wolno chodzi :frowning:

Zrobiłem lekki porządek w rejestrze dzięki


(boczi) #15

To nie ma znaczenia.

Chyba, że miałeś problem z SP2 - możliwy problem to limit połąćzeń, który możesz zmienić w XP-ANTI-SPY.