Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

WINXPINI process duikt weer op!

None
10 antwoorden
  • Hallo, ben net genezen van een Rbot-gen-besmetting maar nu duikt de naam van de drager van de besmetting weer op waarbij hij opgestart wordt door svchost. Zonealarm geeft dit aan met alertadvisor, zie verslag beneden. Hijackthis ziet 'm niet meer.
    Wat kan ik doen aan dit winxpini?

    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    ZoneAlarm Pro prevented your computer from accessing port 53 on a DNS server

    ZoneAlarm Pro prevented your computer from sending a message to a remote computer. No breach in your security has occurred.Your computer is safe.
    Inside the firewall alert



    Alert property Alert property value Technical explanation
    Source IP Address xxx.xxx.xxx.xxx The IP address of the computer that sent the packet which caused the alert.
    Source Port 3054 The port used by the source computer when sending the packet.
    Destination IP 194.159.73.136 The IP address of the computer to which the packet was sent.
    Destination Port 53 The port on the destination computer used to receive the packet.
    Transport Layer Protocol UDP The protocol that allows data to be transported between software programs on different computers.
    Network Layer Protocol IP The protocol that allows two networked computers to locate each other on a network.
    Link Layer Protocol Ethernet The protocol that allows two directly linked computers to share a network cable.
    Program Name Generic Host Process for Win32 Services A program on your computer. This program either attempted to send an IP packet over the Internet or is waiting for an incoming packet.
    [b:5183c81cfd]File Name svchost.exe The executable file on your computer that launches and runs Generic Host Process for Win32 Services.
    Program Version [u:5183c81cfd]winxpini.exe[/u:5183c81cfd] The version of Generic Host Process for Win32 Services running on your computer. [/b:5183c81cfd]Alert Date Oct-22-2004 05:43:16 AM GMT-08:00 The time when ZoneAlarm Pro detected the alert on your computer.
    Alert Count 1 Number of times this connection attempt repeated its attempt on your machine after the original alert. ZoneAlarm Pro shields your machine from repeated displays of an identical alert.
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
  • ik zou er toch even een hijackthislog bij plaatsen. En dan kijken of die winxpini.exe in de lijst van lopende processen wordt weergegeven. en een online virusscan laten doen bij trendmicro

    suc6
  • OK, hierbij de log:

    Logfile of HijackThis v1.98.2
    Scan saved at 18:58:15, on 23-10-2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
    C:\WINDOWS\System32\CTHELPER.EXE
    C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\Program Files\Logitech\iTouch\iTouch.exe
    C:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
    C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
    C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    C:\Program Files\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
    C:\Program Files\Logitech\MouseWare\system\em_exec.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avsynmgr.exe
    C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\McAfee\McAfee VirusScan\VsStat.exe
    C:\Program Files\McAfee\McAfee VirusScan\Vshwin32.exe
    C:\Program Files\Common Files\Network Associates\McShield\Mcshield.exe
    C:\Program Files\McAfee\McAfee VirusScan\Webscanx.exe
    C:\Program Files\McAfee\McAfee VirusScan\Avconsol.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\WINDOWS\System32\taskmgr.exe
    C:\Program Files\HijackThis\HijackThis1982.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startpagina.nl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
    O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
    O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O4 - HKLM\..\Run: [Jet Detection] "C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"
    O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
    O4 - HKLM\..\Run: [Alogserv] C:\Program Files\McAfee\McAfee VirusScan\alogserv.exe
    O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
    O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Pinnacle Scheduler.lnk = ?
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
    O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094211861999
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Besturing) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{957A54D0-3245-4B1D-809F-873E428449A2}: NameServer = 194.159.73.136,194.159.73.137
  • Demon Internet?
  • En uitslag Trendmicro: geinfecteerde: nul.

    Overigens merkte Trendmicro winxpini ook niet aan als virus, dat deed Kasperski bij een upload van de exe!
  • Inderdaad Demon Rieske, waarom?
  • Dan zou ik ff dat IP witten in je post, want da's het jouwe?

    Overigens doet ZA gewoon z'n werk en blockt de handel. Het enige vervelende is die paniekerige Alert Advisor; zet die functie gewoon uit. Bespaart je een boel paranoïa.
  • staat die winxpini.exe nog wel op je harde schijf? zo ja komt die wel in je taskmanager voor? aangezien hij niet in de lijst van hijackthis voorkomt.
  • Maar ff uitleggen dan:
    ZA maakt melding dat een IP van buitenaf geprobeerd heeft het bestand winxpini.exe binnen te loodsen; dat heeft ie geblockt. That's all.
  • Rieske, goeie tip maar waar staat mijn IP-adres; die twee adressen onder in de log zijn de DNS-serveradressen, die in de alertadvisor ook, mijn adres is daar al xxx etc. De alertadvisor staat uit, maar ik keek via de firewall-log en de infoknop naar uitleg op de ZA-site.

    MKL, hij komt niet meer voor op mijn harde schijf, en in de taakmanager.

    Rieske, inderdaad geblockt, maar hoe komt ie aan versienummer winxpini voor svchost, soms staat daar iets van msnmsg en soms een reeks getallen 173. etc.

    Ik vertrouw het nog niet helemaal.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.