csrss sa nahráva a spúšťa z podadresára "temp"
asi predvčerom mi NOD akosi často začal hlásť "prerušené spojenie" vdôsledku Trojana...urobil som kompletný scan - nič. Potom som si všimol, že proces csrss.exe, ktorý je systémový je spustený 2x aj z adresára TEMP(má cca 200k na rozdiel od toho systémového, ktorý má 6k).Zastaviť nejde, vymazať tiež nejde,jediná cesta, ako sa ho zbaviť je boot z iného systému a vymazať ho. To však pôvodný systém pri boote hlási, že mu chýba. Natiahol som starý image, ale o chvíľu bol zas tam.
Som zúfalý,už som sa asi zacyklil. Chcle som na routri zakázať IP, ku ktorej sa to snaží komunikovať 70.86.108.199:80. zadám cieľ.adresu 70.86.108.199, masku 255.0.0.0, port80 a hlási mi chybu v nastavení filtra...ČO ROBÍM ZLE? (možno že všetko:(... )
hijack (výkričníky pri csrss som pridal ja):
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:20:44, on 14.2.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
L:\WINDOWS\System32\smss.exe
L:\WINDOWS\system32\winlogon.exe
L:\WINDOWS\system32\services.exe
L:\WINDOWS\system32\lsass.exe
L:\WINDOWS\system32\svchost.exe
L:\WINDOWS\System32\svchost.exe
L:\WINDOWS\Explorer.EXE
L:\Documents and Settings\Administrator\Application Data\dwm.exe
L:\WINDOWS\system32\spoolsv.exe
L:\Documents and Settings\Administrator\Application Data\Microsoft\conhost.exe
L:\Program Files\ESET\ESET Smart Security\ekrn.exe
L:\WINDOWS\system32\nvsvc32.exe
L:\WINDOWS\SOUNDMAN.EXE
L:\WINDOWS\system32\RUNDLL32.EXE
L:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
L:\Programy\Daemon Tools\daemon.exe
L:\Program Files\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
L:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
L:\Program Files\ESET\ESET Smart Security\egui.exe
L:\Program Files\Canon\MyPrinter\BJMyPrt.exe
L:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
L:\WINDOWS\system32\ctfmon.exe
L:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
L:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe
L:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
L:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
L:\Program Files\TechSmith\SnagIt 9\TSCHelp.exe
L:\Program Files\TechSmith\SnagIt 9\SnagPriv.exe
L:\Program Files\TechSmith\SnagIt 9\snagiteditor.exe
L:\Program Files\Internet Explorer\iexplore.exe
L:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe !!!!!!!!!!!!!!!!!!!!!
L:\totalcmd7\TOTALCMD.EXE
L:\WINDOWS\system32\msiexec.exe
L:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
pokrač.hijack:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:58323
F3 - REG:win.ini: load=L:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - L:\Program Files\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - L:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - L:\Program Files\FlashGet\jccatch.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - L:\Program Files\FlashGet\getflash.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - L:\Program Files\TechSmith\SnagIt 9\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE L:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] L:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] L:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE L:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "L:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "L:\Programy\Daemon Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [D-Link AirPlus XtremeG DWL-G122] L:\Program Files\D-Link\AirPlus XtremeG DWL-G122\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] L:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NeroFilterCheck] L:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [egui] "L:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [CanonMyPrinter] L:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [CanonSolutionMenu] L:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [IJNetworkScanUtility] L:\Program Files\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
O4 - HKLM\..\Run: [conhost] L:\Documents and Settings\Administrator\Application Data\Microsoft\conhost.exe
O4 - HKCU\..\Run: [ctfmon.exe] L:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "L:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] L:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] L:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = L:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SnagIt 9.lnk = L:\Program Files\TechSmith\SnagIt 9\SnagIt32.exe
O8 - Extra context menu item: &Download All with FlashGet - L:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - L:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://L:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - L:\Program Files\ICQ7.4\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - L:\Program Files\ICQ7.4\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - L:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - L:\Program Files\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - L:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - L:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - L:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - L:\Program Files\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - L:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - L:\WINDOWS\system32\browseui.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - L:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - L:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - L:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: NBService - Nero AG - L:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - L:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - L:\WINDOWS\system32\nvsvc32.exe
proč se po startu spouští instalátor:
L:\WINDOWS\system32\msiexec.exe
toto už jsi zjistil že je část viru/spyware:
F3 - REG:win.ini: load=L:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\csrss.exe
co to máš?
O4 - HKLM\..\Run: [SW20] L:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] L:\WINDOWS\system32\sw24.exe
si zjisti ve vlastnostech/verze nebo na netu od čeho to je, mi se to nelíbí :(
O4 - HKLM\..\Run: [conhost] L:\Documents and Settings\Administrator\Application Data\Microsoft\conhost.exe
další extrémně podezřelé, nějaký hnus velebnosti:
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
toto divné nastavení proxy bych odstranil: "ovládacích panely - možnosti ie - připojení" nemá být nic:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:58323
pro jistotu zkontroluj že hosts má normální obsah, nezměněný tvým virem/spywarem:
ranou jistoty při nefunkčnosti síťového připojení po odvirování bývá "winsockfix"
- - - -
neškodná část: když už jsi tu, cypoviny od nera raději zrušit:
O4 - HKLM\..\Run: [NeroFilterCheck] L:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "L:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O23 - Service: NBService - Nero AG - L:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - L:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
stejně tak win messenger patří odinstalovat, aspoň to zakaž:
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - L:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - L:\Program Files\Messenger\msmsgs.exe
- - - -
nemohu si přesto odpustit komentář:
zasírání internetových fór neestetickými výpisy z hijackthis je nechutnost. přitom je to docela dobrá možnost jak poznat svůj systém - prostě si to projít a podezřelé hned ověřit sám.
... kdyby tak asi miliarda tazatelů na netu nebyla líná jak veš :(
to je otázka, kudy to do systému přichází. pokud máš systém na "l:" - že by nakažením z jiného systému? nějaký autorun.inf spouštěč na disku? nakažený bootsektor / mbr? stále zavirovaná flaska?
zakaž si proto funkci autorun ze všech jednotek, a hledej dál původce:
@lední brtník - Ďakujem za rady a ospravedlňujem sa za "zasieranie fóra", to bolo zo zúfalstva...
Tak som zas natiahol image, ale už som nič neinštaloval (predtým ICQ a nová verzia firefoxu)...a zatiaľ to ide ok, csrss uz v TEMP nie je, nie je tam ani ten conhost.exe, všetko ostatné je také ako v systéme na disku c:, ktorý problém vôbec nemal (to v podstate vylúčilo problém s bootsektorom/MBR/flashkou).
Vyhádzal som aj Nerove cipoviny, uz ma zaráža len jedno-súbor hosts:
v tom "dobrom" systéme vôbec nie je, a v tomto imagovanom as v ňom vyskytuje
"127.0.0.1 localhost" - netuším čo to znamená, ale v nastaveniach proxy IE nič nieje, ani už nič také nereportuje Hijack.
Záver: vychádza mi to tak, ako by to všetko pochádzalo od ICQ, ale nie od komunikácie, ale od samotnej inštalácie...neviem čo iné...budem to musieť sledovať...