Podejrzany proces

Dla specjalistów Bezpieczeństwo
#1

Witam!

Bardzo proszę o sprawdzenie loga,gdy wszedłem do Menedżera zadań,to pojawił się podejrzany proces:autodow.exe i zaraz zniknął.

Logfile of HijackThis v1.99.1

Scan saved at 17:23:08, on 2005-08-16

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\netdde.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\system32\clipsrv.exe

C:\WINDOWS\System32\dllhost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

C:\WINDOWS\System32\vssvc.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\System32\dmadmin.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [CaAvTray] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"

O4 - HKLM\..\Run: [CAVRID] "C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll

O12 - Plugin for .mid: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll

O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab

O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{3B23BB94-8891-47B3-9603-D4BDC2E3383A}: NameServer = 195.225.212.1,195.225.212.2,213.134.128.19,213.134.128.20

O23 - Service: CAISafe - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - C:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe

Dzięki za sprawdzenie.

#2

W logu czysto.

#3

Dzięki Damian za sprawdzenie loga.

#4

a moze nazywał sie aotodoc.exe?

#5

Przepraszam,ten proces nazywał się: autodown.exe

W logu się pomyliłem i ominąłem jedną literkę na końcu słowa.

#6

zrob jeszcze cos takiego.Zrestartuj komputer wejdz w menedzera i zobacz czy raz jeszcze cos takiego ma miejsce ,czy sie powtorzyło?

Czy znika proces:

,czy wogole sie nie pojawia :slight_smile:

#7

http://vic.zonelabs.com/tmpl/body/CA/vi … ?VId=29927

Z tego wynika ze to trojan

#8

spokojnie ,nic z tego nie wynika :slight_smile:

#9

ja bym to i tak usunął

#10

Ja bym to jednak usunol , moze proces pozostal po jakims syfie bo na to wyglada

#11

czy wy czytacie co jest napisane ,czy tylko sie tak umowiliscie na usuwanie czegos czego nawet nie widzicie?Co on ma usunac w/g was… 8)

#12

No to drogi musg oswiec nas odczego jest ten proces i dlaczego znalezlismy ze to wirus :shock:

#13

Ekhm, to nie jest wirus.

Ten proces jest zamykany przez wirusa.

Może to proces od antywirusa?

autodown - auto download

Zwłaszcza że uruchamia się przy uruchomieniu systemu

a potem znika.

#14

Oswiec sie sam,bo to nie moja rola.A teraz napiszcie gdzie znalezliscie info ,ze to wirus,bo ja nigdzie tego jeszcze nie widze po postach w tym temacie ,dlatego napisalem powyzej prosbe do usera by wykonał raz jeszcze czynnosci.DziaDu gdzie ty wyczytales ,ze mamy do czynienia z wirusem?

Mamy pewien proces ,ktory dotyczy antywira i jest prawidłowy i to tyle informacji … :slight_smile:

ps

Wiec juz nie jest?

ps2

mozecie wiec nie rozwalac wiecej tematu 8)

#15

Acha no to wynikla moja niewiedza dobra juz wiem. :smiley:

#16

Hmmm panowie tu nikogo nie interesuje co wy byscie zrobili, jeżeli nie macie pożądnych argumentów (dowodów) iż ten plik (proces) jest wirusem, to prosze nie zabierac głosu bo robicie ogólnie zamet w temacie.

Wyszło szydło z worka

#17

Proces o którym wspomniałem pokazał się tylko jeden raz i natychmiast zniknął w Menedżerze zadań.Wchodziłem do Menedżera zadań kilka razy i już nie ujawnił się.Przeszukałem cały komputer,nawet w trybie awaryjnym i nic nie znalazłem.Przeszukałem na Google i też go nie ma w bazie trojanów ani wirusów.Więc już sam nie wiem czego szukać i jak.

Dzięki wszystkim userom za tak wnikliwe zainteresowanie i przesłane uwagi.

#18

W takim razie mozesz spac spokojnie.Wszystko jest tak jak powinno :slight_smile: