[malvin]

Idézet: lordrolee - Dátum: 2007. okt. 22., hétfõ - 15:37

Ezzel csak vigyázni, mert a windows-nak van egy ilyen processze ami fut. Ha jól tudom az eredeti a system32-ben van. Ha nálad azt nem onnan futtatja, akkor törölheted.

nagyon ugy nez ki, hogy ez az "igazi" CSRSS.exe.
Amit a google mond a I-Worm.Sober.AH (Email-Worm.Win32.Sober.z)-rol, azt manualisan megneztem: NINCS.
Mellesleg, ahogy mar irtam nemregen volt egy intenziv virus-. spay- es adware kereses, senki nem szolt semmit. (talan csak-csak eszrevettek volna).

Es igy meg mindig elo a kerdes: mi a fenet akar ez a process a floppy-tol?
Es plane az, hogy hogyan lehetne lebeszelni rola.

[Vulpex]

Nekem az IrfanView megnyitásakor szokta valamiért "csesztetni" a floppymeghajtót, és néha ez az ablak is megjelenik ilyenkor.

Segíteni sajnos én sem tudok, de engem is idegesít...

[Misi_D]

Csak egy gyors kérdés: ti tényleg használjátok is azt a floppy meghajtót??? Nem lenne egyszerûbb kilökni a gépbõl, és akkor nem is akarna a windows tõle semmit? Ha nagyon kell valamire, akkor mondjuk nem kell kiszerelni a gépházból, csak lehúzni róla a kábelt, s ha szükség van rá, akkor egy kikapcs-kábel vissza-bekapcs segít a gondon.

[Brokkoli]

Most, hogy tudod, hogy melyik process generálja az üzenetet, tedd fel a process monitort a sysinternals-tól.
A szürésbe tedd be a csrss.exe-t, aztán meglátjuk mit ír.

Az üzenet kikapcsolásához az MS szerint a következõ kell:

http://support.microsoft.com/default.aspx?...kb;en-us;281345

Navigate to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows\ and change the value of the ErrorMode key to 2.

[malvin]

Idézet: Brokkoli - Dátum: 2007. okt. 23., kedd - 3:50

Az üzenet kikapcsolásához az MS szerint a következõ kell:
...

Ezzel 2 problemam is van:
egyreszt tudtommal a gepen nem fut sql server
masreszt:
The value of 2 instructs the Windows NT operating system to avoid popup messages for any hard error on the system and return the default error condition to the calling process.
na ez nem biztos, hogy jo lenne.

A process monitort illetoen:
fogalmam sincs mit is jelent az, hogy A szürésbe tedd be a csrss.exe-t, aztán meglátjuk mit ír.

[Warrior]

Idézet: Misi_D - Dátum: 2007. okt. 23., kedd - 0:21

Csak egy gyors kérdés: ti tényleg használjátok is azt a floppy meghajtót??? Nem lenne egyszerûbb kilökni a gépbõl, és akkor nem is akarna a windows tõle semmit? Ha nagyon kell valamire, akkor mondjuk nem kell kiszerelni a gépházból, csak lehúzni róla a kábelt, s ha szükség van rá, akkor egy kikapcs-kábel vissza-bekapcs segít a gondon.

Ha ugyanez a processz pl. a hdd-hez nyúlna néha (ami mondjuk nem olyan feltûnõ), akkor azt is ki kéne venni? 

Továbbra is várnánk 1 processzlistát... Ha fertõzés, akkor vannak még további körök.

[Misi_D]

Idézet: Warrior - Dátum: 2007. okt. 24., szerda - 8:13

Ha ugyanez a processz pl. a hdd-hez nyúlna néha (ami mondjuk nem olyan feltûnõ), akkor azt is ki kéne venni? 

Továbbra is várnánk 1 processzlistát... Ha fertõzés, akkor vannak még további körök.

Na jó, ebben igazad van. De ki lehetne próbálni, hogy megoldódik-e, az eddigieket olvasván nem hinném, hogy ilyen "komoly"/kártékony process futna.

malvin:
Mellesleg szerintem is a rezidens vírusírtó ellenõrizné a floppyt kikapcsoláskor. Ha esetleg nod32-t használsz, akkor az AMON beállításainál ki kell venni a pipát a boot szektorok ellenõrzése leállításkor jelölõnégyzetbõl. A többinél is hasonló, csak meg kell találni.
De egy processlistát azért dobhatnál, hogy nagyjából lássuk, tényleg nem fertõzött-e.

[malvin]

Idézet: Misi_D - Dátum: 2007. okt. 25., csütörtök - 4:34

malvin:
Mellesleg szerintem is a rezidens vírusírtó ellenõrizné a floppyt kikapcsoláskor.
[...]
De egy processlistát azért dobhatnál, hogy nagyjából lássuk, tényleg nem fertõzött-e.

Igazán nem akarlak megsérteni, de szerintem a különféle vírusirtók figyelmesebben (*) ellenõrzik a gépet, és ha azok azt mondják, hogy nincs vírus, akkor az tényleg nincs.

(*) pl. a kikapcsoláskori probléma sem nálam fordul elõ.
Mi több, akkor SOHA NEM fordult még elõ.

[Warrior]

Idézet: malvin - Dátum: 2007. okt. 25., csütörtök - 9:42

Igazán nem akarlak megsérteni, de szerintem a különféle vírusirtók figyelmesebben (*) ellenõrzik a gépet, és ha azok azt mondják, hogy nincs vírus, akkor az tényleg nincs.

(*) pl. a kikapcsoláskori probléma sem nálam fordul elõ.
Mi több, akkor SOHA NEM fordult még elõ.

Processzlist?

ps.: ja igen, a processzlistát nem pusztán azért kérjük, hogy fertõzés van-e, hanem mivel elég valószínû, hogy 1 futó folyamat fordul a floppyhoz, s az is, hogy az bizony látszik a processzlistben. Ezen mi nem érthetõ? Megsütheted a vírusirtókat, ha ez a mûvelet valamely MÁS program teljesen szabályos akciója...
Napersze ha a lista titkos...

Tehát még 1-szer: kíváncsiak vagyunk, milyen EGYÉB processzek futnak, hátha látunk belõle valamit.

Szerkesztette: Warrior 2007. 10. 25. 10:11 -kor

[wpepi]

Idézet: malvin - Dátum: 2007. okt. 25., csütörtök - 9:42

és ha azok azt mondják, hogy nincs vírus, akkor az tényleg nincs.

Erre ne vegyél mérget. A víruskeresõk csak azt tudják garantálni, hogy az általuk ismert kártevõkkel nem fertõzött a gép. De ez nem jelenti azt, hogy 100%-ban vírusmentes. Pusztán annyit jelent, hogy az eddig megismert vírusoktól mentes a gép. Viszont a vírusok mellett ott vannak még az egyéb nem vírus kategóriába tartozó programok is melyeket a vírusirtók nem mutatnak ki és mivel nem spyware kategória ezért az anti spyware programok sem látják.

Szerkesztette: wpepi 2007. 10. 25. 10:08 -kor

[malvin]

Idézet: Warrior - Dátum: 2007. okt. 25., csütörtök - 9:07

Tehát még 1-szer: kíváncsiak vagyunk, milyen EGYÉB processzek futnak, hátha látunk belõle valamit.

bár szerintem a process monitor elég egyértelmûen megmondta a processt, de nem vitatkozom tovabb.
IME:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 1:34:27 PM, on 25-Oct-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\SM1BG.EXE
E:\Program Files\Intel\Intel® Active Monitor\imontray.exe
E:\WINDOWS\system32\RunDLL32.exe
E:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
E:\WINDOWS\system32\rundll32.exe
E:\Program Files\Logitech\MouseWare\system\em_exec.exe
E:\Program Files\Eset\nod32kui.exe
E:\Program Files\iolo\System Mechanic Professional 7.1.10.7\SMSystemAnalyzer.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Bonjour\mDNSResponder.exe
E:\WINDOWS\system32\devldr32.exe
E:\WINDOWS\system32\drivers\CDAC11BA.EXE
E:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
E:\WINDOWS\System32\inetsrv\inetinfo.exe
E:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
E:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
E:\Program Files\Common Files\LightScribe\LSSrvc.exe
E:\Program Files\Eset\nod32krn.exe
E:\WINDOWS\system32\nvsvc32.exe
E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
E:\Program Files\Intel\Intel® Active Monitor\imonnt.exe
E:\WINDOWS\System32\alg.exe
E:\WINDOWS\System32\svchost.exe
E:\Program Files\Netscape\Navigator 9\navigator.exe
E:\Program Files\TotalCmd (6.55)\TOTALCMD.EXE
C:\Program Files\uTorrent\utorrent.exe
E:\Program Files\Pegasys Inc\TMPGEnc 4.0 XPress\TMPGEnc4XP.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
E:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///E:/Documents%20and%20Settings/etc/HOME.HTM
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/...rch/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.chello.hu...ebar.php?hun.hu
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Program Files\ICQToolbar\toolbaru.dll
N3 - Netscape 7: user_pref("browser.startup.homepage", "file:///E:/Documents%20and%20Settings/etc/HOME.HTM"); (E:\Documents and Settings\MALVIN\Application Data\Mozilla\Profiles\default\ceo2jqft.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://E%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (E:\Documents and Settings\MALVIN\Application Data\Mozilla\Profiles\default\ceo2jqft.slt\prefs.js)
O1 - Hosts: 172.16.1.4 Malvin3 Acomp
O1 - Hosts: 172.16.1.4 Malvin4 Senorg
O1 - Hosts: 172.16.1.251 minolta
O1 - Hosts: 172.16.1.252 FreeNAS
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - E:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Alcohol Toolbar Helper - {8126A4A5-BFD3-46FE-BBDF-BFB5CF78E489} - E:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O2 - BHO: ToolHelper - {AAAE1C1A-89F7-4AF6-ABD1-F8FBCFA47408} - E:\WINDOWS\Downloaded Program Files\toolbar.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - E:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: Alcohol Toolbar - {ED4BD629-C1B6-4399-8A34-02CCAA921DC9} - E:\Program Files\Alcohol Toolbar\v3.2.0.0\Alcohol_Toolbar.dll
O3 - Toolbar: chello eszköztárchello eszköztár - {0F212779-6D88-4958-8AD3-83C12D86ADC7} - E:\WINDOWS\Downloaded Program Files\toolbar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SM1BG] E:\WINDOWS\SM1BG.EXE
O4 - HKLM\..\Run: [IMONTRAY] E:\Program Files\Intel\Intel® Active Monitor\imontray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ISUSPM] "E:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [nod32kui] "E:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SMSystemAnalyzer] "E:\Program Files\iolo\System Mechanic Professional 7.1.10.7\SMSystemAnalyzer.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = E:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3D2E4442-405F-4F42-989A-83A225CAD962} - http://www.chello.co.../hu/toolbar.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownlo.../sysreqlab2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{858C34FD-BAB6-4DC7-8FA9-ACBA9F8D22B5}: NameServer = 195.184.180.4,195.184.181.4
O20 - Winlogon Notify: byxwuus - E:\WINDOWS\SYSTEM32\byxwuus.dll
O20 - Winlogon Notify: pmnmjji - E:\WINDOWS\SYSTEM32\pmnmjji.dll
O23 - Service: Adobe LM Service - Adobe Systems - E:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - E:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - E:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Capture Device Service - InterVideo Inc. - E:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Intel® Active Monitor (imonNT) - Intel Corp. - E:\Program Files\Intel\Intel® Active Monitor\imonnt.exe
O23 - Service: iolo DMV Service (ioloDMV) - Unknown owner - E:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
O23 - Service: IviRegMgr - InterVideo - E:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - E:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - E:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - E:\Program Files\Registry Defragmentation\RegManServ.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - E:\Program Files\WinPcap\rpcapd.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - E:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - E:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: stllssvr - Unknown owner - E:\Program Files\Common Files\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - E:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 10466 bytes

[Misi_D]

Idézet: malvin - Dátum: 2007. okt. 25., csütörtök - 8:42

Igazán nem akarlak megsérteni, de szerintem a különféle vírusirtók figyelmesebben (*) ellenõrzik a gépet, és ha azok azt mondják, hogy nincs vírus, akkor az tényleg nincs.

(*) pl. a kikapcsoláskori probléma sem nálam fordul elõ.
Mi több, akkor SOHA NEM fordult még elõ.

Ok ok, azt hittem kikapcsoláskor is volt. Majd ha lesz rá idõm, megnézem kicsit alaposabban a process listád.

Szerk: a ha azok azt mondják, hogy nincs vírus, akkor nincs. - Ezt a mondatot te magad sem gondoltad komolyan... Teljesen egyetértek wpepi erre történt reagálásával.

Szerkesztette: Misi_D 2007. 10. 25. 19:34 -kor

[gzadmin]

Sziasztok!
Sajnos bekaptam egy vagy több spyt. Ezeket talán sikerült kipucolnom, de felment a gépre egy msblat is, mert a 2003-as szitut produkálja ha a 8! db svchost.exe-bõl egyet leállítok. (1 percen belül leáll a gép).
A log a következõ:
PLz adjatok tippet mit irtsak. Nod és az avast nem talált semmit.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:37:33, on 2007.10.25.
Platform: Windows XP Szervizcsomag 2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Comodo\Firewall\cmdagent.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\Power Manager\PM.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Comodo\Firewall\CPF.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
D:\programs\Notebook Hardware Control\nhc.exe
D:\programs\3.2\Apps\apdproxy.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SE...S01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com/0SE...S01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startlap.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.com/0SE...S01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\programs\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PowerManager] C:\Program Files\Power Manager\PM.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NotebookHardwareControl] "D:\programs\Notebook Hardware Control\nhc.exe" -quiet
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\programs\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'HELYI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'HÁLÓZATI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xportálás Microsoft Excel formátumba - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: SZTAKI &angol-magyar - http://szotar.sztaki.hu/ie/iecontext.php?L...ngHunDict&O=HUN
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Kutatás - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/200707...ex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft....k/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail....es/MSNPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {7584C670-2274-4EFB-B00B-D6AABA6D3850} (Microsoft RDP Client Control (redist)) - http://neptun.nyf.hu/msrdp.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-81f8681dd98c60ad.spaces.live.co...ad/MsnPUpld.cab
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpda...api/activex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.c...driveragent.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Program Files\Comodo\Firewall\cmdagent.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program Files\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 8013 bytes

[Niceday]

Idézet: gzadmin - Dátum: 2007. okt. 25., csütörtök - 21:48

Sziasztok!
Sajnos bekaptam egy vagy több spyt. Ezeket talán sikerült kipucolnom, de felment a gépre egy msblat is, mert a 2003-as szitut produkálja ha a 8! db svchost.exe-bõl egyet leállítok. (1 percen belül leáll a gép). ...

W32.Blaster.Worm Removal Tool

a leállást megállíthatod a futtatás: "shutdown /a" parancs beírásával.

[zoli62]

Idézet: malvin - Dátum: 2007. okt. 17., szerda - 9:55

pár hete napjaban többször is megjelenik ez az ablak.
Általában "békés", a cancel-re kattan eggyet a floppy, az ablak meg eltûnik.
De azért idõnként zavaró.
Ha viszont a gép éjszakára bekapcsolva marad (torrent), akkor a reggel már ott varakozó ablak
a cancel-re úgy kb. 3-ból 1-szer kékhalállal reagál.
Szóval meg kéne tõle szabadulni.

u.i. a gép nemrégen intenzív virus, spy- és adware ellenõrzésen esett át,
tehát nem virus vagy hasonló.

Milyen programokat elepítettél pár hete?

[ifazekas]

Idézet: Misi_D - Dátum: 2007. okt. 25., csütörtök - 20:31

Ok ok, azt hittem kikapcsoláskor is volt.

A kikapcsoláskor fellépõ probléma nálam volt, és azóta meg is oldódott. Sorry, hogy csak most reagálok, de tényleg rohadtul nem foglalkoztatott a dolog, mivel az ablak felbukkanása nem akadályozta a Wint a leállásban, bezárta azt is.
A probléma az volt, hogy valószinûleg az utosó vendég HDD behelyezésekor kissé kicsúszott a floppy tápkábele. Egyik nap újra szétszetdem egy kicsit a gépet és akkor visszaraktam. Azóta a probléma nem jelentkezett. Mellesleg NOD32-m van, úgyhogy valószinûleg az akarta ellenõrizni a floppyt leállításkor, az erre vonatkozó iránymutatást is köszönöm.

[Warrior]

Idézet: malvin - Dátum: 2007. okt. 25., csütörtök - 13:40

...

Nos, van 1-2 külsõleg telepített szolgáltatás (nevezzük rezidens programoknak): ezeket lõdözd ki. Ki fog jönni, "melyiknél" szûnik majd meg a floppyhoz nyúlás.


E:\Program Files\Intel\Intel® Active Monitor\imonnt.exe
E:\WINDOWS\SM1BG.EXE                                                <------ ez mi?
E:\WINDOWS\system32\RunDLL32.exe
E:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
E:\WINDOWS\system32\rundll32.exe
E:\Program Files\iolo\System Mechanic Professional 7.1.10.7\SMSystemAnalyzer.exe
E:\Program Files\Bonjour\mDNSResponder.exe
E:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe
E:\Program Files\iolo\Common\Lib\ioloDMVSvc.exe
E:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
E:\Program Files\Common Files\LightScribe\LSSrvc.exe
E:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
E:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
E:\Program Files\Intel\Intel® Active Monitor\imonnt.exe

[Warrior]

Idézet: gzadmin - Dátum: 2007. okt. 25., csütörtök - 21:48

Sziasztok!
Sajnos bekaptam egy vagy több spyt. Ezeket talán sikerült kipucolnom, de felment a gépre egy msblat is, mert a 2003-as szitut produkálja ha a 8! db svchost.exe-bõl egyet leállítok. (1 percen belül leáll a gép).
A log a következõ:
PLz adjatok tippet mit irtsak. Nod és az avast nem talált semmit.
...

Biztos, hogy van neked Blaster? Ha ugyanis leállítod azt az ominózus svchost-ot, a windows így is-úgy is újraindul, vírustól függetlenül.

A vírus ugyanis hibásan lett megírva (bugos, ami vírusoknál elég gyakori), s az adott processz leállása csupán mellékhatás, a vírusnak NEM ez a valódi "funkciója"! Sima DOS-támadó egyébként.

Tehát ha tiszta rendszeren leállítod a fenti svchost-ot (egyébként nem mindegy, melyiket), akkor is újra fog indulni!!! (nem leáll, újraindul a windows)

A lényeg: nem nagyon kell az svchost-okhoz nyúlni, kivéve ha pontosan tudod, mit is csinálsz!

ps.: más téma, de idevág: érdemes odafigyelni, a sok SVCHOST mellett láttam már SCVHOST-ot is... 

[malvin]

Idézet

E:\WINDOWS\SM1BG.EXE                                                <------ ez mi?

Hát ez az! Ezért írtam még az elején, hogy egy HijakThis listától még nem lesz okosabb az ember.
De szerencsére egy Security Task Manager nevû sw ennél egy kicsit többet mond:
Cypresss Semiconduktor: Cypresss USB Mass Storage Adapter

Sajnos még ezután is csak tippelni tudok:
1. van a géphez USB-n csatlakoztava egy olyan disc rack (jelenleg DVD olvasó van beletéve)
ami egyben egy 4-portos USB hub is. (igaz, ez ViPower márkájú egység).
2. van a gépben egy 2+1 USB és 2+1 Firewire u.n PCI Multimedia Combo card. (igaz, ez meg Best)

Idézet

ezeket lõdözd ki. Ki fog jönni, "melyiknél" szûnik majd meg a floppyhoz nyúlás.

Ez sem egy igazán konstruktív 5let.
Most például minden kilövöldözés nélkül sem láttam már legalább 2 napja az ablakot.
De a tapasztalat azt mutatja, hogy elõbb vagy utóbb jönni fog.

u.i. mellesleg, a kifogásolt processek közül nemelyik már sok éve (a kezdetektõl) fut a gépen:
pl. a E:\Program Files\Intel\Intel® Active Monitor\imonnt.exe
a processor túlmelegedését figyeli (nyáron, egy avi-mpeg átkódolásnál bizony elõ szokott fordulni)

u.i2. és azt sem értem igazán, hogy ezek a processek miért gyanúsak, amikor a process monitor
egy CSRSS nevûnek tulajdonította az ablakot.

Szerkesztette: malvin 2007. 10. 26. 10:49 -kor

[malvin]

Idézet: Misi_D - Dátum: 2007. okt. 25., csütörtök - 18:31

Szerk: a ha azok azt mondják, hogy nincs vírus, akkor nincs. - Ezt a mondatot te magad sem gondoltad komolyan... Teljesen egyetértek wpepi erre történt reagálásával.

De, komolyan gondolom.
Az eddigi tapasztalataim ugyanis azt mutatják, hogy a magukra valamit is adó vírusirtók meglehetõsen hamar (van hogy már néhány nap alatt) reagálnak az új virusokra. Ez a jelenség viszont mar hónapok óta tart. Tehát ha vírus volna valamelyik már kimutatta volna.