IamWeasel Opublikowano 28 Maja 2006 Zgłoś Opublikowano 28 Maja 2006 Dziś stało się coś bardzo dziwnego. Nie instalowałem żadnych nowych programów. Nagle komp zaczął strasznie mulić. explorer wiesza się co chwilę na kilka minut, otwarcie Mojego Komputera graniczy z cudem. Aplikacje włączają się po minucie. Kolejna dziwna rzecz - podejrzewam, że mój komputer zaczął rozsyłać spam. W trayu mruga mi co chwilę ikonka wysyłania poczty na najróżniejsze serwery. Co dziwniejsze wysyłanie maili ustaje przy zakończeniu procesu ashMaiSv.exe, czyli procesu Avasta! Komp sprawdzony: Avastem, Microsoft Anti-Spyware i Adaware. Nic. Powiem więcej: po zaniesieniu dysku do kumpla i podłączeniu jako slave kiedy próbowałem wykonywać jakieś operacje na moim dysku wszystko muliło tak samo. Tzn. działało, ale taaaaaaak wolno. OCB??? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Gość MaRuH Opublikowano 28 Maja 2006 Zgłoś Opublikowano 28 Maja 2006 (edytowane) Format powinien pomóc Edytowane 28 Maja 2006 przez maruh Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
pluszek Opublikowano 28 Maja 2006 Zgłoś Opublikowano 28 Maja 2006 Moze tryb PIO na dyskach... Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
greg505 Opublikowano 28 Maja 2006 Zgłoś Opublikowano 28 Maja 2006 HijackThis i wklej loga Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
borsuczy_król Opublikowano 28 Maja 2006 Zgłoś Opublikowano 28 Maja 2006 Albo Rootkit Revealer, takiego spambota np HijackThis zdaje sie nie widzi juz. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
avecezary Opublikowano 28 Maja 2006 Zgłoś Opublikowano 28 Maja 2006 (edytowane) a jak po fizycznym odlaczeniu kompa od sieci? jak wyglada wydajnosc w menadzerze zadan? msconfig? rootkit revealer? netstat -v -b ? screeny sie przydadza Edytowane 28 Maja 2006 przez avecezary Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
IamWeasel Opublikowano 31 Maja 2006 Zgłoś Opublikowano 31 Maja 2006 Rootkit Revealer pokazał: Tak wygląda mój msconfig: A tak log z hijackthis: » Naciśnij, żeby pokazać/ukryć tekst oznaczony jako spoiler... « Logfile of HijackThis v1.99.1 Scan saved at 19:50:52, on 2006-05-31 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe F:\Microsoft AntiSpyware\gcasServ.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe F:\WFTVFM\WFWIZ.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE F:\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe F:\Microsoft AntiSpyware\gcasDtServ.exe F:\SetPoint\SetPoint.exe f:\Avast4\aswUpdSv.exe C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe f:\Avast4\ashServ.exe C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE f:\BlueSoleil\BTNtService.exe C:\WINDOWS\runservice.exe f:\POPFile\popfileib.exe F:\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe C:\Program Files\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe f:\Avast4\ashMaiSv.exe f:\Avast4\ashWebSv.exe C:\DOCUME~1\Mike\USTAWI~1\Temp\Rar$EX00.094\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=33568 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:\WINDOWS\system32\LightFrame3IECOM.dll O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\FlashGet\jccatch.dll O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Program Files\Siber Systems\AI RoboForm\roboform.dll O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [gcasServ] "F:\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [WinFast Schedule] f:\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "F:\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avast!] f:\Avast4\ashDisp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Run POPFile.lnk = F:\POPFile\runpopfile.exe O4 - Global Startup: Logitech SetPoint.lnk = F:\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = F:\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Download All by FlashGet - F:\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - F:\FlashGet\jc_link.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Personalizuj Menu - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html O8 - Extra context menu item: RF Pasek Narzędzi - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O8 - Extra context menu item: Wypełnij Pola - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O8 - Extra context menu item: Zapisz Pola - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Wypełnij Pola - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra 'Tools' menuitem: Wypełnij Pola - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html O9 - Extra button: Zapisz - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra 'Tools' menuitem: Zapisz Pola - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra 'Tools' menuitem: RF Pasek Narzędzi - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {48884C41-EFAC-433D-958A-9FADAC41408E} (EGamesPlugin Class) - https://www.e-games.com.my/com/EGamesPlugin.cab O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing) O21 - SSODL: mszw32.dll - {5787C72D-7735-FE46-F900-EDA6464438BC} - c:\windows\system32\mszw32.dll (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - f:\Avast4\aswUpdSv.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: avast! Antivirus - Unknown owner - f:\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - f:\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - f:\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: BlueSoleil Hid Service - Unknown owner - f:\BlueSoleil\BTNtService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - F:\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Aha, pisałem na początku, że ikonka wysyłania poczty przestaje migać po wyłączeniu Avasta - dopiero teraz zorientowałem się, jakie to oczywiste. Avast automatycznie skanuje wysyłaną pocztę, w tym spam wysyłany przez spambota. Czy te informacje wystarczą, żeby go namierzyć? Aha, spam nie jest wysyłany cały czas, tylko co kilka/kilkanaście minut seriami po kilka minut. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
avecezary Opublikowano 31 Maja 2006 Zgłoś Opublikowano 31 Maja 2006 witam loga z hijacka wklej tu: http://www.hijackthis.de/ sprawdz sysa paroma antyspyami preferuje "minimalizm" w msconfig ( uruchamianie i pewnie uslugi masz duzo "badziewia" ) i napisz jak chodzi bez neta Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
IamWeasel Opublikowano 31 Maja 2006 Zgłoś Opublikowano 31 Maja 2006 Jak już pisałem sprawdziłem system. Wkleiłem loga i nic ciekawego mi nie wykazał. Interesuje mnie ten Rootkit Revealer. Znalazł mi kilka podejżanych kluczy. Co mam z tym zrobić? Usunąc je? I co wtedy? Oprogramowanie antywirusowe wykryje mi już spambota? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
yuucOm Opublikowano 31 Maja 2006 Zgłoś Opublikowano 31 Maja 2006 Hmm. Może to jest jakiś robal z W32 przed którego może usunąć tylko specjanym program. Zrób tak: odpal konsole (wiersz poleceń) i wpisz netstat. Jeżeli pojawi Ci sie dużo połączeń to to może być ten robal. Napisz netstat pare razy i zobaczy czy za każdym razem ilość połączeń nie jest wieksza. Jak tak to użyj tego programiku: stinger. Mi on pomogł jak miałem raz syfa z rodziny w32 którego ani panda ani niczym sie nie dało usunąć. Mam nadzieje, że pomoże. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
IamWeasel Opublikowano 31 Maja 2006 Zgłoś Opublikowano 31 Maja 2006 Hmm za pierwszym razem były 2 połączenia. Po kilkunastu sekundach wpisałem znowu i już 7. Teraz jak wpisałem to są 32! Większość do localhosta, z różnymi portami. Może to dlatego, że uploadowałem obrazek na imageshack? Ale sprawdzałem to już po uploadzie, nawet stronę zamknąlem dawno. Spróbuję tego programiku. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
yuucOm Opublikowano 31 Maja 2006 Zgłoś Opublikowano 31 Maja 2006 No to bardzo możliwe ze to robal z którym stinger sobie poradzi ;). Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
IamWeasel Opublikowano 1 Czerwca 2006 Zgłoś Opublikowano 1 Czerwca 2006 Stinger skanował mi wszystkie dyski godzinę i nic nie znalazł... Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
yuucOm Opublikowano 1 Czerwca 2006 Zgłoś Opublikowano 1 Czerwca 2006 Stinger skanował mi wszystkie dyski godzinę i nic nie znalazł... :( pupnie. Imo tylko format może pomóc niestety ;e. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
