jarnet
(jarnet)
7 Maj 2009 21:04
#1
Gdy komp jest podłączony do sieci, po jakimś krótkim czasie (kilkanaście sekund), skaner wirusowy (symantec) zgłasza, że jest próba wysłania kilkudziesięciu maili (wyskakuje komunikat, że jest skan poczty, mimo, że nie wysyłam żadnych maili), np. na adres "chuck@fastprint-inc.com ". Skaner antywirusowy Symantec z bazą wirusów z 16.04.2009 sobie nie radzi z problemem - widzi tylko że są wysyłane maile i je skanuje. W procesach pojawia się kilka procesów o nazwie .exe, procesów tych nie jestem w stanie zabić bo szybko się kończą i rozpoczynają nowe.
mój log: http://www.wklej.org/id/87997/
stalesz
(stalesz)
7 Maj 2009 21:37
#2
Przeskanuj Spybot Search & Destroy
system
(system)
7 Maj 2009 21:42
#3
Symantec to już nie to co kiedyś, ale czasy się zmieniają
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\StkCSrv.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Program Files\Messenger\msmsgs.exe
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Download All with FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Program Files\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: IBM Rational ClearQuest Mail Service (MailService) - Unknown owner - C:\Rational\ClearQuest\mailservice.exe" (file missing)
O23 - Service: Rejestr zdalny RemoteRegistrysawsvc (RemoteRegistrysawsvc) - Unknown owner - C:\WINDOWS\system32\1031g.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)
Do a system scan only >> Scan >> Fix checked
Nie jestem pewien tych 2 wpisów :
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe, tego przeskanuj na http://www.virustotal.com/pl
O4 - HKCU…\Run: [sEWI] C:\Documents and Settings\SEWI\SEWI.exe , znasz ten plik ?
Na dodatek :
Log z ComboFix , Instrukcja
Przeskanuj Dr.WEB CureIt! oraz Malwarebytes Anti-Malware (pełny skan, gdy coś znajdzie, wrzuć loga)
Wyłącz i włącz przywracanie na wszystkich dyskach, Instrukcja
Przeczyść rejestr Ccleaner
Optymalizacja Autostartu
jarnet
(jarnet)
7 Maj 2009 22:06
#4
SEWI to nazwa użytkownika, ale plik SEWI.exe nie jest mi znany.
Pozostałe czynności są teraz wykonywane.
system
(system)
7 Maj 2009 22:10
#5
Więc
O4 - HKCU\..\Run: [SEWI] C:\Documents and Settings\SEWI\SEWI.exe
Także sfixuj, i czekam na log z ComboFix
jarnet
(jarnet)
7 Maj 2009 23:37
#6
system
(system)
8 Maj 2009 11:09
#7
Ten mdm.exe to bezpieczny plik systemowy, lub plik pewnego wrednego Trojana, dlatego musiałem sprawdzić czy jest prawdziwy
W logu nic nie widzę, przynajmniej ja nic, czy szczepionka oraz anty-spyware które podałem, coś znalazły ?