Udødelig Process med 99% CPU forbrug
OK!! ØV! Jeg har nu i 4 dage fået den for hårdt i måsen af en resident, polymorfisksatan af en virus ;( Normalt er det ik' et problem, også hvorfor jeg fik denne udfordring 8/
Jeg scannede alle filer med AntiVirPersonal (www.free-av.com), som da også fandt indtil flere
vira, bla. DR/Bridge.A.2, VBS/NewLove.A (Beklager jeg ik fik noteret alle).
Som indstillet, blev alt inficeret automatisk wiped (med systemgendannelse og filcache disabled!),
PS: Jeg mangler grumt en ordenlig procesviewer/-terminator, hit plz!
jeg genstartede og scannede igen. Intet fundet .. ?! I min taskmgr er der ca. 4-6 svchost.exe,
1 alg.exe & 1 spoolsv.exe processer aktive, efter hvert boot? Wtf?
Jeg søger lidt her på eksperten og finder bla;
http://www.eksperten.dk/spm/439740
http://www.eksperten.dk/spm/420352
Ud fra dette; DCOMbobulated! Wide Open, DUH! Derefter WindowsUpdate -> installere alt+SP1.
Med WebRoot Spy Sweeper har jeg fjernet al spyware, og scannet igen. Intet fundet ..
Scannet med AntiVir igen .. Intet Fundet .. Hm .. Scanner derfor med;
1. Trend Micro Housecall, http://housecall.antivirus.com/
2. Symantic Security Check, http://security.symantec.com/sscv6/home.asp
3. FProt, http://www.f-prot.com/products/home_use/ (dos/)
4. Panda ActiveScan, http://www.pandasoftware.com/activescan/com/activescan_principal.htm *
PS: PandaScan virkede i forgårs(140404), andre der ikke kan installere/scanne uden crash?
.. but .. No Cigar så tid til at wipe systemet, det havde taget kortede tid, geez.
YEAH RIGHT, as if ! Whine ! Efter system_reinstall, er de der sq stadig !! WTF? Nå, HD-WIPE
igen, og denne gang repartitionering også 8/ XP.Pro reinstall og whee, jeg kan se den satan
stadig boltrer sig i bedste velgående.. Scan, Scan, Scan .. zZzZz ... Så var det jeg endelig
fik noteret mig at de forskellige scannede et forskelligt antal filer, på trods af at de alle
er sat til "denne computer". WTF?
Scan Stats : antivir 19270 fprot(dos) 1970 symantec 12060 panda 0? housecall 18599
Min HiJackThis.log ser oz skummel ud, den kan ikke finde iexp_ver/reg_entries?
StartupList report, 16-04-2004, 03:28:01
StartupList version: 1.52
Started from : C:\INSTALL\HiJackTHIS\hijackthis.EXE
Detected: Windows XP SP1 (WinNT 5.01.2600)
Detected: Unable to get Internet Explorer version!
* Using default options
==================================================
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\INSTALL\HiJackTHIS\hijackthis.exe
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
--------------------------------------------------
Listing of startup folders:
Shell folders Common Startup:
[C:\Documents and Settings\All Users\Menuen Start\Programmer\Start]
hijackthis.exe.lnk = C:\INSTALL\HiJackTHIS\hijackthis.exe
--------------------------------------------------
Checking Windows NT UserInit:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,
--------------------------------------------------
Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:
Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*
Shell & screensaver key from Registry:
Shell=Explorer.exe
SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr
drivers=*Registry value not found*
Policies Shell key:
HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*
--------------------------------------------------
Enumerating ShellServiceObjectDelayLoad items:
PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
--------------------------------------------------
End of report, 2.595 bytes
Report generated in 0,016 seconds
Logfile of HijackThis v1.97.7
Scan saved at 04:16:58, on 16-04-2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\AVPersonal\AVGUARD.EXE
C:\Programmer\AVPersonal\AVWUPSRV.EXE
C:\Programmer\AVPersonal\AVGNT.EXE
C:\INSTALL\HiJackTHIS\hijackthis.exe
O4 - Global Startup: hijackthis.exe.lnk = C:\INSTALL\HiJackTHIS\hijackthis.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
#!# NOTER #!#
- INDTIL FLERE PROCES'R BLIR IK LISTED DE ER HER;
ALG.EXE
SVCHOST.EXE
SVCHOST.EXE (ja, forekommer i 4-6 instancer,
EXPLORER.EXE
SPOOLSV.EXE
CSRSS.EXE*
SYSTEM PID 4
"AKTIV SYSTEMPROCES" PID 0
Godt nok er jeg blevet et par grå hår klogere, meeeen ... Piv ;( Nu har jeg ik spillet ET i 3
dage, jeg får snart rysteture!, hjææælp ? Er sq snart klar til at gå ned på en strisser ...
Jeg baserer min antagelse om polymorfisk opførsel, fordi enkelte backup's af min HiJackThis
pludselig har fået to brødre ved navn .dll på 114kB og .inf på 2kB. Den må være resident da den
overlever et HD-wipe, krads djævel! Nogen der har den rette antibiotika ??