Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Konstiga filer i System32mappen

1
Skriv svar
Permalänk
Medlem

Konstiga filer i System32mappen

Hej

Satt ikväll och installerade om windows 2000, gjorde som man ska, drog ut nätverkkablen och installerade brandväggar samt de winupdates jag hade på cd. Sen när jag gav mig ut och surafade lite för att tanka drivrutiner och sånt så upptäckte jag att följande filer fanns i aktivitetshanteraren och efter en sökning så visade det sig att de låg i winnt/system32

winamp.exe
isass.exe
winiogon.exe

Det ser inte helt lovande ut, men hur fasen har de kommit förbi både sygate & zonealarm? .....och går det att se från vilket ip de kom?

Visa signatur

Winfast K7ncr 18dpro | Sempron 2400+ @ 1800mhz | Geforce 6200 | 512 PC3200 | Soundstorm | Samsung 40gb + Seagate 80gb | NEC 2500A | Benq Dvd-spelare

Redigera
Citera flera Citera
Permalänk
Medlem

Det verkar som om det är tre olika virus. Det är ganska duktigt jobbat.

De ligger inte på skivan som du använde vid installationen?

Redigera
Citera flera Citera
Permalänk
Medlem

winamp.exe är juh för Winamp om du har den installerad ? inga av dom är virus eller spionprogram... helt normalt

Visa signatur

[Intel Core i9@13900KF Raptor Lake@5,5Ghz Oc][Asus ROG Z790 HERO[G-Skill RGB 32GB 6600Mhz cL34][WD Back 2TB NvMe][2TB Samsung 970 Evo + 2x8Tb Samsung 870 Qvo spel disk][Msi RTX 4090 Gaming Trio-X][ASUS ROG Swift OLED PG48UQ][Windows 11][1000/1000Mbits Telia fiber][Razer Ornata Tangentbord.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av pytonOrm
winamp.exe är juh för Winamp om du har den installerad ? inga av dom är virus eller spionprogram... helt normalt

NEJ, det är absolut inte normalt.
Speciellt inte winiogon.exe.

Ett bra exempel på felstavning som folk går på.
winlogon.exe är inte farlig däremot.

Samma med isass.exe.
Skall vara lsass.exe.

De "riktiga filerna" existerar antagligen tillsammans med de filerna som har fusknamn men kanske i en annan mapp.

Sök på filnamnen som trådskaparen använder i sitt inlägg så ser du vad det handlar om. Winamp.exe är väl ingen idé att söka på kanske.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Min gissning: W32.Linkbot.M

Hur man tar bort: Removal instructions

Citat:

(Discovered on: May 21, 2005)

W32.Linkbot.M is a worm that exploits the Microsoft Windows LSASS Buffer Overrun Vulnerability (Microsoft Security Bulletin MS04-011) in order to propagate. It also creates a back door on the system accessible through IRC.

When W32.Linkbot.M is executed, it performs the following actions:

1. Copies itself as one of the following:

* %System%\lssas.exe
* %System%\Isass.exe
* %System%\csrs.exe
* %System%\logon.exe
* %System%\winIogon.exe
* %System%\explorer.exe
* %System%\winamp.exe
* %System%\firewall.exe
* %System%\spoolsvc.exe
* %System%\spooIsv.exe
* %System%\algs.exe
* %System%\iexplore.exe

Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

Redigera
Citera flera Citera
Permalänk
Medlem

JohanS. Tackar så mycket det var den du skrev om. Äntligen fått bort skiten.

Visa signatur

Winfast K7ncr 18dpro | Sempron 2400+ @ 1800mhz | Geforce 6200 | 512 PC3200 | Soundstorm | Samsung 40gb + Seagate 80gb | NEC 2500A | Benq Dvd-spelare

Redigera
Citera flera Citera
1
Skriv svar