Procesy.... hmmmm

_MARIO · 4 Styczeń 2005 18:55

Coponiektóre sa mi obce:

taskmgr.exe / uzytkownik

iexplore.exe / uzytkowik

totalcmd.exe / uzytkownik

ctfmon.exe / uzytkownik

winampa.exe / uzytkownik

ccapp.exe / uzytkownik

spoolsv.exe / system

gg.exe / zuytkownik

explorer.exe / uzytkownik

ccevtmgr.exe / system

ati2ecxx.exe / uzytkownik

iexplore.exe / uzytkownik

sssermgre.exe / system

svchost.exe / usługa lokalna

svchost.exe / usługa sieciowa

svchost.exe / system

ati2evxx.exe / system

hwdoctor.exe / uzytkownik

isass.exe / system

services.exe / system

winlogon.exe / system

csrss.exe / system

smss.exe / system

navapsvc.exe / system

nieznam tych wytłuszczonych!

jakies opinie ?

z gory thx

JNJN · 4 Styczeń 2005 19:00

Wrzuć każdy do gogli i poczytaj i wszystko wiesz.

http://www.google.pl/advanced_search?hl=pl

maniooo · 4 Styczeń 2005 19:27

Witam,

co do i sass byłbym skłonny się zastanowić, gdyż proces systemowy to l sass.

Phylby · 4 Styczeń 2005 19:59

isass = wirus sasser

http://forum.dobreprogramy.pl/viewtopic … highlight=

sssermgre.exe jakiś trojanek

Najlepiej pojaw sie tu z logiem zHijackThis

Serek · 4 Styczeń 2005 21:43

Plik systemowy

_MARIO · 4 Styczeń 2005 21:55

Phylby zrobilem wg. twej rady i oto log, chyba dobrze secanowalem

a co do tegi issas to pisalem wszytsko z malych ale chodzilo o |ssas

Log niech ktos sprawdzi, i powie jak co usunac, bo sie natym nieznam kompletnie z gory thx

Logfile of HijackThis v1.99.0

Scan saved at 22:53:16, on 2005-01-04

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Tlen.pl\tlen.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\totalcmd\TOTALCMD.EXE

D:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:3128

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”

O4 - HKLM…\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE “REBOOT”

O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [Onet.pl AutoUpdate] “C:\Program Files\Common Files\Onet.pl\NewAutoUpdate.exe” /updateexetsr

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [MsnMsgr] “C:\Program Files\MSN Messenger\MsnMsgr.Exe” /background

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O16 - DPF: {631FF594-EC25-4CFF-B869-402DF294E1D6} (Instalator oprogramowania Onet.pl) - http://slimak.onet.pl/_m/kamerzysta/One … or012s.ocx

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: Usługa Auto Protect programu Norton AntiVirus - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

pozdrawiam

wins · 4 Styczeń 2005 22:14

Log w porzadku.

maniooo · 4 Styczeń 2005 22:25

Witam,

a mi się zdaje, że to jest syfek:

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

wins · 4 Styczeń 2005 22:27

Nie sadze. To jest komunikator standardowo dostepny w XP.

maniooo · 4 Styczeń 2005 22:30

Witam,

komunikator standardowo dostępny w XP mieści się w katalogu c:\Program Files\Messenger

i uruchamia się go plikiem MSMSGS.EXE.

wins · 4 Styczeń 2005 22:34

http://www.liutilities.com/products/win … y/msnmsgr/

maniooo · 4 Styczeń 2005 22:53

Witam,

z tego wynika, że masz rację. Moje podejrzenie wzbudził fakt, że mam ten sam system (XP + SP1),

a u mnie Messenger jest w folderze C:\Program Files\Messenger i uruchamia sie plikiem MSMSGS.EXE.

TUTAJ wspominają właśnie o “moim” Messenger. Zwracam honor wins.

Phylby · 5 Styczeń 2005 06:07

Jesli to jest robak RBOT.KX

http://startup.iamnotageek.com/srch-MSNMSGR.EXE.html

to pomoże skan

http://pl.trendmicro-europe.com/consume … ll_pre.php

maniooo · 5 Styczeń 2005 09:30

Witam,

no właśnie tym się też posiłkowałem, ale nie pasowało mi fakt,

że jego Startup Name to Msn Messengers.

Czy to oznacza, że Hijack this tak by go wskazał na liście?

Czyli wpis wyglądałby np. tak:

O4 - HKCU\..\Run: [Msn Messengers] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

Pytam, bo nie jestem pewien.

Phylby · 5 Styczeń 2005 10:38

Usuwaj smiało

Zresztą podałem ci linka do scanera on line , możesz tosprawdzić.