Witam

Wiem, że jest tu też moja wina, bo nie zadbałem o aktualizacje itp., ale to miała być taka instalacja "na krótko" (a jak wiadomo prowizorki są najtrwalsze). A więc do rzeczy:

kilka dni temu zauważyłem, że po włączeniu komputera i uruchomieniu IE po kilkudziesięciu sekundach (ok. minuty) otwiera mi się nowe okno z jakąś chińską stronką (coś jaby soft porno - chce instalować język) o adresie 203.86.165.70

Trochę to zlekceważyłem bo nie było żadnych innych niepokojących objawów. Niestety dziś okazało się, że to nie wszystko. Podpiąłem ppc pod komputer i okazało się, że jest problem z activesync. Na ppc pokazuje się "connecting" i  "user autenticathed" i po kilkunastu sekundach próba połączenia przez gprs (jeśli jest w nim karta to następuje połączenie i chyba wtedy infekuje też ppc, bo po odłączeniu i soft resecie też próbuje używać gprs), natomiast na PC activesync próbuje się połączyć ale pokazuje status niepodłączony.

oto log z hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 12:58:33, on 22-10-2006
Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\System32\Ati2evxx.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\PROGRA~1\APC\POWERC~1\server\PBESER~1.EXE
G:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
G:\WINDOWS\D-Link NetDefend\ncprwsnt.exe
G:\WINDOWS\D-Link NetDefend\ncpsec.exe
G:\WINDOWS\system32\Ati2evxx.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\D-Link NetDefend\rwsrsu.exe
G:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
G:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
G:\Program Files\RealVNC\VNC4\WinVNC4.exe
G:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
G:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
G:\Program Files\WinFast\WFTVFM\WFWIZ.exe
G:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
G:\Program Files\Analog Devices\SoundMAX\Smax4.exe
G:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
G:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
G:\WINDOWS\D-Link NetDefend\ncpbudgt.exe
G:\Program Files\ATI Technologies\ATI.ACE\cli.exe
G:\WINDOWS\System32\ctfmon.exe
G:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE
I:\Program Files\palmOne\HOTSYNC.EXE
G:\Program Files\OpenOffice.ux.pl 2.0\program\soffice.exe
G:\Program Files\OpenOffice.ux.pl 2.0\program\soffice.BIN
G:\Program Files\ATI Technologies\ATI.ACE\cli.exe
G:\Program Files\ATI Technologies\ATI.ACE\cli.exe
I:\a\kujawa\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Program Files\Adobe\Acrobat 5.0 CE\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CaAvTray] "G:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "G:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [ATIPTA] G:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinFast Schedule] G:\Program Files\WinFast\WFTVFM\WFWIZ.exe
O4 - HKLM\..\Run: [SoundMAXPnP] G:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "G:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] G:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "G:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NcpBudget] "G:\WINDOWS\D-Link NetDefend\ncpbudgt.exe"
O4 - HKLM\..\Run: [NcpPopup] "G:\WINDOWS\D-Link NetDefend\ncppopup.exe" noerrmsg
O4 - HKLM\..\Run: [NcpMonitor] "G:\WINDOWS\D-Link NetDefend\ncpmon.exe" autorun
O4 - HKLM\..\Run: [ATICCC] "G:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "G:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: HotSync Manager.lnk = I:\Program Files\palmOne\HOTSYNC.EXE
O4 - Startup: OpenOffice.ux.pl 2.0.lnk = G:\Program Files\OpenOffice.ux.pl 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = G:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Utwórz Ulubione dla urządzenia przenośnego - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - G:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - G:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - G:\Program Files\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: g:\windows\system32\srvdll.dll
O10 - Unknown file in Winsock LSP: g:\windows\system32\srvdll.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://arcaonline.arcabit.com/ArcaOnline.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159867838812
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/pi/components/SignActivX.cab
O16 - DPF: {A8739816-022C-11D6-A85D-00C04F9AEAFB} (Web Camera Server Control) - http://217.28.152.28/wg_webeye.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8B39BEE-386C-422C-9F11-91D3C9EF1222}: NameServer = 194.204.159.1,194.204.152.34
O23 - Service: APC PBE Agent (APCPBEAgent) - APC - G:\PROGRA~1\APC\POWERC~1\agent\pbeagent.exe
O23 - Service: APC PBE Server (APCPBEServer) - APC - G:\PROGRA~1\APC\POWERC~1\server\PBESER~1.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - G:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - G:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CAISafe - Computer Associates International, Inc. - G:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: ncprwsnt - Unknown owner - G:\WINDOWS\D-Link NetDefend\ncprwsnt.exe
O23 - Service: NcpSec - Unknown owner - G:\WINDOWS\D-Link NetDefend\ncpsec.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: RwsRsu (rwsrsu) - Unknown owner - G:\WINDOWS\D-Link NetDefend\rwsrsu.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - G:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - G:\Program Files\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - G:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)