csrss sa nahráva a spúšťa z podadresára "temp"
asi predvčerom mi NOD akosi často začal hlásť "prerušené spojenie" vdôsledku Trojana...urobil som kompletný scan - nič. Potom som si všimol, že proces csrss.exe, ktorý je systémový je spustený 2x aj z adresára TEMP(má cca 200k na rozdiel od toho systémového, ktorý má 6k).Zastaviť nejde, vymazať tiež nejde,jediná cesta, ako sa ho zbaviť je boot z iného systému a vymazať ho. To však pôvodný systém pri boote hlási, že mu chýba. Natiahol som starý image, ale o chvíľu bol zas tam.
Som zúfalý,už som sa asi zacyklil. Chcle som na routri zakázať IP, ku ktorej sa to snaží komunikovať 70.86.108.199:80. zadám cieľ.adresu 70.86.108.199, masku 255.0.0.0, port80 a hlási mi chybu v nastavení filtra...ČO ROBÍM ZLE? (možno že všetko:(... )
hijack (výkričníky pri csrss som pridal ja):
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:20:44, on 14.2.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
L:\WINDOWS\System32\smss.exe
L:\WINDOWS\system32\winlogon.exe
L:\WINDOWS\system32\services.exe
L:\WINDOWS\system32\lsass.exe
L:\WINDOWS\system32\svchost.exe
L:\WINDOWS\System32\svchost.exe
L:\WINDOWS\Explorer.EXE
L:\Documents and Settings\Administrator\Application Data\dwm.exe
L:\WINDOWS\system32\spoolsv.exe
L:\Documents and Settings\Administrator\Application Data\Microsoft\conhost.exe
L:\Program Files\ESET\ESET Smart Security\ekrn.exe
L:\WINDOWS\system32\nvsvc32.exe
L:\WINDOWS\SOUNDMAN.EXE
L:\WINDOWS\system32\RUNDLL32.EXE
L:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
L:\Programy\Daemon Tools\daemon.exe
L:\Program Files\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
L:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
L:\Program Files\ESET\ESET Smart Security\egui.exe
L:\Program Files\Canon\MyPrinter\BJMyPrt.exe
L:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
L:\WINDOWS\system32\ctfmon.exe
L:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
L:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe
L:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
L:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
L:\Program Files\TechSmith\SnagIt 9\TSCHelp.exe
L:\Program Files\TechSmith\SnagIt 9\SnagPriv.exe
L:\Program Files\TechSmith\SnagIt 9\snagiteditor.exe
L:\Program Files\Internet Explorer\iexplore.exe
L:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe !!!!!!!!!!!!!!!!!!!!!
L:\totalcmd7\TOTALCMD.EXE
L:\WINDOWS\system32\msiexec.exe
L:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
to je otázka, kudy to do systému přichází. pokud máš systém na "l:" - že by nakažením z jiného systému? nějaký autorun.inf spouštěč na disku? nakažený bootsektor / mbr? stále zavirovaná flaska?
zakaž si proto funkci autorun ze všech jednotek, a hledej dál původce:
@lední brtník - Ďakujem za rady a ospravedlňujem sa za "zasieranie fóra", to bolo zo zúfalstva...
Tak som zas natiahol image, ale už som nič neinštaloval (predtým ICQ a nová verzia firefoxu)...a zatiaľ to ide ok, csrss uz v TEMP nie je, nie je tam ani ten conhost.exe, všetko ostatné je také ako v systéme na disku c:, ktorý problém vôbec nemal (to v podstate vylúčilo problém s bootsektorom/MBR/flashkou).
Vyhádzal som aj Nerove cipoviny, uz ma zaráža len jedno-súbor hosts:
v tom "dobrom" systéme vôbec nie je, a v tomto imagovanom as v ňom vyskytuje
"127.0.0.1 localhost" - netuším čo to znamená, ale v nastaveniach proxy IE nič nieje, ani už nič také nereportuje Hijack.
Záver: vychádza mi to tak, ako by to všetko pochádzalo od ICQ, ale nie od komunikácie, ale od samotnej inštalácie...neviem čo iné...budem to musieť sledovať...