System

[Gość: didi]

"System" - Mam coś takiego w procesach.

Dotarłem do takiej informacji:
www.liutilities.com/products/wintaskspro/processlibrary/systemexe/
Czy to rzeczywiście trojan i jak go usunąć, bo ani adaware, ani skanery
online go nie wykrywają. Dodam, że ciągle mi coś ciągnie z sieci :(((

[Gość: didi]

Znaczy nie ten proces mi ciągnie coś z sieci, nie wiem jaki program to robi,
ale bez przerwy mam transfer 2 - 80 kb/s :(((

[kalinowski11]

www.sysinfo.org/startuplist.php?submit=&filter=system.exe&submit.x=7&submit.y=8

[kalinowski11]

www.pestpatrol.com/pestinfo/n/net_controller.asp

[kalinowski11]

www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_NTCONTROL.A

[Gość: didi]

Chciałem wyszukać plik system.exe, ale... nie ma go. :O Co robić, przecież jak
byk stoi "System" tuż pod "Systemowy proces bezczynny".

[Gość: didi]

W dodatku usunąłem IEXPLORE, a to cholerstwo wróciło godzinę później...
Windows 2000 wczoraj instalowany, praktycznie instalowałem tylko antywirusy na dysku
z kąd to się bierze, już nie mam siły ;( Adaware, Spybot, Avast, skanery online
i nic nie pomaga tzn trochę pomogło ale wciąż coś wyłazi.

[kalinowski11]

Zajrzyj tutaj :

www.windowsupdate.com/

Ściągnij poniższy program . HijackThis
pokaże co "siedzi" w Twoim kompie .

209.133.47.12/~merijn/files/HijackThis.exe
www.majorgeeks.com/downloadget.php?id=3155&file=3&evp=3304750663b552982a8baee6434cfc13


1.Ściągnij , uruchom .
2.Scan .
3.Save Log .
4.Zapisany log "skopiuj na myszkę" , wklej do posta i wyślij
na forum .
5.W wypadku gdy chcemy coś skasować , otwieramy Hijacka jeszcze
raz , klikamy Scan , zaznaczamy co chcemy skasować i klikamy
Fix checked . Z OPCJI KASOWANIA KORZYSTAMY PO KONSULTACJI NA FORUM .

Hijack LOG

[Gość: didi]

Logfile of HijackThis v1.98.1
Scan saved at 23:32:42, on 2004-08-04
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programy\Alwil Software\Avast4\aswUpdSv.exe
D:\Programy\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\WANADOO\TaskbarIcon.exe
D:\Programy\ALWILS~1\Avast4\ashDisp.exe
D:\Programy\ALWILS~1\Avast4\ashmaisv.exe
C:\WINNT\system32\internat.exe
D:\Programy\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.neostrada.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe
O4 - HKLM\..\Run: [win update] wupfyny.exe
O4 - HKLM\..\Run: [Microsoft Office] lserv.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] D:\Programy\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] D:\Programy\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\RunServices: [win update] wupfyny.exe
O4 - HKLM\..\RunServices: [Microsoft Office] lserv.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [win update] wupfyny.exe
O4 - HKCU\..\Run: [Microsoft Office] lserv.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - skaner.mks.com.pl/SkanerOnline.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4382/mcfscan.cab

[kalinowski11]

Możesz zainstalować Kerio Personal Firewall 2.1.5 , bo nie masz
"ogniomurka" .

download.kerio.cz/dwn/kpf/
www.download.com/3000-2092-9032150.html
www.aclantis.co.uk/article1705.html
Uwaga . Łatwo i bezpiecznie nauczysz kerio wszystkiego sam .
Kliknij na administrację i ustaw suwak na zapytaj mnie . Teraz gdy uruchomisz
np. IE , to pokaże się ramka "czy dopuścić połączenie wychodzące" możesz
dopuścić jednorazowo lub ustawić regułę stałą . I tak z każdym programem
łączącym się z siecią . Gdy skończysz ustawiasz suwak na blokuj nieznane i
zapominasz o Kerio :)

"Usuń pliki cookie" oraz "usuń pliki..." zaznaczając "Usuń całą zawartość
offline" .

Usuń następujące pozycje za pomocą hijacka :

> O4 - HKLM\..\Run: [win update] wupfyny.exe
> O4 - HKLM\..\RunServices: [win update] wupfyny.exe
> O4 - HKCU\..\Run: [win update] wupfyny.exe

i to mnie jeszcze męczy :)

> O4 - HKLM\..\Run: [Microsoft Office] lserv.exe
> O4 - HKLM\..\RunServices: [Microsoft Office] lserv.exe
> O4 - HKCU\..\Run: [Microsoft Office] lserv.exe

Nie wiem co o tym sądzić :(

www.sysinfo.org/startuplist.php?submit=&filter=Microsoft+Office&submit.x=11&submit.y=5


Po usunięciu przeskanuj jeszcze system Ad-aware , który
znajduje i likwiduje różne "paskudztwa" .

download.com.com/3000-2144-10045910.html?part=69274&subj=dlpage&tag=buton
dobreprogramy.pl/index.php?dz=2&t=39&id=151&t=39

Przed pierwszym użyciem ustaw Ad-aware w sposób pokazany tutaj :

ralphcaddell.com/pchelp/Ad-aware%20instructions.htm

1. Ściągnij , zainstaluj , uruchom .
2. "sprawdż uaktualnienie"
3. "połącz"
4. po wczytaniu ewentualnych aktualizacji "zakończ"
5. "uruchom"
6. "dalej"
7. po skanowaniu "zakończ" , lub "dalej" jeżeli program coś
znajdzie .
8. zaznacz znalezione "pozycje"
9. "dalej"
10.program spyta , czy usunąć zaznaczone obiekty - "tak" .


Pozdrawiam .

[Gość: didi]

Dzięki za pomoc, usunąłem wszystko wg Twoich wskazań i zainstalowałem Kerio
Zablokwałem ten tajemniczy proces "System" firewallem, jak również mstask.exe.
Może to nie są wirusy, ale i tak nie podoba mi się, że jakieś składniki
systemu ciągną coś przez sieć bez pytania mnie o zdanie :(

Jeszcze raz dzięki

[wwwandal1]

znalazłem ciekawy program przed chwilą pokazuje co z czym się łączy w
kompie..polecam-warto wiedzieć co robi nasz komp za naszymi plecami :)
www.sysinternals.com/ntw2k/source/tcpview.shtml

[Gość: didi]

zainstalowałem i mam tak:

ashmaisv.exe:1092 TCP oskar:smtp oskar:0 LISTENING
ashmaisv.exe:1092 TCP oskar:pop3 oskar:0 LISTENING
ashmaisv.exe:1092 TCP oskar:imap oskar:0 LISTENING
lsass.exe:220 UDP che10.neoplus.adsl.tpnet.pl:isakmp *:*
lsass.exe:220 UDP che10.neoplus.adsl.tpnet.pl:4500 *:*
MSTask.exe:592 TCP oskar:1025 oskar:0 LISTENING
svchost.exe:408 TCP oskar:epmap oskar:0 LISTENING
svchost.exe:408 TCP che10.neoplus.adsl.tpnet.pl:epmap cju77.neoplus.adsl.tpnet.pl:3001 ESTABLISHED
System:8 TCP che10.neoplus.adsl.tpnet.pl:1123 66-193-254-46.gen.twtelecom.net:http TIME_WAIT
System:8 TCP che10.neoplus.adsl.tpnet.pl:1118 216.239.39.104:http TIME_WAIT
System:8 TCP oskar:microsoft-ds oskar:0 LISTENING
System:8 TCP oskar:1026 oskar:0 LISTENING
System:8 TCP che10.neoplus.adsl.tpnet.pl:netbios-ssn oskar:0 LISTENING
System:8 TCP che10.neoplus.adsl.tpnet.pl:microsoft-ds wbar1.sea1-4-5-244-018.sea1.elnk.dsl.genuity.net:1144 ESTABLISHED
System:8 TCP che10.neoplus.adsl.tpnet.pl:microsoft-ds dialup-4.160.6.231.dial1.cincinnati1.level3.net:3930 LAST_ACK
System:8 TCP che10.neoplus.adsl.tpnet.pl:microsoft-ds 237.dallas-22rh16rt-23rh15rt.tx.dial-access.att.net:3510 ESTABLISHED
System:8 TCP che10.neoplus.adsl.tpnet.pl:microsoft-ds cii191.neoplus.adsl.tpnet.pl:1246 ESTABLISHED
System:8 TCP che10.neoplus.adsl.tpnet.pl:microsoft-ds 217-162-160-145.dclient.hispeed.ch:2542 ESTABLISHED
System:8 TCP che10.neoplus.adsl.tpnet.pl:microsoft-ds cnv179.neoplus.adsl.tpnet.pl:2275 ESTABLISHED
System:8 TCP che10.neoplus.adsl.tpnet.pl:1124 66-193-254-46.gen.twtelecom.net:http TIME_WAIT
System:8 TCP che10.neoplus.adsl.tpnet.pl:1125 66-193-254-46.gen.twtelecom.net:http TIME_WAIT
System:8 TCP che10.neoplus.adsl.tpnet.pl:1126 66-193-254-46.gen.twtelecom.net:http TIME_WAIT
System:8 TCP oskar:1127 localhost:microsoft-ds TIME_WAIT
System:8 UDP oskar:microsoft-ds *:*
System:8 UDP che10.neoplus.adsl.tpnet.pl:netbios-ns *:*
System:8 UDP che10.neoplus.adsl.tpnet.pl:netbios-dgm *:*
System:8 TCP che10.neoplus.adsl.tpnet.pl:microsoft-ds 61-229-77-12.dynamic.hinet.net:4507 ESTABLISHED
System:8 TCP che10.neoplus.adsl.tpnet.pl:microsoft-ds 83.31.96.9:2499 SYN_RCVD
System:8 TCP che10.neoplus.adsl.tpnet.pl:microsoft-ds lsanca1-ar59-4-8-002-057.lsanca1.dsl-verizon.net:1451 ESTABLISHED
System:8 TCP che10.neoplus.adsl.tpnet.pl:microsoft-ds 218-164-104-40.dynamic.hinet.net:3277 ESTABLISHED
System:8 TCP che10.neoplus.adsl.tpnet.pl:microsoft-ds 83.31.113.36:1945 ESTABLISHED

[Gość: didi]

ashmaisv.exe - to wiem co to jest (avast), a reszta to nie mam pojęcia:

lsass.exe
MSTask.exe
svchost.exe
System:8


Najbardziej mnie martwi ten System:8, robi mi masę płączeń 8(((Zakoncze ten proces i zobacze co sie stanie... jest jakies ostrzezenie.

[Gość: didi]

Odmowa dostępu, nie mogę tego "Systemu" zakończyć X(

[wwwandal1]

podałęm ten program tylko dla tego ,że pisałeś o tajemniczych połączeniach za
twoimi plecami ..więc masz na tacy co robi twój komp.Natomias nie radze usówać
niczego metodą prób i błędów bo to najkrótsza droga do reinstalacji systemu.
POlecam natomiast korzystanie z linku na dole:..pozdrawiam