[Primary]

Nekem volt hasonló, de a az utolsó percben visszaszámlált.
Reinstall lett a vége. Abban is minig új fájlok teremtek elõ.

Az elõzõ problémámat megoldottam, szintén reinstall! Egyébként is esedékes volt

[Eleanor]

Idézet: FakeJack - Dátum: 2007. nov. 10., szombat - 22:37

Valaki találkozott már olyannal, hogy 60 percenként újraindul az XP?  :confused:
De nem olyan látványos visszaszámlálással, mint anno x éve a mittomén milyen trójai benyelése után, csak úgy szimplán puff, óránként restart.
AVG Anti Rootkit talált egy halandzsa nevû .sys file-t a Windows\System32\Drivers alatt, amit ha törlök, akkor következõ Windows indítás után egy másmilyen halandzsa néven visszajön. 

Szóval valahol bennvan a trójai, ami minden induláskor a driverekhez pakolja a futtatórutinját... a registry run szekciójainak átnézése, a Windows könyvtár firtatása érdekességek után....

[Eleanor]

HijackThis?

[FakeJack]

Idézet: Eleanor - Dátum: 2007. nov. 10., szombat - 23:06

HijackThis?

Az nem mondott semmi izgit.

[FakeJack]

De azért berakom ide, hátha:

Idézet

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46:30, on 2007.11.10.
Platform: Windows XP Szervizcsomag 2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\VMware\VMware Server\vmware-authd.exe
C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\tbctray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Miranda IM\miranda32.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\VMware\VMware Server\vmserverdWin32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Grisoft\AVG Anti-Rootkit Free\avgarkt.exe
C:\Program Files\Grisoft\AVG Anti-Rootkit Free\LBPf3cGfe.exe
C:\totalcmd\TOTALCMD.EXE
C:\WINDOWS\regedit.exe
C:\Downloads\Software\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.index.hu/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hivatkozások
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TraySantaCruz] C:\WINDOWS\system32\tbctray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Free Download Manager] "C:\Program Files\Free Download Manager\fdm.exe" -autorun
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HELYI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'HELYI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'HÁLÓZATI SZOLGÁLTATÁS')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Miranda IM.lnk = C:\Program Files\Miranda IM\miranda32.exe
O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Program Files\Mozilla Thunderbird\thunderbird.exe
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xportálás Microsoft Excel formátumba - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {82774781-8F4E-11D1-AB1C-0000F8773BF0} (DLC Class) - https://transfers.ds.microsoft.com/FTM/Tran...ransferCtrl.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logme...ivex/RACtrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6677B83A-5AFE-494D-9FC5-41B3DAA0FB11}: NameServer = 192.168.0.1
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware Registration Service (vmserverdWin32) - VMware, Inc. - C:\Program Files\VMware\VMware Server\vmserverdWin32.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 7387 bytes

[FakeJack]

Annyi kiderült, hogy valami MEMSWEEP2 is jelen van, ami egy rootkit része.

Szerk.: MEMSWEEP2 elintézve, a másikról meg kiderült, hogy a Daemon Tools csinálja.

Szerkesztette: FakeJack 2007. 11. 11. 02:32 -kor

[Eleanor]

Idézet: FakeJack - Dátum: 2007. nov. 11., vasárnap - 1:06

Annyi kiderült, hogy valami MEMSWEEP2 is jelen van, ami egy rootkit része.

Szerk.: MEMSWEEP2 elintézve, a másikról meg kiderült, hogy a Daemon Tools csinálja.

Hát... legalább ennyivel elõrébb...

[FakeJack]

Idézet: Eleanor - Dátum: 2007. nov. 11., vasárnap - 12:42

Hát... legalább ennyivel elõrébb...

Igen. Azóta nincs óránkénti reboot. De lehet, hogy nyugodtabban aludnék egy XP reinstall után....

[FakeJack]

Hmm, feketelistás lett az ip-m, most már sokadjára. Utánanéztam, hogy miért, állítólag valami Storm Worm spammel(t?) nagy csendben. Grrr...
De vajon melyik géprõl... 

[Jahno]

Idézet: FakeJack - Dátum: 2007. nov. 11., vasárnap - 15:32

Hmm, feketelistás lett az ip-m, most már sokadjára. Utánanéztam, hogy miért, állítólag valami Storm Worm spammel(t?) nagy csendben. Grrr...
De vajon melyik géprõl... 

Vagy az elõtted lévõ júzertõl... Ezt szoptuk be odabent is, fele ISP-t spamlistára vágták.

[FakeJack]

Idézet: Jahno - Dátum: 2007. nov. 11., vasárnap - 16:50

Vagy az elõtted lévõ júzertõl... Ezt szoptuk be odabent is, fele ISP-t spamlistára vágták.

Nemtom, de ez a Memsweep2 szar már a 2. gépen van fent idehaza... 

[Eleanor]

Idézet: FakeJack - Dátum: 2007. nov. 11., vasárnap - 13:20

Igen. Azóta nincs óránkénti reboot. De lehet, hogy nyugodtabban aludnék egy XP reinstall után....

Amíg nem tudod, honnan került elõ a memsweep... addig nagyon jó tüneti kezelés, sok munkával...

[FakeJack]

Ez igaz. Kezdem azt hinni,  hogy a gepek a belso halon egymast fertozik.

[Béna00]

Idézet: topeti - Dátum: 2004. márc. 4., csütörtök - 15:32

HKEY_CLASSES_ROUTE alatt találtam két bejegyzést az alábbi kifejezésre rákeresve:

"FRAG MORE"

Töröltem is mint állat  és jelentem, eltünt a mocsadék.

Lamex, mégiscsak hasznos volt hogy ideges lettem

Hello.
Nekem most jött elõ ez a probléma.Megtudnád mondani zol keressem ezt a HKEY_CLASSES_ROUTE fáljt.Küld légyszi az e-mail címemre:balint66@citromail.hu
Elõre is köszi.

[Gabesz]

Van ez a Backdoor.Katien.n dolog, és az iexplore.exe file, és ezt minden indulásnál kiirja, a CounterSpy, hogy ez elindult,viszont sehol se találni utána, se a folyamatokban, se a registry-ben, se system32 mappában, sem az automatikus inditásban. Ilyenkor megfogja ezt a CSpy, hogy ne induljon el? Mondjuk karanténban benne van, de akkor miértnem irtja le végleg? 

[Gabesz]

Hogyan lehet végleg kiirtani trójait? Most éppen virtumonde nevü cseszeget, és mindig amikor megkerestetem akkor törli is a CounterSpy is, az Ad-aware is meg S&D is, de következõ indulásnál már a CounterSpy jelez, hogy valami megint módositani akarja a bejegyzéseket és karanténba rakja.
Ez valamit a winlogon-ba matathat bele, de registry-ben semmi különöset nem látok, meg olyat se amiket irogatnak a virtumonde remove találatokra

[Eleanor]

HijackThis?

[Gabesz]

Az csak a C:\Windows\System32-ben lévõ lsass.exe fájlt irja fertõzöttnek, de csak egy lsass.exe van az egész gépen, feladatkezelõben viszont kétszer ottvan.

[Eleanor]

Jaa, ha a csak azt... és tõlünk mit vársz?  Látatlanban mondjuk meg a tutit?

[MisterY]

A Spyware Terminator egy Trojan.startpage.rgt nevû kártevõt talál az egyik gépemen a temp könyvtárban különbözõ alkönyvtárakban általában egy registry.dll formájában.

Ad-aware, spybot, windows defender, nod32 nem talált semmit.
Csökkentett módban is le lett már takarítva, teljes temp könyvtár törölve, de újra elõjön.
HijackThis nem mutat idegen programokat.

Találkozott már valaki ilyennel?