» Poradna » Programy

Wintcpips

 |   | 

Občas se mi zasekne internet, nevypisuje žádné hlášky ale taky nic neukazuje (ping na stránky však jde). Všiml jsem si, že v procesech se objevuje spuštěný program WinTcpips.exe, přes nouzový režim jsem smazal z registrů vše co se týkalo wintcpips.exe a navíc jsem jej našel v c:\windows\system32 a smazal jsem jej, přes HijackThis jsem dal proces odstranit.. Projel jsem notebook NOD32, ruznymi antispywary a žádný mi nic nedetokoval.

Po chvili se mi opět zasekne net a je tu opět wintcpips.exe a znovu se objevuje ve windows\system32 a v registrech. Jak jej odstranit když nic nepomáhá?

Výpis z hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 11:00:10, on 29.3.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Apache Group\Tomcat 4.1\bin\tomcat.exe
C:\WINDOWS\system32\ifxspmgt.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
c:\MSSQL\Binn\sqlservr.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\omniNames\bin\srvany.exe
C:\WINDOWS\system32\IfxPsdSv.exe
C:\Program Files\omniNames\bin\omniNames.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Cominfo\Watt\runapp.exe
c:\MSSQL\Binn\sqlagent.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
C:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Restore Desktop\RestoreDesktop.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\systemy\proccesskiller\ProcessKiller.exe
C:\Program Files\Outlook Express\msimn.exe
C:\Program Files\ICQ\Icq.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
C:\systemy\hijackthis\hijackthis.exe

R0 Ukázat celý příspěvek

Odpovědi na otázku

 |   | 

odstran O4 - HKLM\..\Run: [MicroSoft Getway Dire] WinTcpips.exe
O4 - HKLM\..\RunServices: [MicroSoft Getway Dire] WinTcpips.exe

a odstran WinTcpips.exe po spusteni. Je to trojan.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

To samzřejmě vždy udělám - smažu wintcpips.exe z c:\windows\system32, smažu jej z registrů ale on se ukáže po chvíli zase.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | 

Neodpojil ses od sítě.
1) Nabootuj ze záchranného CD/DVD a vyčisti FS.
2) Nabootuj do nouzového režimu, zálohuj a vyčisti registry.
Pokud si nejsi zcela jist, pak místo smazání příslušné soubory ulož dočasně někam do zálohy.
Můžeš se řídit seznamem nejobvyklejších jmen exploitů:
www.greatis.com ...
ale není zde ani zdaleka vše. Některé exploity jsou schopny dynamicky měnit názvy po každém startu OS.
Pokud si nejsi zcela jist, že to zvládneš, svěř to odborníkovi.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

jj, to vše jsem udělal tak jak jsi psal. na rootkit a jeho regrun security není spoleh, když jsem jej použil tak nic nezjistil a nezachytil.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 | 

Aha, nevyjádřil jsem se zcela přesně.
Opravuji:
1) Boot z CD a ruční smazání příslušných souborlů z CMD (nebo přesun do zálohy). Na FS zcela jistě nebude pouze ten jediný soubor, ale i jeho zdroje, např. v tempu, i-cache atd. Nejedná se tedy o akci na několik minut.
2) Boot do nouzového režimu a ruční smazání zápisů v registrech (po záloze).
Pokud si nejsi jist, že to zvládneš, svěř to specialiistovi.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

blby dotaz - snaz nebudu za vola :)

CMD - myslíš příkazový řádek
FS - File System?

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   | 

Jo, mysli. A nez restartujes do nouzoveho rezimu, vypni obnoveni systemu.

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: VMware, Check Point, Program Files, Files, Service, Program, Hope, Extra, VMware workstation, Technologies, Workstation, Watt, Check, Infineon Technologies AG, Microsoft SQL Server


Určitě si přečtěte

Jak sestavit rodokmen. Z informací, které jsou na internetu

Jak sestavit rodokmen. Z informací, které jsou na internetu

Podrobný návod, jak hledat ve starých matrikách informace o předcích a nemuset při tom ani vstát od počítače. Základy internetové genealogie.

Marek Lutonský | 59

Co je to UWB? Nová technologie zastoupí Wi-Fi, Bluetooth i NFC a slibuje velké věci

Co je to UWB? Nová technologie zastoupí Wi-Fi, Bluetooth i NFC a slibuje velké věci

** V nových mobilech se začíná objevovat tajemná zkratka UWB ** Jde o další technologii, jak navzájem propojit různá zařízení ** Oproti Wi-Fi a Bluetooth má řadu výhod

Lukáš Václavík | 35

Nejjednodušší cesta, jak nepřijít o data: nastavte si zálohování a zapomeňte

Nejjednodušší cesta, jak nepřijít o data: nastavte si zálohování a zapomeňte

** Přijít o důležitá data je jednodušší, než si umíte představit ** To, zda a jak snadno je získáte zpět, záleží především na vás ** Když si nastavíte zálohování, může to být otázka několik minut

Karel Kilián | 33

Co když chce Microsoft nahradit Windows Linuxem. Dokážete si to představit?

Co když chce Microsoft nahradit Windows Linuxem. Dokážete si to představit?

** Windows už dávno nejsou pilířem podnikání Microsoftu ** Mnohem více mu vydělává cloud ** Pojďme si trošku zaspekulovat, kam až by to mohlo zajít

Jakub Čížek | 96


Aktuální číslo časopisu Computer

Megatest mobilů do 5 500 Kč

Test levných herních notebooků

Hrajeme na Xbox Series X

Programy pro kontrolu dětí na počítači