Macie taki proces "WinStat.exe" i "WinStatKee

PaVVeL · 31 Styczeń 2005 19:51

Jak w temacie

Zlokalizowałem miejsce i niemogę usunąć, bo pisze "niemożna usunąć “WinStat” : Odmowa dostępu "

Próbowałem zakończyc proces ale znów się pojawia

Proszę o szybką pomoc Please!!

P.S. Lubię mieć porządek na komputerze i denerwują mnie takie procesy

detektyw · 31 Styczeń 2005 19:52

daj loga z HiJackThis

adpawl · 31 Styczeń 2005 19:56

Zerknij tu: http://www3.ca.com/securityadvisor/pest … =453075918

I daj loga!

Mlody.PL · 31 Styczeń 2005 20:06

najprawdopodobniej plik jest w katalogu z załozonym hasłem innego uzytkownika komputera, mozesz uzyc TotalComander Power Pack i funkcji przejmowania folderów (jeseli masz dysk NTFS), ja mialem cos w podobie odmowy dostepu i tym mi sie udało dostac do plikow.

PaVVeL · 31 Styczeń 2005 20:10

z Tym logiem to oto chodzi???

tu jest link http://www.members.lycos.co.uk/paul90paul/log.JPG

Mefhisto · 31 Styczeń 2005 20:12

winstat.exe

Kradnie hasła / trojan ICQ

Znany jako: Backdoor.Kodorian, Win32/Kodorian, Troj/Kodoria

Włącza się w tle.

Przesyła hasła przez e-maila.

Procesy:

winstat.exe

kodorjan.exe

server.exe

Pliki:

c:\manasi.yok

c:\winstat.exe

kodorjan.exe

okursan?yiedersinokumazsan?yibokyersin.txt

server.exe

“Winstat.exe”

Wyłącz te procesy i usuń te pliki.

boczi · 31 Styczeń 2005 20:12

Nie. Zobacz: http://forum.dobreprogramy.pl/viewtopic.php?t=17593

PaVVeL · 31 Styczeń 2005 20:21


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe

C:\Program Files\Java\j2re1.4.2\_06\bin\jusched.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\Tlen.pl\tlen.exe

C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

C:\Program Files\Windows AdStatus\WinStatKeep.exe

C:\Program Files\Maxthon\Maxthon.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Windows AdStatus\WinStat.exe

C:\totalcmd\TOTALCMD.EXE

C:\PROGRA~1\DAP\DAP.EXE

C:\Documents and Settings\PaVVeL\Pulpit\hijackthis1.99\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [http://www.allegro.pl/](http://www.allegro.pl/)

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5\_5\_7\_0.dll

O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT\_BHO.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5\_5\_7\_0.dll

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\G001-1.0.24.0\gnotify.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2\_06\bin\jusched.exe

O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe

O4 - HKCU\..\Run: [Komunikator] C:\Tlen.pl\tlen.exe

O4 - HKCU\..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\_06\bin\npjpi142\_06.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2\_06\bin\npjpi142\_06.dll

O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: RaptisoftGameLoader - [http://miniclip.com/hamsterball/raptisoftgameloader.cab](http://miniclip.com/hamsterball/raptisoftgameloader.cab)

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - [http://static.windupdates.com/cab/Click ... e-c112.cab](http://static.windupdates.com/cab/ClickYesToContinue/ie/Bridge-c112.cab)

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVRoam - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: StyleXPService - Unknown - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

Myśle że wszystko zrobiłem ok ?!

PaVVeL · 31 Styczeń 2005 20:23

Mefhisto napisał

Niemożna wyłączyć te procesy czytaj wyżej

musg · 31 Styczeń 2005 20:33

to koniecznie pomysl o SP

adpawl · 31 Styczeń 2005 20:35

Możesz sprobowac wykasować tamte pliki tym programem: http://www.bleepingcomputer.com/files/s … illBox.zip

PaVVeL · 31 Styczeń 2005 20:36

System : Microsoft Windows Xp Professional (bez serwis pack)

Nie myśle o serwis pack (bardzo dużo pamięci :twisted: zjada :twisted: )

detektyw · 31 Styczeń 2005 20:57

zjada, ale za to nie ma się takiego syfu

PaVVeL · 31 Styczeń 2005 21:01

Bardzo pomogło tylko ten trojan robił kopie na partycji C:/

Wielkie dzięki z ten program 8) 8)

niech ten temat o serwis pack zostanie zakończony ok???

:lol: Miałem i niechce mieć serwis pack Bardzo mi łącze wolno chodzi

Zrobiłem lekki porządek w rejestrze dzięki

boczi · 31 Styczeń 2005 21:38

To nie ma znaczenia.

Chyba, że miałeś problem z SP2 - możliwy problem to limit połąćzeń, który możesz zmienić w XP-ANTI-SPY.