[OPGELOST] routine check

[Yannick]

het betreft hier mijn server die een controle nodig heeft.

over sommige dingen twijfelde ik... (kon niet echt duidelijkheid krijgen over bijvoorbeeld smss.exe)

er staan ook nog 2 programma's in die ik al lang geleden verwijderd heb.

filezilla en titan ftp

kan ik die waardes nu zo maar verwijderen?

hier volgt het logje.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 1:41:16, on 13-9-2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program Files\Pinnacle\Shared Files\Programs\ServerControl.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\yannick\Bureaublad\utorrent.exe

C:\UsbWebserver\Usb Webserver.exe

C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\WINDOWS\system32\srxTitan.exe

C:\WINDOWS\system32\svchost.exe

c:\windows\system32\drivers\etc\smss.exe

C:\Program Files\Pinnacle\ShowCenter\MediaServer\MediaServer.exe

C:\Program Files\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe

C:\WINDOWS\system32\wscntfy.exe

C:\UsbWebserver\Minirelay\usb_smtp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\UsbWebserver\Apache\bin\httpd_usb.exe

C:\UsbWebserver\Mysql\bin\mysqld-nt_usb.exe

C:\UsbWebserver\Apache\bin\httpd_usb.exe

C:\WINDOWS\system32\rserver30\RServer3.exe

C:\WINDOWS\system32\rserver30\FamItrfc.Exe

C:\WINDOWS\system32\rserver30\FamItrf2.Exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\msiexec.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.nl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [LyraControl] C:\Program Files\Pinnacle\Shared Files\Programs\ServerControl.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [µTorrent] "C:\Documents and Settings\yannick\Bureaublad\utorrent.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Usb Webserver.lnk = C:\UsbWebserver\Usb Webserver.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\rserver30\newtstop.dll

O23 - Service: Radmin Server V3 (RServer3) - Famatech International Corp. - C:\WINDOWS\system32\rserver30\RServer3.exe

O23 - Service: ShowCenter Media Server - Pinnacle Systems - C:\Program Files\Pinnacle\ShowCenter\MediaServer\MediaServer.exe

O23 - Service: ShowCenter Streaming Server - Pinnacle Systems - C:\Program Files\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe

O23 - Service: Titan FTP Server Daemon (SRTSERVERDAEMON) - South River Technologies, Inc. - C:\WINDOWS\system32\srxTitan.exe

O23 - Service: MS Session Manager Subsystem (System Session Manager Subsystem) - Unknown owner - c:\windows\system32\drivers\etc\smss.exe

--

End of file - 3943 bytes

[kape]

over sommige dingen twijfelde ik... (kon niet echt duidelijkheid krijgen over bijvoorbeeld smss.exe)

Hier is inderdaad een probleem mee : smss.exe hoort thuis in de System32 folder en als het ergens anders opduikt is het verdacht. Je zal de service O23 - Service: MS Session Manager Subsystem (System Session Manager Subsystem) - Unknown owner - c:\windows\system32\drivers\etc\smss.exe moeten uitschakelen en dan het bestand op deze locatie c:\windows\system32\drivers\etc\smss.exe verwijderen. Je correcte smss.exe staat helemaal bovenaan in je log : C:\WINDOWS\System32\smss.exe

Ook voor die Tian zal je eerst deze service moeten uitschakelen O23 - Service: Titan FTP Server Daemon (SRTSERVERDAEMON) - South River Technologies, Inc. - C:\WINDOWS\system32\srxTitan.exe voor je het bestand kan verwijderen C:\WINDOWS\system32\srxTitan.exe

Die Filezilla zie ik niet meteen sporen van ?

[Yannick]

filezilla had ik er al af gekregen.. was dat alleen even vergeten te veranderen voordat ik het log er in had gezet.

ik zal de rest eens gaan proberen..

[Yannick]

een nieuw logje.

is deze "clean" ?

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 2:15:26, on 14-9-2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Pinnacle\Shared Files\Programs\ServerControl.exe

C:\Program Files\Unlocker\UnlockerAssistant.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\yannick\Bureaublad\utorrent.exe

C:\UsbWebserver\Usb Webserver.exe

C:\WINDOWS\system32\rserver30\RServer3.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Pinnacle\ShowCenter\MediaServer\MediaServer.exe

C:\Program Files\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe

C:\WINDOWS\system32\rserver30\FamItrfc.Exe

C:\WINDOWS\system32\wscntfy.exe

C:\UsbWebserver\Apache\bin\httpd_usb.exe

C:\UsbWebserver\Mysql\bin\mysqld-nt_usb.exe

C:\UsbWebserver\Minirelay\usb_smtp.exe

C:\UsbWebserver\Apache\bin\httpd_usb.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\rserver30\FamItrf2.Exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O4 - HKLM\..\Run: [LyraControl] C:\Program Files\Pinnacle\Shared Files\Programs\ServerControl.exe

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [µTorrent] "C:\Documents and Settings\yannick\Bureaublad\utorrent.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Lokale service')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Netwerkservice')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Usb Webserver.lnk = C:\UsbWebserver\Usb Webserver.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\rserver30\newtstop.dll

O23 - Service: Radmin Server V3 (RServer3) - Famatech International Corp. - C:\WINDOWS\system32\rserver30\RServer3.exe

O23 - Service: ShowCenter Media Server - Pinnacle Systems - C:\Program Files\Pinnacle\ShowCenter\MediaServer\MediaServer.exe

O23 - Service: ShowCenter Streaming Server - Pinnacle Systems - C:\Program Files\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe

O23 - Service: Titan FTP Server Daemon (SRTSERVERDAEMON) - Unknown owner - C:\WINDOWS\system32\srxTitan.exe (file missing)

O23 - Service: MS Session Manager Subsystem (System Session Manager Subsystem) - Unknown owner - c:\windows\system32\drivers\etc\smss.exe (file missing)

--

End of file - 3774 bytes

[kape]

Dit is clean. Voor de ultieme opruiming mag je dit lijntje nog wel fixen met HJT : O23 - Service: Titan FTP Server Daemon (SRTSERVERDAEMON) - Unknown owner - C:\WINDOWS\system32\srxTitan.exe (file missing) en O23 - Service: MS Session Manager Subsystem (System Session Manager Subsystem) - Unknown owner - c:\windows\system32\drivers\etc\smss.exe (file missing) maar dit is een "schoonheidsfoutje".

[Yannick]

oke, supers.. dan is mijn servertje ook weer schoon

moet toch echt eens snel een linux server gaan pakken haha, geen last meer van dat gezeur

[Yannick]

O23 - Service: Titan FTP Server Daemon (SRTSERVERDAEMON) - Unknown owner - C:\WINDOWS\system32\srxTitan.exe (file missing)

O23 - Service: MS Session Manager Subsystem (System Session Manager Subsystem) - Unknown owner - c:\windows\system32\drivers\etc\smss.exe (file missing).

willen niet weg... ook na restart niet..

[kape]

willen niet weg... ook na restart niet..

Heb je eerst de services uitgeschakeld. Anders ook eens in veilige modus proberen.

[Yannick]

service uitgeschakeld en gaat nu perfect

dankje!! alles helemaal netjes weer.