PCTuning fórum

tak sem otevřel něco co sem asi neměl-konkrétně mejl a tak nějak sem měl intuici že mi něco do compu vlezlo tak sem to projel AVG a hned test rezidentní paměti mi nalazl infikovanej soubor "csrss.exe" kterej je asi hodně důležitej neboť mi to nabídlo jenom léčit-dal sem léčit a ohlásilo mi to že je nutný restart počítače ale než se mi to restartovalo tak to doprojelo zbytek testu a našlo změni v knihovnách DLL asi ve třech a pak změnu v souboru"ntoskvnl.exe" který se nachází v systému32.Pak sem dal restart a když sem znova spustil rychlý test v AVG 7(i s nejnovější aktualizací) tak mi to nahlásilo už jenom ty změny DLL knihoven a ten ntoskvnl.exe tak dalo to na výběr jestli ponechat nebo uložit tak sem dal změny uložit aby mě to pořád neotravovali-léčit se to nedalo!Pak sem celý HDD pojel podrobným testem AVG7 a i AVASTEM(+nejnovější aktualizace) a nic to nenašlo.Dále sem spustil stingera a tool utilitu od avastu a taky nic.Hledal sem nějaký info o tomto viru a kromě pár anglických stránek sem nic nenašel a ani nic v info o virech v AVG a AVASTU tak mě tak napadlo jestli sem se ho vůbec zbavil,protože když se kouknu do výpisu testů v AVG tak tam mám u csrss.exe pořád status infikovaný-nejde mi do hlavy že tam není napsaný vyléčený-nebo je to tím restartem?Ani pořádně nevím jak by se měl ten trojan projevovat,tipnul bych si že odesílá nějaký informace ale jestli je aktivní nebo né to prostě nepoznám!Taky mi vrtá hlavou ten soubor "ntoskvnl.exe" jak byl změněn-jestli ho nemám třeba smazat..Potřeboval bych prostě poradit.Projížděl sem tady příbuzný témata ale k ničemu sem nedospěl,chjo Přidám ještě výpis hijackthis:
Logfile of HijackThis v1.98.2
Scan saved at 19:37:03, on 11.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avast4\aswUpdSv.exe
C:\Program Files\Avast4\ashServ.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\PROGRA~1\Avast4\ashmaisv.exe
C:\PROGRA~1\ICQ\ICQNet.exe
C:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\CONMET\conmet.exe
C:\Program Files\FlashGet\flashget.exe
C:\Downloads\HijackThis.exe

ještě tam byl nějaký další výpis ale to snad není potřeba...

no kedze ti este nikto rozumny neodpovedal tak idem na to

This section is for technical experts who want to know more.

Troj/Boxed-F is a DDoS flooder.

When first run Troj/Boxed-F registers itself as a new service named "Network Client" (this is also the service display name).

Troj/Boxed-F attempts to terminate the following services:
kavsvc
SAVScan
Symantec Core LC
navapsvc
wuauserv
nwclntc
nwclntd
nwclnte
nwclntf
nwclntg

Troj/Boxed-F runs continuously in the background sending random packets to selected dommains / IP addresses.

The Trojan also replaces the Windows HOSTS file to disable name resolution for various anti-virus and security related sites.

a postup na odinstalovanie... http://www.sophos.com/virusinfo/analyse ... oxedf.html , stiahni si ten virus identify a potom recovery > instruction > windows xp