Dziwne zachowanie NAV (samoczynne wysyłanie poczty?!) i inne


(Grzesio Aus Tirol) #1

Dzień dobry

Wciągu ostatniego tygodnia zdarzyło mi się dwukrotnie, że komputer wprowadzony w stan wstrzymania samodzielnie się z niego 'wybudził' - ale co dziwne nie mogłem wejść na swoje konto, bo konsekwentnie żądał ode mnie zalogowania się hasłem - podczas gdy nigdy żadnego hasła na nim nie ustawiałem; skończyło się więc na restarcie.

W weekend bardzo mulił się internet - ale nie wiem, czy komputera, czy sieci (neostrada) to wina - od poniedziałku było jednak wyraźnie lepiej.

Wczoraj zaraz po uruchomienia komputera i ściągnięciu poczty w Outlooku wyskoczyło mi okno Nortona Anti Virusa "Program skanuje wychodzącą wiadomość e-mail", pomimo, że nie miało to najmniejszego związku z Outlookiem (gdzie nic nie było aktualnie wysyłane, ani nie trafiło do folderu wysłanych) - i w krótkim czasie wyskoczyło mi tych okien ze dwadzieścia, choć wszystkie chyba zakończyły się komunikatem, że NAV nie mógł wysłać poczty, bo połączenie zostało odrzucone itp.

Gdy włączyłem Outposta (był, niestety, wyłączony, bo powodował mi częste restarty podczas połączenia z siecią :frowning: ), ten natychmiast zasygnalizował mi, że mysvcc.exe chce ustanowić połączenie.

Ściągnąłem więc Hijack This i z jego pomocą wywaliłem mysvcc.exe i svcchost.exe , poniżej przedstawiam log już po tej operacji. Ściągnąłem ponadto WWDC i pozamykałem porty.

Zaraz potem, przy następnym połączeniu do inernetu, dosłownie po kilku sekundach, powtórzyła się sytuacja z wyskakującymi oknami poczty wysyłanej przez Nortona, ale tym razem Outlook był w ogóle wyłączony. Norton, AVK (ten ostatni co prawda z przedpotopowymi bazami) oraz AdAware konsekwentie nic nie znajdowały.

Zrestartowałem system (nie był restartowany po Hijacku) i przez następne kilkanaście minut kolejnego połączenia (na dłuższy test nie miałem, niestety, czasu) wszystko zdawało się być w jak najlepszym porządku - tym niemniej przypuszczam, że jakaś franca jeszcze tam siedzi - rpcc.dll na przykład?

Uprzejmie proszę o pomoc

Grzesio


(Joan Sunshine) #2

Ściągasz GMERA

W zakładke CMD -> CMD wklej:

Klikasz Uruchom

Wyłączasz przywracanie systemu (Panel sterowania -> System -> Przywracanie systemu -> zaznaczasz „Wyłącz przywracanie systemu” ).

W HJT zaznaczasz wpisy i klikasz na dole "Fix checked" :

Po zabiegach nowe logi z HiJacka oraz Silent Runners (zaznaczasz No i czekasz aż skończy pracować w tle). :slight_smile:


(Grzesio Aus Tirol) #3

Dziękuję bardzo, tak i zrobiłem - acz przyznać muszę, że po odpaleniu gmera z w/w wpisem wyskoczył mi komunikat Delete Key: Podany parametr jest niepoprawny.

Oto i nowe logi:

Hijack This

Oraz Silent Runners

I na czym stoimy? :slight_smile:

Pozdrawiam

Grzesio


(Joan Sunshine) #4

Ale usunął, co miał usunąć. Logi czyste :slight_smile:

Przeczyść rejestr – użyj do tego jv16 PowerTools 2006 1.5.2.344.

opis tutaj

Pozatym przejrzyj: Lista zbędników w autostarcie oraz Optymalizacja XP.

Wejdź: Start > uruchom > msconfig i w zakładce „Uruchamianie” odznacz, niepotrzebne według Ciebie, programy w autostarcie. :slight_smile:

Zainstaluj SP2.


(Grzesio Aus Tirol) #5

Wielce dziękuję! :smiley:

Ale mam jeszcze jedno pytanie - obraziwszy się gruntownie na NAVa ściągnąłem Avasta - po uruchomieniu znalazł 2 wirusy w plikach katalogu system32 - win32 Trojan-gen w pliku bs5-nt15v.exe i rbot-ctf w TFTP2780.

Przeniosłem je do kwarantanny - nie wiem, czy dobrze zrobiłem? :?

Pozdrawiam

Grzesio


(Joan Sunshine) #6

Wyrzuć wszystko z kwarantanny i zrób pełen skan EWIDO po update :slight_smile:


(Grzesio Aus Tirol) #7

Dziękujębardzo, pokornie zastosuję się do zaleceń! :smiley:

Niestety, nie mogę chwilowo zaktualizować baz AVG, więc jeszcze nie przeskanowałem - The server is not ready to serve, try again later. :frowning:

Co śmieszniejsze, kwarantanna Avasta była cały czas pusta...?

Pozdrawiam

Grzesiu

Złączono Posta : 08.12.2006 (Pią) 20:48

No udało się zaktualizować AVG.

Wykrył 89 obiektów - głównie tracking cookies, które wyciepałem (i pozwoliłem sobie ominąć we wklejonym raporcie), a oprócz tego następujące atrakcje:

Dla CSIE nie miałem litości :wink: , ale mniemam, że oba backdoory mogę spokojnie wywalić z kwarantanny?

Pozdrawiam

Grzesio