dawidek11
(Dawidex11)
28 Wrzesień 2007 08:43
#1
Witam mam problem z svchost.exe i services.exe comodo firewall pokazuje mi ze svchost.exe i services.exe chca sie laczyc z jakimis ip’ekami , a wpolaczeniach jest
svchost.exe(Source(IP:Port )0.0.0.0:68) (Destination(IP:Port)255.255.255.255:67) BytesIn(15.356MB)BytesOut(3.719KB)
czasami laczy sie z roznymi ip’ekami .Czy to normalne wczesniej tak niebylo :?
Gutek
(Gutek)
28 Wrzesień 2007 21:26
#2
Gutek
(Gutek)
28 Wrzesień 2007 21:51
#4
Logi są Ok, przeładownay jest autostart. Kontrolnie - Daj log z ComboFix
dawidek11
(Dawidex11)
28 Wrzesień 2007 22:17
#5
A co chodzi z przeladowanym autostartem?
Combo—http://wklej.org/id/cfa2e852aa
Dziekuje i Pozdrawiam
dawidek11
(Dawidex11)
29 Wrzesień 2007 16:42
#7
Dzieki ale czy cos siedzi w systemie ?
Log
SDFix: Version 1.107 Run by Albert on Sat 09/29/2007 at 05:28 PM Microsoft Windows XP [Version 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files… ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- Files with Hidden Attributes: Wed 22 Jun 2005 45,568 A.SHR — “C:\Program Files\Replay Converter\cygz.dll” Wed 18 Apr 2007 88 …SHR — “C:\WINDOWS\system32\300190A549.sys” Wed 18 Apr 2007 3,140 A.SH. — “C:\WINDOWS\system32\KGyGaAvL.sys” Sun 20 May 2007 4,348 A.SH. — “C:\Documents and Settings\All Users\DRM\DRMv1.bak” Thu 22 Mar 2007 0 A.SH. — “C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp” Finished!
Dziekuje
A oto skan ukrytych plikow ktore pokazal SDFix
—>
—>
—>
—>
—>
jessica
(jessica)
29 Wrzesień 2007 17:08
#8
W żadnym z logów ani w raporcie SDFix nie widać infekcji - jest czysto.
Jeśli chodzi o przeładowany Autostart, to chodzi o wpisy “O4” w logu Hijacka.
Ja np. mam tylko 3 takie wpisy, a u Ciebie jest kilka “zbędników”.
Np.:
Start >>> Uruchom >>> msconfig >>> w zakładce Uruchamianie wyłącz ten wpis.
>Panel sterowania >>> Ustawienia regionalne >>> Języki >>> Detale >>> Zaawansowane >>> odznaczyć
usługi tekstowe, zrób tak jeżeli nie używasz wielu języków, (np. japońskiego koreańskiego).
jessi