Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    Sunbelt(Kerio)wykrywa mi dziwne połączenia. Pomocy

    IP: *.hkabel.no 16.11.07, 21:09
    Posiadam zapuszczone Sunbelt Personal Firewall (Kerio) oraz najnowszy NOD 32.
    Zwykle używam Firefoxa, ale statnio odpaliłem Internet Explorera, a tu mi
    Firewall wykrywa coś dziwnego:
    Internet Explorer ciągle próbuje się łączyć ze zdalnym punktem (co to znaczy
    "zdalny punkt"?) 007guard.com,[127.0.0.1] port 3909, protokół UDP.
    Kiedy to blokuję, zawartość stron pokazuje się normalnie.
    Ki diabeł?
    Skanowałem kompa różnymi skanerami (np. Spy-boot, Ad-aware, AVG Anty-rootkit,
    DR Web Cure it!) i nic nie wykryło.
    Pomoc techniczna Sunbelt (mam licencje) nie jest zbyt rozmowna, napisali tylko
    że prawdopodobnie chodzi o wirusa, który mógł się ukryć.Nie odpowiedzieli na
    moje pytanie dotyczące drugiego problemu: czasem kiedy siedzę w necie
    (firefox) mam komunikat, że program o nieznanej nazwie próbuje nawiązać
    połączenie z netem. Nie wiem jak ten program zlokalizować.
    Proszę o poradę, co na ten temat sądzicie i co mam zrobić.
    Obserwuj wątek
      • Gość: Kolobos Re: Sunbelt(Kerio)wykrywa mi dziwne połączenia. P IP: *.escom.net.pl 16.11.07, 21:39
        Zrob skan przy pomocy SuperAntiSpyware, uzyj hijackthis oraz combofix oba logi wklej na wklej.org i podaj link.
        Nie zaszkodzi tez jak poczytasz:
        www.google.pl/search?hl=pl&q=007guard.com
        • Gość: Marlin Re: Sunbelt(Kerio)wykrywa mi dziwne połączenia. P IP: *.hkabel.no 16.11.07, 22:46
          O, tak przepraszam że nie od razu, już podaję logi z hijacka, combofix oraz
          silent runners, a polecony program zaraz poszukam.

          Jeszcze jedno, firefox mi się łączy z "internetserviceteam.com" i tez nie wiem
          co to za diabeł
          Z góry dzięki, podaję link:
          wklej.org/id/2e28be7e58
          • Gość: Kolobos Re: Sunbelt(Kerio)wykrywa mi dziwne połączenia. P IP: *.escom.net.pl 17.11.07, 11:22
            W hijackthis usun:
            R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
            F2 - REG:system.ini: Shell=explorer.exe

            Daj na wklej zawartosc:
            C:\WINDOWS\system32\drivers\hosts

            Oba programy odinstaluj i usun katalogi:
            C:\Program Files\RogueRemover PRO
            C:\Program Files\RogueRemover FREE

            Zrob skan przy pomocy SuperAntiSpyware oraz np. Panda Online + uzyj Fixwareout (log daj na wklej + zawartosc hosts).
            • Gość: Marlin Re: Sunbelt(Kerio)wykrywa mi dziwne połączenia. P IP: *.hkabel.no 17.11.07, 19:43
              Coś niesamowitego! Jeszcze wczoraj plik hosts wyglądał ok, a dzisiaj nie dość,
              że w katalogu "drivers" jest więcej plików niż wczoraj (dużo więcej), to jeszcze
              w pliku hosts jest takie coś!
              wklej.org/id/f703807ca7
              Ponadto nie mam pozycji "f2" którą kazałeś mi usunąć w hijackthis!
              Przypomniało mi się ,że kiedyś miałem Download Accelerator (z
              www.dobreprogramy.pl) może to on coś napieprzył, dzisiaj go zainstalowałem i też
              chce się łączyć z 007guard.com
              SuperAntiSpyware nic nie wykrył, a PandaOnline się zawiesza.
              Oto log z fixwareout:
              www.wklej.org/id/c4272a2622
              • Gość: Marlin Coś jeszcze IP: *.hkabel.no 17.11.07, 19:49
                Wywaliłem wszystko z hosts i wsadziłem w środek prawidłowe dane które znalazłem
                na internecie. Spyboot pewnie coś tam jeszcze od siebie dołoży
                Czekam na odpowiedź i z góry dziękuje
                • Gość: Kolobos Re: Coś jeszcze IP: *.escom.net.pl 17.11.07, 19:57
                  W hosts byly jakies smiecie, wiec dobrze zrobiles.
                  Czy IE dalej sie probuje laczyc z ta strona?
                  • Gość: Marlin Re: Coś jeszcze IP: *.hkabel.no 17.11.07, 22:04
                    OK, iexplore przestał wariować. Zastanawiające, dlaczego nagle wyzdrowiał!
                    Jakby mi iexplore siadł, to bym specjalnie nie płakał, bo i tak używam firefoxa,
                    ale napisałem ten post, bo sie przejąłem, że mi jakieś g..... siedzi w kompie,
                    mimo iż uzbrajam się po zęby i ciągle skanuje :-/
                    dziś iexplorer łączy się tylko z localhost 127.0.0.1 port 1059
                    Nie wiem co sądzić o download accelerator, bo na dobre-programy.pl piszą, że
                    instaluje tylko nieszkodliwe adware, a w innym miejscu spotkałem się z opinią że
                    również szpieguje. Szkoda mi wywalać, bo lubie ten program :-/

                    Bardzo prosze przy tej okazji o odpowiedź na dwa dodatkowe pytania (czy mam
                    zakładać nowy post?)
                    wykasowałem firefoxa z aplikacji firewalla, a więc ten nie powinien teraz
                    podnosić krzyk czy ma go łączyć. Firefox jednak ma dostęp do sieci, bo strony
                    otwierają się normalnie, czasem tylko firewall zadaje pytanie, czy dopuścić
                    firefoxowi połączenie z punktem zdalnym... i dalej jest adres (różne, w
                    zależności od strony) i numerki. Wciskam "blokuj" a strony po któych chodzę
                    normalnie się otwierają. Czasem jest tylko numer, np 63.245.213.32 i numer portu
                    Co to oznacza? Co to znaczy "punkt zdalny"? Po co przeglądarka się z nim łączy?

                    Czy poniższy wpis to coś potrzebnego?
                    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

                    Dziś znalazłem i wykasowałem
                    F2 - REG:system.ini: Shell=explorer.exe

                    Z góry dziękuję, załączam jeszcze loga z Hijackthis
                    www.wklej.org/id/ef07f718aa











      • Gość: Marlin Re: Sunbelt(Kerio)wykrywa mi dziwne połączenia. P IP: *.hkabel.no 17.11.07, 22:03
        OK, iexplore przestał wariować. Zastanawiające, dlaczego nagle wyzdrowiał!
        Jakby mi iexplore siadł, to bym specjalnie nie płakał, bo i tak używam firefoxa,
        ale napisałem ten post, bo sie przejąłem, że mi jakieś g..... siedzi w kompie,
        mimo iż uzbrajam się po zęby i ciągle skanuje :-/
        dziś iexplorer łączy się tylko z localhost 127.0.0.1 port 1059
        Nie wiem co sądzić o download accelerator, bo na dobre-programy.pl piszą, że
        instaluje tylko nieszkodliwe adware, a w innym miejscu spotkałem się z opinią że
        również szpieguje. Szkoda mi wywalać, bo lubie ten program :-/

        Bardzo prosze przy tej okazji o odpowiedź na dwa dodatkowe pytania (czy mam
        zakładać nowy post?)
        wykasowałem firefoxa z aplikacji firewalla, a więc ten nie powinien teraz
        podnosić krzyk czy ma go łączyć. Firefox jednak ma dostęp do sieci, bo strony
        otwierają się normalnie, czasem tylko firewall zadaje pytanie, czy dopuścić
        firefoxowi połączenie z punktem zdalnym... i dalej jest adres (różne, w
        zależności od strony) i numerki. Wciskam "blokuj" a strony po któych chodzę
        normalnie się otwierają. Czasem jest tylko numer, np 63.245.213.32 i numer portu
        Co to oznacza? Co to znaczy "punkt zdalny"? Po co przeglądarka się z nim łączy?

        Czy poniższy wpis to coś potrzebnego?
        O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

        Dziś znalazłem i wykasowałem
        F2 - REG:system.ini: Shell=explorer.exe

        Z góry dziękuję, załączam jeszcze loga z Hijackthis
        www.wklej.org/id/ef07f718aa
        • Gość: Kolobos Re: Sunbelt(Kerio)wykrywa mi dziwne połączenia. P IP: *.escom.net.pl 18.11.07, 10:06
          127.0.0.1 to adres Twojego komputera, wiec mozesz to zignorowac.
          Moze zamiast DAP'a uzywaj menadzera pbierania z Firefox'a (na stronie sa rozne dodatki np. FlashGot (dziala z FlashGet'em), DownloadThemAll itd.)

          > wykasowałem firefoxa z aplikacji firewalla, a więc ten nie
          > powinien teraz podnosić krzyk czy ma go łączyć.

          To chyba jednak zalezy od ustwien firewall'a.

          > Czasem jest tylko numer, np 63.245.213.32

          Ten adres to addons.mozilla.org/pl/firefox/ ,wiec to nic groznego.

          > O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

          Jak masz zainstalowanego klienta Netware to tak.

          Log wyglada ok.
          • Gość: Marlin Re: Sunbelt(Kerio)wykrywa mi dziwne połączenia. P IP: *.hkabel.no 18.11.07, 12:18
            Kolobos,dzieki!
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.
    Wybrane treści z serwisu Sport.pl są dostępne po wykupieniu płatnej subskrypcji