Procesy.... hmmmm


(:: MARIO ::) #1

Coponiektóre sa mi obce:

taskmgr.exe / uzytkownik

iexplore.exe / uzytkowik

totalcmd.exe / uzytkownik

ctfmon.exe / uzytkownik

winampa.exe / uzytkownik

ccapp.exe / uzytkownik

spoolsv.exe / system

gg.exe / zuytkownik

explorer.exe / uzytkownik

ccevtmgr.exe / system

ati2ecxx.exe / uzytkownik

iexplore.exe / uzytkownik

sssermgre.exe / system

svchost.exe / usługa lokalna

svchost.exe / usługa sieciowa

svchost.exe / system

svchost.exe / system

ati2evxx.exe / system

hwdoctor.exe / uzytkownik

isass.exe / system

services.exe / system

winlogon.exe / system

csrss.exe / system

smss.exe / system

navapsvc.exe / system

nieznam tych wytłuszczonych!

jakies opinie ?

z gory thx


(JNJN) #2

Wrzuć każdy do gogli i poczytaj i wszystko wiesz.

http://www.google.pl/advanced_search?hl=pl


(Maniooo666) #3

Witam,

co do i sass byłbym skłonny się zastanowić, gdyż proces systemowy to l sass.


(Adarek) #4

isass = wirus sasser

http://forum.dobreprogramy.pl/viewtopic ... highlight=

sssermgre.exe jakiś trojanek !!

Najlepiej pojaw sie tu z logiem zHijackThis


(Chees) #5

Plik systemowy :wink:


(:: MARIO ::) #6

Phylby zrobilem wg. twej rady i oto log, chyba dobrze secanowalem :slight_smile:

a co do tegi issas to pisalem wszytsko z malych ale chodzilo o |ssas :slight_smile:

Log niech ktos sprawdzi, i powie jak co usunac, bo sie natym nieznam kompletnie :slight_smile: z gory thx

Logfile of HijackThis v1.99.0

Scan saved at 22:53:16, on 2005-01-04

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Tlen.pl\tlen.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\totalcmd\TOTALCMD.EXE

D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM..\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"

O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [Onet.pl AutoUpdate] "C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe" /updateexetsr

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {631FF594-EC25-4CFF-B869-402DF294E1D6} (Instalator oprogramowania Onet.pl) - http://slimak.onet.pl/_m/kamerzysta/One ... or012s.ocx

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Usługa Auto Protect programu Norton AntiVirus - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

pozdrawiam


(Cancel) #7

Log w porzadku.


(Maniooo666) #8

Witam,

a mi się zdaje, że to jest syfek:

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

(Cancel) #9

Nie sadze. To jest komunikator standardowo dostepny w XP.


(Maniooo666) #10

Witam,

komunikator standardowo dostępny w XP mieści się w katalogu c:\Program Files\Messenger

i uruchamia się go plikiem MSMSGS.EXE. :wink:


(Cancel) #11

http://www.liutilities.com/products/win ... y/msnmsgr/


(Maniooo666) #12

Witam,

z tego wynika, że masz rację. Moje podejrzenie wzbudził fakt, że mam ten sam system (XP + SP1),

a u mnie Messenger jest w folderze C:\Program Files\Messenger i uruchamia sie plikiem MSMSGS.EXE.

TUTAJ wspominają właśnie o "moim" Messenger. Zwracam honor wins. :slight_smile:


(Adarek) #13

Jesli to jest robak RBOT.KX

http://startup.iamnotageek.com/srch-MSNMSGR.EXE.html

to pomoże skan

http://pl.trendmicro-europe.com/consume ... ll_pre.php


(Maniooo666) #14

Witam,

no właśnie tym się też posiłkowałem, ale nie pasowało mi fakt,

że jego Startup Name to Msn Messengers.

Czy to oznacza, że Hijack this tak by go wskazał na liście?

Czyli wpis wyglądałby np. tak:

O4 - HKCU\..\Run: [Msn Messengers] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

Pytam, bo nie jestem pewien.


(Adarek) #15

Usuwaj smiało !!

Zresztą podałem ci linka do scanera on line , możesz tosprawdzić.