ntkernel.exe

[lamer]

Zdravim, chci se zeptat, znicehonic se mi na c:/ objevil ntkernel.exe - NOD32 si o nem nemysli ze je trojan, ale celkem me znepokojuje ze tam drive nebyl .. Takze mam to smazat nebo to ignorovat?

[Reklama]

[lamer]

Uz vim ze je to trojan ... muzu to odstranit rucne nebo musit pouzit nakou utilitu?

[Pic]

Mám obavy, že ručně nepůjde a že toho bude v Pc více - viz: http://www.viry.cz/forum/viewtopic.php? ... a38c99a6f2

[sakiri]

Ano jak psal Pic proto sem dej prosím log z HijackThisu:
Stáhni si HijackThis a ulož ho do samostatného adresáře.

Objeví se ti okno tak dole uprosřed klikni na tlačítko - Main Menu
A poté až se ti objeví menu tak klikni na Do a system scan and save a logfile
A počkej po chvilce by se ti mělo objevit okno Poznámkového bloku kde bude výpis HJT tak ho sem zkopíruj.

[lamer]

Nutno podoknout ze sem se unahlil a rucne to smazal ... Jinak tady je ten log prosim :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:07:06, on 17.7.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\windows\SOUNDMAN.EXE
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\windows\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\UAService7.exe
C:\windows\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\tools\Miranda IM\miranda32.exe
C:\tools\SensorsView\sview.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\tools\Far\Far.exe
C:\Install\HijackThis[loger]\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\tools\acrobat707pro\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\tools\BitComet\tools\BitCometBHO_1.1.2.7.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\tools\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\tools\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\tools\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\tools\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{34537F8A-939B-47BA-B7EF-BC9E1C44E5A5}: NameServer = 194.228.2.61,213.46.172.37
O20 - Winlogon Notify: winjjq32 - C:\windows\SYSTEM32\winjjq32.dll
O20 - Winlogon Notify: winjks32 - winjks32.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 4962 bytes

[sakiri]

Smaž tento červeně označený soubor:
C:\WINDOWS\system\svchost.exe

Pro lepší nalezení si zapni - Zobrazovat skryté a systémové soubory.

Pozor v tomto umístění C:\WINDOWS\system32\ je ten soubor v pořádku!

Poté v HJT fixni:
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\system\svchost.exe

A restartuj PC.

Poté až to všechno uděláš a restartuješ PC tak si stáhni Killbox a spusť jej.
Do volného řádku zkopíruj tenhle tučně označený text:
C:\windows\SYSTEM32\winjjq32.dll

a zaškrtni volbu Delete on Reboot a Unregister .dll Before Deleting
Poté stiskni bílý křížek v červeném kolečku.

PC se restartuje po restartu sem vlož nový log z HJT.

[lamer]

odstranil sem ten winjjq32.dll . Co dela vlastne spatnyho ten svchost.exe v c:/system/?

[fredik]

Bude to nejspíš nějaký trojan (C:\WINDOWS\system). Pokud ho tam ještě někde máš tak si daný soubor můžeš otestovat např zde: VirusTotall (byl pozměněn vzhled stránek, takže teď ta služba vypadá jinak než je v návodu).

Soubor v system32 jak už zmínil sakiri patří k systému.

Vlož sem ten nový log z HJT jak chtěl sakiri.