Mam neostrade. Po wpisaniu komendy netstat wyskakuje ponad 100 wierszy oznacza to iż coś jest nie tak. Strony strasznie zamulają, więc bardzo bym prosił o radę jak zmniejszyć ilość tych połączeń bo są to chyba jakieś wirusy czy coś. Mam Eset Smart Security z nową bazą wirusów jednak nic nie wykrywa.
Z góry dzięki.
popula
(popula)
10 Luty 2008 11:33
#2
Użyj Fixwareout i dodatkowo zainstaluj WWDC .
Username "Piotrek" - 2008-02-10 12:50:40 [Fixwareout edited 9/01/2007]
~~~~~ Prerun check
Pomyślnie opróżniono pamięć podręczną programu rozpoznawania nazw DNS.
System was rebooted successfully.
~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....
~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="\"C:\\Program Files\\ESET\\ESET Smart Security\\egui.exe\" /hide /waitservice"
"OutpostFeedBack"="\"C:\\Program Files\\Agnitum\\Outpost Firewall Pro\\feedback.exe\" /dump:os_startup"
"OutpostMonitor"="C:\\PROGRA~1\\Agnitum\\Outpost Firewall Pro\\op_mon.exe /tray /noservice"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="\"C:\\Program Files\\Gadu-Gadu\\gg.exe\" /tray"
"AutoConnect"="C:\\Program Files\\AutoConnect\\AutoConnect.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~End report~~~~~
popula
(popula)
10 Luty 2008 16:44
#4
Nie jestem pewien, ale wydaje mi się, że powodem jest program AutoConnect (ilość wpisów w netstat). W logu nie ma nic, co by wskazywało na infekcję. Zastosuj, tak jak pisałem, wwdc i będziesz miał spokój.
enigma79
(Slawomir Szal)
10 Luty 2008 17:11
#5
Weż daj logi z HijackThis i Silent Runners viewtopic.php?f=16&t=36654
Zobaczymy co tam siedzi! Bo rolą Auto Conecta jest wlasnie laczenie sie z siecią i on raczej nie moze byc przyczyną
Logfile of HijackThis v1.99.1
Scan saved at 20:40:19, on 2008-02-10
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\AutoConnect\AutoConnect.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ProgDVB\ProgDVB.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Mój niezbędnik\Różne\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = neostrada tp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Tłumaczenie - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\Outpost Firewall Pro\op_mon.exe /tray /noservice
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103 - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{51E05F7E-81B8-45D7-89C8-C7BB5812F600}: NameServer = 194.204.159.1 217.98.63.164
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpost firewall pro\wl_hook.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\Outpost Firewall Pro\acs.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Zastosowałem wwdc jednak dalej ilość tych połączeń jest duża.
enigma79
(Slawomir Szal)
10 Luty 2008 20:39
#7
W logu nic nie widać!
po zastosowaniu WWDC zrobiles restart systemu?
No raczej. Ta ilość połączeń w netstat rośnie gdy włącze przeglądarke.
No i po formacie problem dalej się pojawił. Połączeń jest kilkadziesiąt strony ładują się normalnie tylko na jednej kompletna zwiecha jest to http://www.sfd.pl .
Oto log z hijacka
http://wklej.org/id/11721/