[PROBLEM]Dziwne procesy oraz pliki w system32+Logi z OTL


(Pery96) #1

Witam!

Ostatnio bardzo zaciekawiły mnie funkcje systemu.Wchodzę w menedżera zadań windows i klikam w zakładkę “procesy”.Moim oczom ukazała się lista procesów,lecz bardzo zaciekawiły mnie procesy cyt.“wuauclt.exe”(X),winlogin.exe"(jedni mówią,że wirus,drudzy,że zwykły plik systemowy)(brak),“plugin-contain…”,“orderReminder”(Q:\Program Files\Hewlett-Packard\OrderReminder),"“nvxdsync.exe”(brak),“nvvsvc.exe”(brak),“nvtray.exe”(brak),“dwm.exe”(X) oraz “csrss.exe”(brak).Następne “dziwne” procesy występują, gdy przejdę do procesów wszystkich użytkowników (czyt.Klikam w przycisk “Pokaż procesy wszystkich użytkowników”).Teraz zaniepokoiły mnie nastepujące procesy:

-csrss.exe (X)

-csrss.exe(nie wiem dlaczego podwójnie i to mnie niepokoi) (X)

-essvr.exe (Q:\Program Files\Gigabyte\EasySaver)

-Isass.exe (X)

-MSASCui.exe (Windows Defender)

-Proces bezczynny (Nie wiem co to)

-SearchFilterH…}

-SearchIndexe…} Raz znikają,raz się pojawiają

-SearchProtoc…}

-services.exe (X)

-smss.exe (X)

-spoolsv.exe (X)

-svchost.exe (włączony aż 16 razy!) Proces ho… No właśnie jaki? (X)

-taskeng.exe (X)

-taskeng.exe(Włączony 2 razy) (X)

-wininit.exe (X)

-wuauclt.exe (X)

-winlogon.exe (X)

Pliki w “System32”

Tutaj sporządze listę programów,które są według mnie podejrzane:

-catsrv.dll

-catsrvps.dll

-catsrvut.dll

-cdd.dll

-cipher (Aplikacja)

-clip (Aplikacja)

-comp (Aplikacja)

-compact (Aplikacja)

-cacls (Aplikacja)

-chajei.ime

-chkdsk

-cmdkey

-cscobj.dll

-cscript

-cscsvc.dll

-cscui.dll

-csrss (Aplikacja)

-csrstub (aplikacja)

-CSVer.dll

-ctfmon (aplikacja)

Teraz naradza się pytania, czy to są szkodliwe procesy,które posiadają keyloggery/spyware/trojany albo inne wirusy.

Malwarebytes Anti-Malware nic nie wykrył.Eset Smart Security 5 skanuje.

Odnośnie plików w “System32” to jest ich o wiele więcej i chciałbym,aby ktoś mi napisał,które pliki są niezgodne z systemem,bądź są to wirusy/spyware/keyloggery.Ogólnie lista plików które nie powinny się znajdować w “System32”.EDIT:Znalazł konia Trojańskiego w Javie,którego usunąłem.

Komputer chodzi bez szwanku,nawet stabilniej niż na Win XP.Żadnych zamuleń ani zwieszek.Wszystkie wirusy zostały wyłapane i przebywają w kwarantannie.

Znalazłeś szkodliwy proces lub plik w “System32”?Napisz jakie szkody może wyrządzić w systemie, na czym on polega i jak można się go pozbyć.

Posiadam internet radiowy,czy możliwe jest, że to mój dostawca mnie szpieguje i wie co sobie porabiam na kompie?Czy to jednak jakiś szpieg/haker zainteresował się moim komputerem.Dodam że system był stawiony 2 tyg. temu i każdy pobierany plik był skanowany antywirusem.Zrobiony został także format wszystkich dysków tak,że są czyste.

LEGENDA:

Nie chciało mi się pisać ścieżki do wszystkich procesów więc

(X)-Proces mieści się w “System32”

(brak)-Nie podano ścieżki do pliku

(podana ścieżka)-W nawiasie jest podana ścieżka do pliku/procesu

LOGI:

http://wklej.to/tVEpY -OTL

http://wklej.to/ZBUyv -Extras


(Saeros) #2

Procesy są normalne, sam mam takie na kompach w domu czy pracy.

Szybko patrząc, wuauclt.exe = Windows AutoUpdate Client; winlogin.exe - usługa logowania systemu Windows, Plug-in container to proces w którym izolowane są wtyczki działające w Firefoksie, procesy z ‘nv’ w nazwie to pliki od sterownika nVidia. Nie pamiętam jak jest w Viście, ale w Windows 7 te informacje można znaleźć w Menedzerze zadań w kolumnie “Opis”.

csrss, Isass, spoolsv, svhost i spółka to też sprawy systemowe, svhostów czasem jest duuużo.

Na moje nie ma się czego bać.


(Pery96) #3

Czy mógłby ktoś jeszcze dokładnie przejrzeć to co napisałem i sprawdzić logi z OTL’a?Z góry dziękuje :slight_smile: Koledze z góry też dziękuje za pomoc


(Acorus) #4

W logach nic szkodliwego.Zainstaluj aktualizacje do programow wskazanych przez Security Check

analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.


(Pery96) #5

Pobrałem Security Check i wyskoczył wirus “win32/statik”.Eset Smart Security 5 zaczął wyć i nacisnąłem “Usuń”.Jak logi z OTL’a są czyste to nie mam na komputerze zadnej niepożądanej aplikacji typu: keylogger/wirusy/szpiegowski syf ?

Oto logi z Security Check

Teraz narodził się nowy problem.Wszedłem w zakładkę “procesy” w Menedżerze zadań i ukazał mi się proces "WmiPrvSE.exe"Lokalizacja to X:\Windows\System32… Ten proces podobno jest wirusem.Co wy na to?


(adam9870) #6

Zainstaluj:

Windows Vista Service Pack 2 http://download.microsoft.com/download/ … 65-X86.exe

Być może najpierw trzeba będzie zainstalować Windows Vista Service Pack 1 http://download.microsoft.com/download/ … -wave1.exe

Internet Explorer 9 http://download.microsoft.com/download/ … 86-plk.exe

Być Może najpierw trzeba będzie zainstalować Internet Explorer 8 http://download.microsoft.com/download/ … 86-PLK.exe

Albo skorzystaj z Windows Update:

pytanie-dotyczace-aktualizacji-systemie-windows-t483969.html#p3049515

nie-umiem-zainstalowac-internet-explorera-pod-windows-t476064.html#p3003364

Czy świadomie wyłączyłeś Kontrolę Konta Użytkownika?

http://windows.microsoft.com/pl-PL/wind … ol-message

Opcjonalnie pobierz Malwarebytes Anti-Malware Free http://www.malwarebytes.org/products/malwarebytes_free/

Podczas instalacji odrzuć ofertę instalacji płatnej wersji, aby zainstalować tylko darmowy skaner. Zaktualizuj. Przeskanuj.

Pozdrawiam.


(Pery96) #7

Wszedłem w konta uzytkowników i funkcja kontroli konta uzytkownika jest “zaptaszkowana”.Tak ma zostać czy wyłączyć tę opcje?Malwarebyte Anti-malware pracuje.


(adam9870) #8

Ma tak zostać, przepraszam, pomyliłem się. Ale reszta czyli aktualizacje zgadzają się.


(Pery96) #9

Czyli komputer jest czysty?Brak keyloggerów lub innego syfu?

Dodane 27.09.2012 (Cz) 21:23

Skanowanie Malwarebrytes Anti-Malware wykazało, iż nie ma żadnego zagrożenia.Tak samo jak i u ESET Smart Security 5 też niczego nie znalazł.Proces (patrz 2-3 posty wyżej) sam się wyłączył.Ochrona kont użytkowników jest “zaptaszkowana” (chodzi o to, że gdy instaluje aplikacje prosi mnie o uprawnienia administratorskie oraz o uruchamianie aplikacji jako administrator?)

To by było na tyle,jeżeli ktoś ma jescze jakieś wskazówki prosze o napisanie posta.

EDIT:Znalazłem wirusa w Javie i został on usunięty.W przeglądarce gdy otwieram nowe karty to wyskakuje w konsoli błędów, błąd “JaVaScript”, ale strony normalnie się otwierają i wszystko widać(obrazki, itp.)

Jak logi z OTL są czyste to procesy też?

Kiedy pobrałem "System Checker"Eset Smart Security 5 zaczął wrzeszczeć , że ta aplikacja posiada odmiane wirusa “win32/Statik”.Został wysłany do kwarantanny i usunięty.Czy wam też antyvirus tak zareagował i czy ten program rzeczywiście ma wira,czy tylko antyvirus go tak zaklasyfikował?

Co do procesu pare postów wyżej to data jego powstania to 17.09.2012 r. a nie tak jak inne pliki windowsa w 2006 r.Wie ktoś o co w tym chodzi? Jego lokalizacja to X:\Windows\System32\Wbem.

Jakieś pomysły?

Pozdrawiam