kas viirus? :: Hinnavaatluse Foorumid

pansomon · HV vaatleja liitunud: 30.07.2004

on põhjust kahtlustada, et arvutis on viirus. avg free ega ka mcafee online scann aga midagi ei näidanud... kas proovida ka teisi online scanne või on mingeid lihtsamaid viise?
probleem võib olla ka rauas, kuna peale emaplaadi vahetust on arvuti pisut ebakindlalt käitunud, nüüd aga kipuvad põhiliselt adobe asjad, aga ka muud, pisut tihedamini kokku jooksma ja tekkivad unknown errorid...

gamer · HV veteran liitunud: 11.03.2003

pansomon · HV vaatleja liitunud: 30.07.2004

ausaltöeldes ei lasknud. plaanis seda ka proovida, aga sellegipoolest, jama programmidega on tekkinud alles hiljuti, peale ühe kahtlase programmi käivitamist. kõhutunne ütleb, et asi ei ole ainult rauas, kuna uus emaplaat on juba ca 1 kuu töötanud teatud väikeste komplikatsioonidega, nüüd aga ühtäkki masin käitub väga kahtlaselt, tihti annab errorit, mälu saab otsa (kuigi ei tohiks) jne...

nt process exporer on praegu lahti ja selline aken nagu commit charge näitab, et kasutusel on 2gb, ehk 99% (kas see on ram + swap?). kuigi ühtegi asja pole lahti peale outlooki, + arvuti on netiga ühendatud.

jossi 1 · Kreisi kasutaja liitunud: 19.08.2004

Current Commit Charge näitab kasutusel oleva RAM ja pagefile suurust (korrektsem on pagefile kui swap). 2giga on üle mõistuse palju. Peale restarti on see ilmselt väiksem ja suureneb tasapisi? Mingi protsess õgib mälu. Kas PE seda ei näita, mis mälu sööb? Pane private bytes tulp ka näitama.

Võid proovida safe modes http://download.drweb.com/drweb+cureit/
kontrolli ka HiJackThis abil, mis käima tiritakse.
http://www.merijn.org/

Emaplaadi vahetusel on korrektne teha upgrade install, mida alustad vana plaadiga ja peale restarti vahetad plaadi.
http://support.microsoft.com/default.aspx?scid=kb;en-us;824125
Ilma selleta võib aga ei ole kindlustatud windowsi korralik toimimine uue plaadiga.

pansomon · HV vaatleja liitunud: 30.07.2004

soovitatud viisil windowsi peale panna ei saa, kuna mul tegu läppariga ja emaplaat vahetati ära garantii korras...

panen siia igaks juhuks ka hijackthisi logfaili ja process exploreri screenshoti protsessidest (jälle, põhimõtteliselt ainult netiga ühendatud, ja mozilla ning explorer ja 1,1 giga on commit...
kuigi PE protsessidest vähemalt minu harimatule silmale ei tundu ükski üleliigsena...

kui keegi oskab nende põhjal aidata, oleksin väga tänulik.

Logfile of HijackThis v1.99.1
Scan saved at 20:33:23, on 15.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\system32\bcmntray.exe
C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Extensis\Suitcase 9.2\Suitcase.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HPQ\Shared\hpqwmi.exe
C:\Program Files\Outlook Express\msimn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\Documents and Settings\User\My Documents\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hp.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [PTHOSTTR] C:\Program Files\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program Files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\bcmntray
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [WatchDog] C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Program Files\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DVD Check.lnk = C:\Program Files\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Suitcase Startup.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4825/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BDEA70C-0100-4D79-A10A-6DA4F02DDFC0}: NameServer = 194.126.115.18 194.126.101.34
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: ASAPHook
O20 - Winlogon Notify: OneCard - C:\Program Files\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Program Files\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Program Files\HPQ\Shared\hpqwmi.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Program Files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

jossi 1 · Kreisi kasutaja liitunud: 19.08.2004

Tohohh, küll käib alles palju asju. Kas kõik sul vajalikud, et starupil käima tiritakse? Kindlasti võiksid osad startupist eemaldada HiJackis. Ei viitsi praegu üksikasjalikult analüüsida. Võibolla on abiks sulle HJT autoanalüüs:
http://hjt.iamnotageek.com/parse.php?log=250598

Process Exploresris palusin view>select columns>process memory>private byte ära märkida, siis näed mis kui palju mälu võtab.

Imelik, et osad svchostid töötavad kasutaja konto all (sinised), mitte NT authority(roosad).

pansomon · HV vaatleja liitunud: 30.07.2004

kõik seal kindlasti pole vajalikud.

siin näide mälu täitumisest. ainus, kelle suurus järjekindlalt kasvab, on kõige alumine svchost. samas see on microsoft corporation?

jossi 1 · Kreisi kasutaja liitunud: 19.08.2004

No siis vaata mida see svchost jooksutab, parem klik sellel properties> ja image command line ning services tab.

pansomon · HV vaatleja liitunud: 30.07.2004

image tab ja command line peal kirjas svchost.exe
path on C:\WINDOWS\system32\svchost.exe
kõik oleks justkui õige? või äkki on see svchost ise nakatunud?
processi killida ei lase... suspend justkui peatas mälu söömise.

jossi 1 · Kreisi kasutaja liitunud: 19.08.2004

Vaat ma ei ole kunagi kohanud, et svchost toimib useri õigustega, tavaliselt nt authority omadega (võid process exploreris ka useri sisse lülida).

Kas sellel svchostil puudub service tab (sakk) nagu on roosal taustal olevatel svchostidel?

HJT ei anna teenuste käimaminemise kohta eritit infot. Uuri ka run>services.msc

Samuti lugesin üle, et sul käib kokku 8 svchosti: 6 authority ja 2 useri all. Tavaliselt üle 6 neid ei käi.

pansomon · HV vaatleja liitunud: 30.07.2004

jep, sellel svchostil puudub services tab.

mida ma services.msc-st otsiksin? esmapilgul tundusid küll kõik õiged asjad seal olevat.

ma arvan, et need kaks üleliigset svchosti ongi need pätid. hetkel olen probleemi lahendanud nii, et suspendin selle svchosti tegevuse ära, kes mälu sööma hakkab. peale seda olukord normaliseerub, st kadunud mälu tekib aja jooksul tagasi ja arvuti töötab normaalselt. sellegipoolest peaks mingi viis olema, et seda paharetti identifitseerida ja hävitada. proovin pärastpoole veel teisi viirusskänne ja proovin ka safe modes skännida.

ps. kuidas online viirusskännide puhul käituma peaksin, kas suspendin selle pahareti tegevuse ära või lasen tal möllata skännimise ajal? kuidas see suspendimine võib mõjuda viiruse avastamisele?

jossi 1 · Kreisi kasutaja liitunud: 19.08.2004

Kui puudub sevice tab, siis järelkult ei käivita need svchostid mingeid teenuseid. Küsimus jääb - miks nad üldse käivad? Mis otstarve neil on? Ja kustkohapealt käima tiritakse? Ilmselt registris leiab rea, mis neid käima tirib.

Kaldun arvama, et see svchost pole antiviirusele küll vajalik. Ja kas need 2 useri alt käivituvat svchosti üldse vajalikud on?

Uuri veel nende abil mis käima tiritakse. Järsku leiad viite sellele svchostile, millel pole command line võtmeid ja töötab useri õigustes.
http://www.sysinternals.com/Utilities/Autoruns.html

http://www.spywareinfo.com/~merijn/files/startuplist.zip