csrss sa nahráva a spúšťa z podadresára "temp"
asi predvčerom mi NOD akosi často začal hlásť "prerušené spojenie" vdôsledku Trojana...urobil som kompletný scan - nič. Potom som si všimol, že proces csrss.exe, ktorý je systémový je spustený 2x aj z adresára TEMP(má cca 200k na rozdiel od toho systémového, ktorý má 6k).Zastaviť nejde, vymazať tiež nejde,jediná cesta, ako sa ho zbaviť je boot z iného systému a vymazať ho. To však pôvodný systém pri boote hlási, že mu chýba. Natiahol som starý image, ale o chvíľu bol zas tam.
Som zúfalý,už som sa asi zacyklil. Chcle som na routri zakázať IP, ku ktorej sa to snaží komunikovať 70.86.108.199:80. zadám cieľ.adresu 70.86.108.199, masku 255.0.0.0, port80 a hlási mi chybu v nastavení filtra...ČO ROBÍM ZLE? (možno že všetko:(... )
hijack (výkričníky pri csrss som pridal ja):
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:20:44, on 14.2.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
L:\WINDOWS\System32\smss.exe
L:\WINDOWS\system32\winlogon.exe
L:\WINDOWS\system32\services.exe
L:\WINDOWS\system32\lsass.exe
L:\WINDOWS\system32\svchost.exe
L:\WINDOWS\System32\svchost.exe
L:\WINDOWS\Explorer.EXE
L:\Documents and Settings\Administrator\Application Data\dwm.exe
L:\WINDOWS\system32\spoolsv.exe
L:\Documents and Settings\Administrator\Application Data\Microsoft\conhost.exe
L:\Program Files\ESET\ESET Smart Security\ekrn.exe
L:\WINDOWS\system32\nvsvc32.exe
L:\WINDOWS\SOUNDMAN.EXE
L:\WINDOWS\system32\RUNDLL32.EXE
L:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
L:\Programy\Daemon Tools\daemon.exe
L:\Program Files\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
L:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
L:\Program Files\ESET\ESET Smart Security\egui.exe
L:\Program Files\Canon\MyPrinter\BJMyPrt.exe
L:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
L:\WINDOWS\system32\ctfmon.exe
L:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
L:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe
L:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
L:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
L:\Program Files\TechSmith\SnagIt 9\TSCHelp.exe
L:\Program Files\TechSmith\SnagIt 9\SnagPriv.exe
L:\Program Files\TechSmith\SnagIt 9\snagiteditor.exe
L:\Program Files\Internet Explorer\iexplore.exe
L:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe !!!!!!!!!!!!!!!!!!!!!
L:\totalcmd7\TOTALCMD.EXE
L:\WINDOWS\system32\msiexec.exe
L:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
proč se po startu spouští instalátor:
L:\WINDOWS\system32\msiexec.exe
toto už jsi zjistil že je část viru/spyware:
F3 - REG:win.ini: load=L:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe
co to máš?
O4 - HKLM\..\Run: [SW20] L:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] L:\WINDOWS\system32\sw24.exe
si zjisti ve vlastnostech/verze nebo na netu od čeho to je, mi se to nelíbí :(
O4 - HKLM\..\Run: [conhost] L:\Documents and Settings\Administrator\Application Data\Microsoft\conhost.exe
další extrémně podezřelé, nějaký hnus velebnosti:
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
toto divné nastavení proxy bych odstranil: "ovládacích panely - možnosti ie - připojení" nemá být nic:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:58323
pro jistotu zkontroluj že hosts má normální obsah, nezměněný tvým virem/spywarem:
ranou jistoty při nefunkčnosti síťového připojení po odvirování bývá "winsockfix"
- - - -
neškodná část: když už jsi tu, cypoviny od nera raději zrušit:
O4 - HKLM\..\Run: [NeroFilterCheck] L:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "L:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O23 - Service: NBService - Nero AG - L:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - L:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
stejně tak win messenger patří odinstalovat, aspoň to zakaž:
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - L:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - L:\Program Files\Messenger\msmsgs.exe
- - - -
nemohu si přesto odpustit komentář:
zasírání internetových fór neestetickými výpisy z hijackthis je nechutnost. přitom je to docela dobrá možnost jak poznat svůj systém - prostě si to projít a podezřelé hned ověřit sám.
... kdyby tak asi miliarda tazatelů na netu nebyla líná jak veš :(
to je otázka, kudy to do systému přichází. pokud máš systém na "l:" - že by nakažením z jiného systému? nějaký autorun.inf spouštěč na disku? nakažený bootsektor / mbr? stále zavirovaná flaska?
zakaž si proto funkci autorun ze všech jednotek, a hledej dál původce:
@lední brtník - Ďakujem za rady a ospravedlňujem sa za "zasieranie fóra", to bolo zo zúfalstva...
Tak som zas natiahol image, ale už som nič neinštaloval (predtým ICQ a nová verzia firefoxu)...a zatiaľ to ide ok, csrss uz v TEMP nie je, nie je tam ani ten conhost.exe, všetko ostatné je také ako v systéme na disku c:, ktorý problém vôbec nemal (to v podstate vylúčilo problém s bootsektorom/MBR/flashkou).
Vyhádzal som aj Nerove cipoviny, uz ma zaráža len jedno-súbor hosts:
v tom "dobrom" systéme vôbec nie je, a v tomto imagovanom as v ňom vyskytuje
"127.0.0.1 localhost" - netuším čo to znamená, ale v nastaveniach proxy IE nič nieje, ani už nič také nereportuje Hijack.
Záver: vychádza mi to tak, ako by to všetko pochádzalo od ICQ, ale nie od komunikácie, ale od samotnej inštalácie...neviem čo iné...budem to musieť sledovať...