Podejrzane procesy próbują uzyskać dostęp do neta


(Mic Solecki) #1

Nagle pojawiły się dziwne procesy typu mon.exe, s32.exe, dos32.exe próbujące uzyskać dostęp do internetu. ZoneAlarm to raportował, więc odrzuciłem żądania. Wyglądało to dziwnie, bo procesy i próby połączenia pojawiły się, gdy w ogóle nie używałem kompa, nie były używana żadna przeglądarka etc. Jak mogę się tego pozbyć? I jak długo taki syf mógł tkwić gdzieś ukryty?

Log z HJT: http://wklej.org/id/9e14cdc398


(Szwejas2) #2

wystarczy, że zrobisz FIX w hijackthis

daj log z combofix


(Leon$) #3

wpis

usuń HijackThisem >> Fix checked

Pobierz Combofix http://forum.dobreprogramy.pl/viewtopic.php?f=16&t=36654 przeskanuj system daj log

:slight_smile:


(Mic Solecki) #4

Ok, tak zrobiłem, ale dos32.exe ciągle powraca po restarcie (i próbuje się łączyć). Nie pomogło usuwanie HJT i Avengerem. Pozostałe dwa, tj. mon.exe i s32.exe zniknęły.

Combofix u mnie nie działa, log z dss: http://wklej.org/id/e59cc1084b


(Leon$) #5

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj klikasz na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:


(Mic Solecki) #6

Ok, tym razem przy restarcie nic się nie próbowało łączyć. Raport Avengera: http://wklej.org/id/aa374c1b24

Dysku I:\ u mnie normalnie nie ma, tzn. ten syf przywędrował pewnie z pendrive'a. PRT wystarczy, żeby go wyczyścić?


(Gutek) #7

Kontrolnie nowy log z Combo


(Leon$) #8

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S ... Tool.shtml lub format

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

włącz przywracanie systemu

:slight_smile:


(Mic Solecki) #9

Kaspersky znalazł jeszcze jakiś syf: http://wklej.org/id/ca1d86880d

Ale swoim antywirem nie mogłem go usunąć (w ogóle tego nie wykrywa).

Tu jeszcze raport z dss: http://wklej.org/id/50f61c968f

Na C:\ pojawił się dwa dni temu winhost.exe, wcześniej tego nie było. Też syf?


(Leon$) #10

Zajrzyj na tą stronę poczytaj o pliku hosts ścągnij gotowy plik lub przygotuj sam popatrz jaka jest prawidłowa lokalizacja tego pliku

http://www.searchengines.pl/index.php?showtopic=11529

tak przygotowany możesz zabrać się za usuwanie

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Potem przygotowany plik hosts bez rozszerzenia wrzucasz do podanej lokalizacji C:\WINDOWS\system32\drivers\etc

jeszcze raz przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

zobacz czy nie ma wirusów

:slight_smile:

a tak z ciekawości dla czego nie uruchamia się Combofix?


(Mic Solecki) #11

Ok, tym razem chyba już wszystko w porządku. Wg Kasperskiego komp czysty: http://wklej.org/id/9f789c9323

Raport Avengera: http://wklej.org/id/fa7ad41593

Podziękował za pomoc :smiley:

A Combofix nie działał u mnie nigdy. Próbowałem kilka razy, także dawniej - włącza się, zaczyna skanować, skanuje nawet dość długo - ale w pewnym momencie się zawiesza. Kiedyś używałem wersji, która wyświetlała postęp skanowania - po prostu w pewnym momencie się zacinał. Na początku co ok. minutę zmieniał się postęp, więc było ok. Ale gdy się zacinał, po kilkunastu minutach kompletnej zwiechy robiłem reset (inaczej się nie dawało zabić procesu).

Pamiętam, że podobny problem miałem kiedyś ze Spybotem S&D. Skanowanie działało do pewnego momentu, a potem obciążało całkowicie CPU i stawało w miejscu. Nic nie zmieniała reinstalacja i update. Tak się działo mimo że komp był wtedy czysty.


(huber2t) #12

Avenger usunął to co miał usunąć, a w raporcie nic nie widać

Komputer nie ma wirusów