Mam następujacy problem: parę dni temu, jak zwykle miałem nawiązane połączenie z internetem i “surfowałem”.
W pewnym momencie połączenie zostało zerwane. Nic szczególnego, normalka. Nawiązałem nowe połączenie i było OK. Taki już mam odruch, że raz na jakiś czas wciskam alt, ctrl, del i zerkam na procesy.
Zobaczyłem dwa nowe o nazwach lsasss.exe oraz svcipa.exe. Od razu zamknąłem obydwa. Wszedłem do msconfig i wyłączyłem uruchamianie razem z systemem tego lsasss.exe. Pomyślałem, że sprawa załatwiona.
Jednak podczas kolejnego włączenia komputera, po wybraniu użytkownika, pojawił się pulpit, a wraz z nim okienko połączenie internetowe. Nigdy wcześniej tak nie było. Wszedłem do połączeń sieciowych w panelu sterowania i zobaczyłem, że mam dodatkowe połączenie o nazwie Internet Connection. Usunąłem je. Niby sprawa załatwiona, ale niestety…
Ściągnąłem program AVG Anti-Spyware 7.5, zaktualizwałem i przeskanowałem system. Program znalazł kilka robaków, postanowiłem usunąć je wszystkie. Po restarcie komputera, połączenie internetowe nadal wyskakuje, pomimo tego, że w połączeniach sieciowych nie tworzy się już to Internet Connection.
Do tego, funkcja Auto-Protect w moim programie antywirusowym jest wyłączona i nie mogę jej włączyć.
Podpowiedzcie proszę, co mam zrobić, żeby pozbyć się “nieproszonych gości” z mojego systemu. Już nie mam pomysłów…
Przeskanowałem dysk za pomocą HijackThis i wysłałem kuplowi. Stwierdził, że wszystko OK.
Następnie skorzystałem z http://www.mks.com.pl/skaner. Znalazł jakiegoś trojana, którego nazwy niestety nie zapisałem, bo postanowiłem go niezwłocznie wyrzucić.
Odinstalowałem swojego antywirusa i po ponownym uruchomieniu kompa zainstalowałem na nowo. Funkcja Auto-Protect zaczęła działać normalnie, nie wyłącza się. Po tym połączeniu Internet Connection już na szczęście nie ma śladu… Jednak wszystko do czasu… :?
Uznałem, że wszystko już OK, że będę miał już spokój. Niestety… Odpaliłem Neostradę, trochę posurfowałem i znowu się rozłączyło. Czasami traci tzw. synchronizację (ADSL), ale tym razem to nie było to. Wcisnąłem alt, ctrl, del i pierwsze co zobaczyłem, to proces o długiej nazwie “drf(ciąg cyfr)[1].htm.exe”, a także “svcipa.exe”. Od razu je zakończyłem. Procesu o nazwie “lsasss.exe” nie zauważyłem. W połączeniach sieciowych oczywiście utworzyło się Internet Connection. Oczywiście od razu je wywaliłem.
Skaner on-line tym razem nic nie wykrył.
Włączyłem HijackThis, przeskanowałem system i usunąłem linijkę, na końcu której było “lsasss.exe”. Następnie wszedłem do katalogu Windows i z folderu system32 usunąłem “ręcznie” plik “lsasss.exe”. Jedyny plik zawierający w nazwie “svcipa” jaki znalazłem na swoim dysku, to plik “SVCIPA.EXE-34971C3F.pf” w folderze C:\WINDOWS\Prefetch.
Przeskanuj AVG i wklej raport plus log z ComboFix. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.
Ponownie przeskanowałem skanerem online. Nie wykrył żadnych infekcji.
To jakiś wyjątkowo dziwny robak. Jest, ale… go nie ma!
Pewnie, gdy znowu wszystko przeskanuję, pousuwam podejrzane pliki, to przy kolejnym uruchomieniu kompa znowu uruchomią się te dziwne procesy, zerwie mi się połączenie, utworzy się to Internet Connection i nastąpi cały szereg innych nieszczęść, któremu będą towarzyszyć bluzgi, przekleństwa i rwanie włosów z głowy… Żebym tylko nie skończył jak ten krytyk teatralny z filmu “Miś” :mrgreen:
Trudno, muszę zaopatrzyć w jakiegoś nowszego antywirusa i przygotować się do formatu dysku. Ech… :?
Wiadomo, że raz na jakiś czas trzeba zrobić porządki.
Dzięki i pozdrawiam.
Złączono Posta: 12.04.2007 (Czw) 13:20
Postanowiłem jeszcze się nie poddawać
Przeskanowałem system programem AVG Anti-Spyware, który oprócz paru drobnych infekcji w plikach cookie, znalazł coś o nazwie “Hijacker.Agent.jh”. Lokalizacja tego “czegoś” to wg AVG “C:\Program Files\Common Files\Symantec Shared\ccApp.exe”, jednak fizycznie pliku o nazwie “ccApp.exe” w tej lokalizacji po prostu nie ma!
Może usunięcie tego “Hijacker.Agent.jh” wreszcie załatwi sprawę i nie będę skazany na rychły format dysku. Tylko jak go usunę, to jak mam się przed nim zabezpieczyć? Wystarczy, że AVG Anti-Spyware będzie startował razem z Windows? A może jest jakaś łatka Microsoftu?
