CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo cały czas upload... pomocy!!!

cały czas upload... pomocy!!!

otóź problem tkwi w tym: jak tylko połączę się z netem komp od razu zaczyna coś wysyłać, upload cały czas "skacze". boje się źe to jakiś wirus bo wcześniej tego nie było. mks_vir nic nie znajduje, ad–aware teź. powywalałem juź chyba wszystkie "dziwne" rzeczy a on dalej coś upload'uje. no i jakby tego było mało to jak jestem w necie to często resetuje mi się samoistnie komp.
dołączam loga jak widzicie w nim coś podejrzanego to proszę pomóźcie! bo ja juź nie mam zdrowia...

Logfile of HijackThis v1.97.7
Scan saved at 21:05:40, on 2004–11–04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesTGTSoftStyleXPStyleXPService.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesMKSBinNetMonSv.exe
C:Program FilesMKSBinmksmonsv.exe
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSExplorer.EXE
C:YDPDICTWatch.exe
C:Program FilesJavaj2re1.4.2_04injusched.exe
C:PROGRA~1A4TechMouseAmoumain.exe
C:Program FilesWanadoo askbaricon.exe
C:Program FilesDU MeterDUMeter.exe
C:Program FilesMKSBinmks_menu.exe
C:WINDOWSSystem32ctfmon.exe
C:YDPDICTWatch.exe
C:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
C:Program FilesMicrotekScanWizard 5ScannerFinder.exe
C:Program FilesKWORLDMpegTV Station PCITVRemoteCtl.exe
C:Program FilesMKSBinmks_scan.exe
C:Program FilesWanadooEspaceWanadoo.exe
C:Program FilesWanadooComComp.exe
C:Program FilesWanadooWatch.exe
C:Program FilesGadu–Gadugg.exe
D:NEOSTRADADownloadHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.interia.pl/
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada Plus wita Cie w Internecie
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F1 – win.ini: load=C:YDPDictwatch.exe
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: TGTSoft Explorer Toolbar Changer – {C333CF63–767F–4831–94AC–E683D962C63C} – C:Program FilesTGTSoftStyleXPTGT_BHO.dll
O3 – Toolbar: (no name) – {62999427–33FC–4baf–9C9C–BCE6BD127F08} – (no file)
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_04injusched.exe
O4 – HKLM..Run: [WheelMouse] C:PROGRA~1A4TechMouseAmoumain.exe
O4 – HKLM..Run: [WOOWATCH] C:PROGRA~1WanadooWatch.exe
O4 – HKLM..Run: [WOOTASKBARICON] C:Program FilesWanadoo askbaricon.exe
O4 – HKLM..Run: [DU Meter] C:Program FilesDU MeterDUMeter.exe
O4 – HKLM..Run: [MKS_MENU] C:Program FilesMKSBinmks_menu.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [STYLEXP] C:Program FilesTGTSoftStyleXPStyleXP.exe –Hide
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–GaduPowergg.exe" /tray
O4 – HKCU..Run: [Skype] "C:Program FilesSkypePhoneSkype.exe" /nosplash /minimized
O4 – Global Startup: Aktywacja Testera.lnk = C:YDPDICTWatch.exe
O4 – Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
O4 – Global Startup: Microtek Scanner Finder.lnk = C:Program FilesMicrotekScanWizard 5ScannerFinder.exe
O4 – Global Startup: MpegTV Station PCITV Remote Control.lnk = C:Program FilesKWORLDMpegTV Station PCITVRemoteCtl.exe
O8 – Extra context menu item: &Download with &DAP – C:PROGRA~1DAPdapextie.htm
O8 – Extra context menu item: Download &all with DAP – C:PROGRA~1DAPdapextie2.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: Badanie (HKLM)
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 – DPF: {E7544C6C–CFD6–43EA–B4E9–360CEE20BDF7} (MainControl Class) – http://skaner.mks.com.pl/SkanerOnline.cab
O17 – HKLMSystemCCSServicesTcpip..{AB65F6FF–1A27–4667–942D–15883603E5FC}: NameServer = 194.204.152.34 217.98.63.164

Odpowiedzi: 20

Dzięki za rade będe pamietał. A moźe wiesz co było przyczyną tej całej sprawy? Bo ja nic nie robiłem specjalnego i jakoś tak samo mi przestało. Niewiem co będe musiał robij jak np. bede musiał sformatować dysk i znowu z tym walczyc.
I jeszcze raz THX za pomoc.
Dymian666
Dodano
11.12.2004 00:25:34
Jest OK.

Jeszcze jedno – jesli chcesz cos dopisac, uzyj przycisku zmien. Gorny prawy rog Twojego posta.
EL NINO
Dodano
10.12.2004 23:44:36
Jest OK.

Jeszcze jedno – jesli chcesz cos dopisac, uzyj przycisku zmien. Gorny prawy rog Twojego posta.
EL NINO
Dodano
10.12.2004 23:44:36
I dzięki za pomoc.
Dymian666
Dodano
10.12.2004 23:26:52
brałem emula pod uwage. zrobie jeszcze raz loga z wylączonym emulem, i jeszcze raz screena z netstatu.
i jeszcze niewiem co jest ze nei moge wejsc na poczte interii. niewiem czy to tylko u mnie czy cos nie tak z serwerem w interii jest. w sumie to mi juź dzisiaj przestało "coś" ciągle wysyłać, ale niewiem czy tak juź bedzie cały czas.

log z HJT:
Logfile of HijackThis v1.97.7
Scan saved at 22:22:40, on 2004–12–10
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesPanda SoftwarePavShldpavprsrv.exe
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004pavsrv51.exe
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004AVENGINE.EXE
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004PsImSvc.exe
C:Program FilesRaxcoPerfectDiskPDSched.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004APVXDWIN.EXE
C:Program FilesVIAudioiSBADeckADeck.exe
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004WebProxy.exe
C:WINDOWSsystem32wpabaln.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesInternet Exploreriexplore.exe
D:hijackthisHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.interia.pl/
O4 – HKLM..Run: [APVXDWIN] "C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004APVXDWIN.EXE" /s
O4 – HKLM..Run: [AudioDeck] C:Program FilesVIAudioiSBADeckADeck.exe 1
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [eMuleAutoStart] C:Program FileseMuleemule.exe –AutoStart
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 – HKLMSystemCCSServicesTcpip..{9BBA303C–2D9E–4E0B–86FD–334DC0567F64}: NameServer = 194.204.152.34 217.98.63.164
Dymian666
Dodano
10.12.2004 23:25:18
brałem emula pod uwage. zrobie jeszcze raz loga z wylączonym emulem, i jeszcze raz screena z netstatu.
i jeszcze niewiem co jest ze nei moge wejsc na poczte interii. niewiem czy to tylko u mnie czy cos nie tak z serwerem w interii jest. w sumie to mi juź dzisiaj przestało "coś" ciągle wysyłać, ale niewiem czy tak juź bedzie cały czas.

log z HJT:
Logfile of HijackThis v1.97.7
Scan saved at 22:22:40, on 2004–12–10
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesPanda SoftwarePavShldpavprsrv.exe
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004pavsrv51.exe
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004AVENGINE.EXE
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004PsImSvc.exe
C:Program FilesRaxcoPerfectDiskPDSched.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004APVXDWIN.EXE
C:Program FilesVIAudioiSBADeckADeck.exe
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004WebProxy.exe
C:WINDOWSsystem32wpabaln.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesInternet Exploreriexplore.exe
D:hijackthisHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.interia.pl/
O4 – HKLM..Run: [APVXDWIN] "C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004APVXDWIN.EXE" /s
O4 – HKLM..Run: [AudioDeck] C:Program FilesVIAudioiSBADeckADeck.exe 1
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [eMuleAutoStart] C:Program FileseMuleemule.exe –AutoStart
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 – HKLMSystemCCSServicesTcpip..{9BBA303C–2D9E–4E0B–86FD–334DC0567F64}: NameServer = 194.204.152.34 217.98.63.164
Dymian666
Dodano
10.12.2004 23:25:18
Nic nie ma. Przynajmniej w logu.
Tego emule i jego polaczenia brales pod uwage ?
EL NINO
Dodano
10.12.2004 22:44:50
i jeszcze log z HJT

Logfile of HijackThis v1.97.7
Scan saved at 21:05:07, on 2004–12–10
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSSystem32Ati2evxx.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesPanda SoftwarePavShldpavprsrv.exe
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004pavsrv51.exe
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004AVENGINE.EXE
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004PsImSvc.exe
C:Program FilesRaxcoPerfectDiskPDSched.exe
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSExplorer.EXE
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004APVXDWIN.EXE
C:Program FilesVIAudioiSBADeckADeck.exe
C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004WebProxy.exe
C:WINDOWSsystem32wpabaln.exe
C:Program FileseMuleemule.exe
C:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
C:Program FilesInternet Exploreriexplore.exe
D:hijackthisHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.interia.pl/
O4 – HKLM..Run: [APVXDWIN] "C:Program FilesPanda SoftwarePanda Titanium Antivirus 2004APVXDWIN.EXE" /s
O4 – HKLM..Run: [AudioDeck] C:Program FilesVIAudioiSBADeckADeck.exe 1
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–Gadugg.exe" /tray
O4 – HKCU..Run: [eMuleAutoStart] C:Program FileseMuleemule.exe –AutoStart
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O10 – Unknown file in Winsock LSP: c:program filespanda softwarepanda titanium antivirus 2004pavlsp.dll
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 – HKLMSystemCCSServicesTcpip..{9BBA303C–2D9E–4E0B–86FD–334DC0567F64}: NameServer = 194.204.152.34 217.98.63.164
Dymian666
Dodano
10.12.2004 22:11:42
nawet nie wiedziałem o takim porcie. spróbuje jeszcze wszystko dokładnie wyczyścić, ale niektórych plików nie dało się usunąc.
Dymian666
Dodano
10.12.2004 22:10:33
Dymian, ten caly port "epmap" na ktorym masz tyle polaczen, to port 135 a jak chyba wiesz, to port na ktorym dziala zarowno blaster jak i sasser. No i to chyba jest powodem – wyszukiwanie ofiar. Chyba.

Dla pewnosci jednak, pochwal sie logiem z HiJacka. Zobaczy sie czy nic Ci sie nie zaleglo.
EL NINO
Dodano
10.12.2004 21:51:02
Coś podobnego miał brat. Smiecie z kat c:documents and settings..... emp siały po necie. Na netstacie było bardzo duźo nawiązanych połączeń. Upload taki źe nawet maila nie moźna było wysłać. Pomogło: wyłączyć przywracanie systemu, odpiąć się od neta,czyszczenie dokładnie wszystkich katalogów temp, temporary internet files, historia, cookis jaki tylko są, takźe tych ukrytych.



Jeźeli jakichś plików nie moźesz usunąć to restart i uruchom w trybie awaryjnym. Pamiętaj aby wyłączyć przywracanie i sieć
jackow
Dodano
10.12.2004 21:48:11
Zapora zainstalowana i działa i nie widzi nic niepokojącego.
Dymian666
Dodano
10.12.2004 18:46:48
Zapora zainstalowana i działa i nie widzi nic niepokojącego.
Dymian666
Dodano
10.12.2004 18:46:48
Zainstalowana zapora ??
Bobi
Dodano
10.12.2004 17:31:42
Ja teź mam taki problem. w netstacie mam bardzo duzo polaczen,mam win xp home z dodatkiem sp2, ktory nie pomaga, skanowalem wszystkim co mialem, ad–aware, panda, norton 2004, skaner on–line, nic nie wykrywaja, mam neo+ 128, i ten problem jest juz po minucie od polaczenia z netem. Format robilem kilkanascie razy, calego dysku i nic. zciagalem wszystkie uaktualnienia i one tez nic nie pomagaja. co to jest? Powiem tylko ze na win 98 nie mialem takiego motywu.
Dymian666
Dodano
10.12.2004 16:49:40
witam ponownie

chciałbym powiedzieć źe pomogło... ale niestety nic nie wykryło... kurde juź mnie to zaczyna dziwić troszke... mocny ten wirus... no ale przecieź musi być na niego jakiś sposób... pomocy!!!
Kam
Dodano
08.11.2004 18:36:24
Postaraj sie przeskanowac kompa http://pl.trendmicro–europe.com/enterprise/products/housecall_nopermission.php Najwidoczniej masz jakiegos wirusa ze program "wwdc" wyswietla ci ten komunikat
gery3
Dodano
07.11.2004 20:48:13
log:

Logfile of HijackThis v1.97.7
Scan saved at 15:01:58, on 2004–11–07
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesTGTSoftStyleXPStyleXPService.exe
C:WINDOWSsystem32spoolsv.exe
C:Program FilesCommon FilesMicrosoft SharedVS7DEBUGMDM.EXE
C:Program FilesMKSBinNetMonSv.exe
C:Program FilesMKSBinmksmonsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSSystem32 vsvc32.exe
C:WINDOWSSystem32svchost.exe
C:YDPDICTWatch.exe
C:Program FilesJavaj2re1.4.2_04injusched.exe
C:PROGRA~1A4TechMouseAmoumain.exe
C:Program FilesWanadoo askbaricon.exe
C:Program FilesDU MeterDUMeter.exe
C:WINDOWSSystem32ctfmon.exe
C:YDPDICTWatch.exe
C:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
C:Program FilesMicrotekScanWizard 5ScannerFinder.exe
C:Program FilesKWORLDMpegTV Station PCITVRemoteCtl.exe
C:Program FilesGadu–Gadugg.exe
C:Program FilesMKSBinmks_scan.exe
C:Program FilesWanadooEspaceWanadoo.exe
C:Program FilesWanadooComComp.exe
C:Program FilesWanadooWatch.exe
C:Program FilesMKSBinmks_mail.exe
C:Program FilesMKSBinmks_menu.exe
C:Program FilesWinampwinamp.exe
C:Program FilesInternet ExplorerIEXPLORE.EXE
D:NEOSTRADADownloadHijackThis.exe

R0 – HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.interia.pl/
R1 – HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title = Neostrada Plus wita Cie w Internecie
R0 – HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
F1 – win.ini: load=C:YDPDictwatch.exe
O2 – BHO: (no name) – {06849E9F–C8D7–4D59–B87D–784B7D6BE0B3} – C:Program FilesAdobeAcrobat 6.0 CEReaderActiveXAcroIEHelper.dll
O2 – BHO: TGTSoft Explorer Toolbar Changer – {C333CF63–767F–4831–94AC–E683D962C63C} – C:Program FilesTGTSoftStyleXPTGT_BHO.dll
O3 – Toolbar: &Radio – {8E718888–423F–11D2–876E–00A0C9082467} – C:WINDOWSSystem32msdxm.ocx
O4 – HKLM..Run: [NvCplDaemon] RUNDLL32.EXE C:WINDOWSSystem32NvCpl.dll,NvStartup
O4 – HKLM..Run: [nwiz] nwiz.exe /install
O4 – HKLM..Run: [NeroCheck] C:WINDOWSsystem32NeroCheck.exe
O4 – HKLM..Run: [SunJavaUpdateSched] C:Program FilesJavaj2re1.4.2_04injusched.exe
O4 – HKLM..Run: [WheelMouse] C:PROGRA~1A4TechMouseAmoumain.exe
O4 – HKLM..Run: [WOOWATCH] C:PROGRA~1WanadooWatch.exe
O4 – HKLM..Run: [WOOTASKBARICON] C:Program FilesWanadoo askbaricon.exe
O4 – HKLM..Run: [DU Meter] C:Program FilesDU MeterDUMeter.exe
O4 – HKLM..Run: [MKS_MENU] C:Program FilesMKSBinmks_menu.exe
O4 – HKCU..Run: [CTFMON.EXE] C:WINDOWSSystem32ctfmon.exe
O4 – HKCU..Run: [STYLEXP] C:Program FilesTGTSoftStyleXPStyleXP.exe –Hide
O4 – HKCU..Run: [Gadu–Gadu] "C:Program FilesGadu–GaduPowergg.exe" /tray
O4 – HKLM..RunOnce: [SpybotSnD] "C:Program FilesSpybot – Search & DestroySpybotSD.exe" /autocheck
O4 – Global Startup: Aktywacja Testera.lnk = C:YDPDICTWatch.exe
O4 – Global Startup: DSLMON.lnk = C:Program FilesSAGEMSAGEM F@st 800–840dslmon.exe
O4 – Global Startup: Microtek Scanner Finder.lnk = C:Program FilesMicrotekScanWizard 5ScannerFinder.exe
O4 – Global Startup: MpegTV Station PCITV Remote Control.lnk = C:Program FilesKWORLDMpegTV Station PCITVRemoteCtl.exe
O8 – Extra context menu item: &Download with &DAP – C:PROGRA~1DAPdapextie.htm
O8 – Extra context menu item: Download &all with DAP – C:PROGRA~1DAPdapextie2.htm
O8 – Extra context menu item: E&ksport do programu Microsoft Excel – res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 – Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 – Extra button: Badanie (HKLM)
O16 – DPF: {644E432F–49D3–41A1–8DD5–E099162EEEC5} (Symantec RuFSI Utility Class) – http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 – DPF: {9A9307A0–7DA4–4DAF–B042–5009F29E09E1} (ActiveScan Installer Class) – http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 – DPF: {D27CDB6E–AE6D–11CF–96B8–444553540000} (Shockwave Flash Object) – http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 – HKLMSystemCCSServicesTcpip..{AB65F6FF–1A27–4667–942D–15883603E5FC}: NameServer = 194.204.152.34 217.98.63.164


firewalla z windowsa miałem włączonego do początku, załączam jeszcze screena z progrmu TCPview, pokazuje źe to explorer.exe "sieje po sieci". Mam nadzieję źe uda się "coś" wywalić bo jakoś nie za bardzo chce mi się format robić... bez walki się nie poddam :)

z góry dzięki za pomoc


[update] dodam jeszcze jednego screena – jak uruchamiałem program windows worm doors cleaner to wyskoczył taki komunikat.
Kam
Dodano
07.11.2004 16:17:04
Jaki znowu format ? Czy nie znacie innego slowa lub innej czynnosci ?

Twoj netstat pokazuje "tylko", ze siejesz po sieci na port 445. No a skoro to ten port, to mozna podejrzewac, ze zaleglo Ci sie cos sasseropodobnego. Moze jaki penis.exe ? :wink:

Pokaz jeszcze raz log HJ, pokaz uruchomione procesy (obrazek).

P.S. To ze uzytkownicy neostrady maja z tym problem, to nie zadna nowina. Po prostu wylaczaja "profilaktycznie" firewalla – bo to podobno straszne badziewie.
EL NINO
Dodano
07.11.2004 15:39:33
zrobiłem jak mówiłeś i niestety nie pomogło, kaspersky nic nie znalazł a spy hunter wykrył tylko kilka cookies. z tego wiem tylko uźytkownicy neostrady mają ten problem... ehhh chyba zostaje tylko format.
Kam
Dodano
06.11.2004 23:11:59
Kam
Dodano:
04.11.2004 22:15:16
Komentarzy:
20
Strona 1 / 2