WINXPINI process duikt weer op!

[anoniem]

Hallo, ben net genezen van een Rbot-gen-besmetting maar nu duikt de naam van de drager van de besmetting weer op waarbij hij opgestart wordt door svchost. Zonealarm geeft dit aan met alertadvisor, zie verslag beneden. Hijackthis ziet 'm niet meer. Wat kan ik doen aan dit winxpini? >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> ZoneAlarm Pro prevented your computer from accessing port 53 on a DNS server ZoneAlarm Pro prevented your computer from sending a message to a remote computer. No breach in your security has occurred.Your computer is safe. Inside the firewall alert Alert property Alert property value Technical explanation Source IP Address xxx.xxx.xxx.xxx The IP address of the computer that sent the packet which caused the alert. Source Port 3054 The port used by the source computer when sending the packet. Destination IP 194.159.73.136 The IP address of the computer to which the packet was sent. Destination Port 53 The port on the destination computer used to receive the packet. Transport Layer Protocol UDP The protocol that allows data to be transported between software programs on different computers. Network Layer Protocol IP The protocol that allows two networked computers to locate each other on a network. Link Layer Protocol Ethernet The protocol that allows two directly linked computers to share a network cable. Program Name Generic Host Process for Win32 Services A program on your computer. This program either attempted to send an IP packet over the Internet or is waiting for an incoming packet. [b:5183c81cfd]File Name svchost.exe The executable file on your computer that launches and runs Generic Host Process for Win32 Services. Program Version [u:5183c81cfd]winxpini.exe[/u:5183c81cfd] The version of Generic Host Process for Win32 Services running on your computer. [/b:5183c81cfd]Alert Date Oct-22-2004 05:43:16 AM GMT-08:00 The time when ZoneAlarm Pro detected the alert on your computer. Alert Count 1 Number of times this connection attempt repeated its attempt on your machine after the original alert. ZoneAlarm Pro shields your machine from repeated displays of an identical alert. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

[anoniem]

ik zou er toch even een hijackthislog bij plaatsen. En dan kijken of die winxpini.exe in de lijst van lopende processen wordt weergegeven. en een online virusscan laten doen bij trendmicro suc6

[anoniem]

OK, hierbij de log: Logfile of HijackThis v1.98.2 Scan saved at 18:58:15, on 23-10-2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe C:\Program Files\Analog Devices\SoundMAX\Smax4.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Logitech\iTouch\iTouch.exe C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Program Files\Logitech\MouseWare\system\em_exec.exe C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\taskmgr.exe C:\Program Files\HijackThis\HijackThis1982.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Pinnacle Scheduler.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094211861999 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{957A54D0-3245-4B1D-809F-873E428449A2}: NameServer = 194.159.73.136,194.159.73.137

[anoniem]

Demon Internet?

[anoniem]

En uitslag Trendmicro: geinfecteerde: nul. Overigens merkte Trendmicro winxpini ook niet aan als virus, dat deed Kasperski bij een upload van de exe!

[anoniem]

Inderdaad Demon Rieske, waarom?

[anoniem]

Dan zou ik ff dat IP witten in je post, want da's het jouwe? Overigens doet ZA gewoon z'n werk en blockt de handel. Het enige vervelende is die paniekerige Alert Advisor; zet die functie gewoon uit. Bespaart je een boel paranoïa.

[anoniem]

staat die winxpini.exe nog wel op je harde schijf? zo ja komt die wel in je taskmanager voor? aangezien hij niet in de lijst van hijackthis voorkomt.

[anoniem]

Maar ff uitleggen dan: ZA maakt melding dat een IP van buitenaf geprobeerd heeft het bestand winxpini.exe binnen te loodsen; dat heeft ie geblockt. That's all.

[anoniem]

Rieske, goeie tip maar waar staat mijn IP-adres; die twee adressen onder in de log zijn de DNS-serveradressen, die in de alertadvisor ook, mijn adres is daar al xxx etc. De alertadvisor staat uit, maar ik keek via de firewall-log en de infoknop naar uitleg op de ZA-site. MKL, hij komt niet meer voor op mijn harde schijf, en in de taakmanager. Rieske, inderdaad geblockt, maar hoe komt ie aan versienummer winxpini voor svchost, soms staat daar iets van msnmsg en soms een reeks getallen 173. etc. Ik vertrouw het nog niet helemaal.