Trojan userinit.exe i inne (obszerne logi i opis)

IP: *.neoplus.adsl.tpnet.pl 05.07.08, 12:56
Witam,
Komputer Win XP Home, SP2. Prosze o sprawdzenie logow, problem
nastepujacy:

Zasadniczo jedyny zauwazalny problem z komputerem, to powtarzajacy
sie czesto i pojawiajacy sie po paru godzinach uzytkowania komputera
spadek pamieci wirtualnej - czasami sa komunikaty o tym wlasnie
braku pamieci, i ze czesc aplikacji nie bedzie dzialac prawidlowo,
czasami komunikatow nie ma, ale po prostu aplikacje/funkcje nie
dzialaja, co objaia sie przede wszystkim tym, ze z uplywem czasu
coraz mniej stron moze byc rownoczesnie otwartych, po prostu jest
coraz mniej pamieci, np. mam otwartych 8 stron, i stopniowo musze je
zamykac, a jak chce np. otworzyc Outlook i mam np. 7 otwartych
stron, to otworzenie Outlooka udaje sie dopiero jak zamkne ich
troche, bo inaczej braknie pamieci. Problem pojawia sie czesto ale
nie zawsze, radze sobie z nim poprzez wylogowanie i zalogowanie
ponowne albo restart windowsa.
Problem szerzej opisalem tutaj pare mniesiecy temu:

forum.gazeta.pl/forum/72,2.html?f=34&w=74943729&a=74943729

i sadzac ze moj komputer jest czysty, zwalilem to na ogolne zuzycie
systemu, (komputer pracuje ponad 10 godzin dzienie od 5 lat). (hmm.
czy tez moze jakis trojan/rootkit przejal moj komputer i dziala w
tle?)


Skanowalem zawsze system Panda Online Scanner i Spybot S&D, ale
wczoraj przeskanowalem rowniez MKS Virem Online i Kaspersky Online
Scanner.

Oto opis tego co wykryly te programy (log DSS dam na samym koncu).

MKS wykryl trojan siedzacy m.in w pliku userinit.exe oraz
Dialer.Porno.Ad w mswstr10.dll ale nie potrafil ich wyleczyc..
Oto log: wklej.org/id/e3271a6ad0

Prosze o odpowiedz na ile grozny jest ten trojan, i czy jest on
aktywny w systemie i jaka szkode moze wyrzadza. No i jak go
usunac/wyleczyc!

Natomiast log ze skanera online Kasperskiego zamieszczam tutaj i
chce wyjasic jedna rzecz przede wszystkim.
Mialem w Outlooku duzo tozsamosci, na jedna z nich dostawalem mase
spamu z zalacznikami ale nie otwieralem ich,a kiedys pare lat temu
wystapil powazny blad, chyba jakis wazny plik Outlooka zostal
uszkodzony i utracilem wiekszosc albo wszystkie wiadomosci.
Poszperalem na necie, znalazlem jakis program do
przywrocenia "corrupt Outlook file" i uzylem go ze srednim skutkiem,
to znaczy, wiadomosci dalo sie jakos wyeksportowac i otwierac je
pojedynczo chyba w malo czytelny sposob. No w kazym razie jak widze,
gdzies gleboko w systemie wciaz zachowane zostaly dane z jednej,
dawno usunietej tozsamosci, a konkretniej maile z zalacznikami,
pelne "robakow", ktore nigdy nie byly otworzone. (O ile sie
orientuje, jesli dochodzi e-mail plik z robakiem a ja nie otworze
tego maila ani nie uzyje okienka podgladu, to robak nie zostaje
uaktywniony?).

No w kazdym razie sa to pliki typu:

C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane
aplikacji\Identities\{F65A5344-8A2E-43F0-BD7C-36E6438D54E5}
\Microsoft\Outlook Express\Elementy usunięte.dbx/[From
management@adipol.com.pl][Date Sat, 24 Apr 2004 08:30:02
+0200]/UNNAMED/class_photos.scr

Zainfekowanych: Email-Worm.Win32.NetSky.c

Zakladam, ze te wirusy/trojany/robaki istotnie nigdy nie zostaly
uaktywnione?
No ale i tak chce je usunac, a wiec czy wystarczy po prostu usunac
w C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane
aplikacji\Identities całą tozsamosc F65A5344-8A2E-43F0-BD7C-
36E6438D54E5 ?

Pelny log z Kaspersky'ego tutaj, jak widac, jest tego troche:

wklej.org/id/cc0b08d924
Na koniec log z DSS: wklej.org/id/d987fa06b7

Z gory dziekuje za odpowiedz i instrukcje jak w pelni oczyscic
system.

Pozdrawiam,
Pawel
    • Gość: Kolobos Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.escom.net.pl 05.07.08, 13:28
      Daj log z SDFix z trybu awaryjnego, do tego extra.txt z dss.
      Napisz ile masz wolnego miejsca na dysku na ktorym masz plik wymiany oraz na ile masz go ustawionego? Plik userinit.exe sprawdz tutaj i daj wyniki: virusscan.jotti.org/

      Mozesz usunac plik: C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Identities\{F65A5344-8A2E-43F0-BD7C-36E6438D54E5}\Microsoft\Outlook Express\Elementy usunięte.dbx jezeli juz nie korzystasz z tego profilu z OE.
      • Gość: pawel Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.neoplus.adsl.tpnet.pl 05.07.08, 17:47
        Dzieki, a wiec po kolei.

        Elementy usuniete.dbx z dawnej tozsamosci Outlooka usunalem,
        Kaspersky nie informuje juz o wirusach.

        Oto log extra.txt z DSS: wklej.org/id/d5675b287e
        (nie zalaczylem go wczesniej, bo nie otworzyl mi sie automatycznie,
        musialem go dopiero sam odszukac w C:\Deckard)

        Oto log z SdFix z trybu awaryjnego: wklej.org/id/3031042f55

        Na virusscan.jotti.org/ sprawdzilem pliki w ktorych MKS Vir
        informowal mnie o trojanie (a wiec userinit.exe przede wszystkim),
        ale nic nie wykryly.
        Czy wobec tego komunikat z MKS'a byl bledny? Z tego co poczytalem to
        widze, ze jakies paskudztwa istotnie moga sie ukrywac pod taka
        nazwa, wiec w koncu za one zainfekowane czy nie?

        Co do pamieci wirtualnej to nie znam sie na tym w ogole.
        Jak widac zreszta na jednym z logow, dysk C jest w prawie polowie
        pusty "26.35 GiB total, 12.86 GiB free."

        Jak odpowiadalem komus pol roku temu w innym watku: "w zadnej
        konfiguracji pamieci nic nigdy nie zmienielem. nie wiem czy o to Ci
        chodzilo, ale sprawdzilem, ze calkowity ozmiar plikow stronicowania
        dla wszystkich dyskow jest ustawione jako 768 MB, ale tak jak mowie,
        nic z tym nie zmienialem od 4.5 roku.Wiec co jest problemem? Moze to
        dysk C niedlugo padnie? Czy ogolnie cos z pamiecia RAM sie popsulo?"

        po tym jak to napisalem,, chyba ktos poradzil mi, zeby ustawic
        rozmiar pliku stronicowania na "kontrolowany przez system" i tak tez
        zrobilem i nawet wydawalo mi sie, ze jest poprawa, ale po jakims
        czasie problemy z ta pamiecia wirtualna powrocily. Jest to
        niewatpliwie troche uciazliwe, i chetnie dowiedzialbym sie, czy da
        sie cos ustawic lub wymienic, zeby sie ich pozbyc, aczkolwiek przede
        wszystkim chodzilo mi dzisiaj o pozbycie sie ewentualnych trojanow z
        komputera...

        pozdrawiam,

        Pawel
        • Gość: Kolobos Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.escom.net.pl 05.07.08, 20:27
          Nie uzywaj MKS'a, swietnosc tego programu skonczyla sie wiele lat temu. Plik stronnicowania ustaw na 1024MB minimum i 1500MB max.
          Pomysl tez o dokupieniu ramu. Nie zapomnij tez wylaczyc zbednych programow w msconfig (zakladka uruchamianie).
          Nie zaszkodzi tez jak zainstalujesz SP3 (to same poprawki do systemu).
          • Gość: p Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.neoplus.adsl.tpnet.pl 06.07.08, 01:43
            dzieki,

            rozwaze dodatkowy RAM i SP3.

            co do wirusow - rozumiem, ze system jest w 100% czysty na chwile
            obecna?
            Przeczytalem niedawno dosc szczegolowy artykul o rootkitach

            www.hal.trzepak.net/faq/winxp/rootkit.htm
            i o tym, ze niektore sa prawie niemozliwe do wykrycia... czy to
            prawda, czy tez jednak te logi ktore stworzylem, a w szczegolnosci
            SDFix powiny by byly je wykryc??

            Po prostu chce byc pewien, ze na pewno nie mam czegos gleboko
            schowanego w systemie, w tym np. keyloggera (!)

            to tyle, i dziekuje za pomoc

            pawel

            • Gość: Kolobos Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.escom.net.pl 06.07.08, 10:56
              W logach nic nie widac, wszystko wyglada ok.
              • Gość: pawel Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.internetdsl.tpnet.pl 08.07.08, 22:24
                wczoraj znowu komputer mi zaszalal i nawet mnie troche przestraszyl

                nagle ni stad ni zowad kursor myszki zaczal mi samoczynnie przesuwac sie w dol ekranu... hm.. (w sumie raz na jakis czas, nie czesciej niz raz na pol roku) mi sie to zdarzalo

                teraz jednakze jak najechalem na pasek wyszukiwania na google.pl, to rowniez ten pasek zaczal mi sie samoczynnie zapelniac, gwiazdkami, tak jak by ktos tam pisal

                postanowilem wiec wylaczyc komputer, ale kursor tez sie przesuwal, wskutek czego nie moglem kliknac na "wylacz" ani "zresetuj", tylko musialme na "stan wstrzymania"
                nastepnie w stanie wstrzymania, chcialem sie zalogowac ponownie na moje konto uzytkownika, ale rowniez wtedy pole w ktorym wpisuje sie haslo automatycznie sie zapelnialo, wiec nie moglem wpisac mojego hasla. Wowczas bedac w tym stanie wstrzymania, kliknalem na "wylacz" po czym otrzymalem wiadomosc ze "na komputerze zalogowane sa inne osoby, wylaczenie spowoduje utrate ich danych" (cytat z pamieci). Nie brzmialo to zbyt fajnie, poszukalem na necie z czym zazwyczaj wiaze sie taki komunikat, ale w sumie nie bylo jednoznacznych odpowiedzi, natomiast dzisiaj sam odkrylem, ze jesli bedac zalogowanym, ustawie komputer w stan wstrzymania, to owczas jesli bedac w stanie wstrzymania, postanowie nie logowac sie ponownie do mojego profilu, tylko po prostu wylaczyc komputer, to tez dostaje komunikat o innych osobach zalogowanych, wiec wyglada na to, ze te inne osoby to.. ja. (chyba kazdy kto ma Xp moze to sprawdzic).

                no ale mimo to samoczynne kierowanie sie myszki ku dolowi i uzupelnianie pol w google i w ekranie logowania gwiazdkami, bylo dosc dziwne, i ciekawi mnie skad sie wzielo. (choc zaznaczam jezcze raz, ze samo zjezdzanie myszki do dolu ogladanej strony zdarzalo mi sie juz pare razy w ciagu ostanich lat).

                komputer jak ustalilismy powyzej jest czysty, sam dodatkowo sprawdzilem to ponownie przy uzyciu Dr Cureit Web.

                czy mozna to powiazac z opisanymi wyzej problemami z pamiecia wirtualna? (wskutek ktorych oprocz stopniowego zanikania mozliwosci otwarcia wiecej okieken przegladarki, nieprawidlowego ladowania sie Oulooka czy zanikania fukncji kopiuj-wklej, byly tez inne dziwne komunikaty o bledach opisane pare miesiecy temu w zacytowanym wczesniej watku)

                BTW ustawienia pamieci wirtuanej dalem tak jak mowiles, ale zbyt malo przebywalem ostatnio na necie, zeby ocenic, czy zwiekszylo to wydajnosc.

                a SP3 zainstalowalem wlasnie godzine temu :)

                ostatnie pytanie, pamiec chyba zwieksze 4-krotnie, obecnie mam 512 RAM (i procesor pentium 2.4, komputer ma 5 lat jak mowilem)

                Obecnie z ochrony w czasie rzeczywistym stosuje tylko zapore Window'owksa i rezdenta spybota chodzacego w tle (w sumie to nie wiem na ile on cos pomaga).

                Czy uwazasz, ze powinienem np. zainstalowac osobnego Firewalla, np. Kaspersky Internet Security?

                pozrawiam, pawel
                • Gość: Kolobos Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.escom.net.pl 09.07.08, 11:30
                  Masz zwykla klawiature i mysz? Jezeli jakas radiowa lub inny wynalazek to podlacz zwykla kablowa.
                  • Gość: pawel Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.neoplus.adsl.tpnet.pl 09.07.08, 11:58
                    mam zwykla klawiature Logitech i zwykla mysz optyczna przewodowa A4
                    (jakis bardzo prosty model)

                    zawsze mialem zwykle myszy, choc kiedys kulkowe, i jak juz pisalem,
                    takie bledy, ze kursor myszy ciagnal ku dolowi (chyba zawsze akurat
                    ku dolowi) sie zdarzaly, choc nie przypominam sobie, zeby
                    nastepowalo tez autouzupelnianie pól gwiazdkami (pierwszy raz takie
                    cos widzialem i mnie to mocno zdziwilo, choc w sumie przyzwyczajony
                    jestem do tego, ze moj komputer czasem miewa rozne problemy jak
                    opisalem wczesniej)

                    aha, ponawiam pytanie, po dokupieniu pamieci, warto zainstalowac
                    Kaspersky'ego internet security czy tez zapora Windowsa, SP3 i
                    spybot daja wystarczajaca ochrone przed potencjalnymi wlamaniami?
                    • Gość: Kolobos Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.escom.net.pl 09.07.08, 12:32
                      > aha, ponawiam pytanie, po dokupieniu pamieci

                      Chcesz to kupuj, co Ci mam napisac? To Twoj komputer i Twoje pieniadze.

                      > warto zainstalowac Kaspersky'ego internet security czy tez zapora
                      > Windowsa, SP3 i spybot daja wystarczajaca ochrone przed
                      > potencjalnymi wlamaniami?

                      Wystarczy zwykly darmowy firewall (comodo, kerio) + avira.
      • Gość: pawel Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.neoplus.adsl.tpnet.pl 23.07.08, 20:13
        a wiec zainstalowalem SP3, Avire, Comodo Firewall

        komputer wydaje sie bardziej stabilny (chyba dzieki SP3), choc
        czasem mi sie tez cos zawiesza, np. pol godziny temu blad ntdll.dll
        zamknal mi explorera..

        ale to chyba nic zlego, bo jak mialem SP2 (i przed dodaniem pamieci)
        komp byl mniej stabilny (opisywane problemy z brakiem pamieci
        wirtualnej na razie nie wystepuja)

        * mam jednakze pytanie, zrobilem niedawno jeszcze raz skan SDfixem,
        porownalem z poprzednim (czystym) sprzed 3 tygodni i widze ze w
        obecnym logu dodany jest wpis:

        detected NTDLL code modification:
        ZwClose

        i mam pytanie, co to oznacza?
        czy to po prostu wynik instalacji SP3, albo dzialania np. Comodo?
        czy tez cos nieprawidlowego?

        oto ten fragment logu:

        Final Check :

        catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector
        by Gmer, www.gmer.net
        Rootkit scan 2008-07-23 10:04:50
        Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI

        detected NTDLL code modification:
        ZwClose

        scanning hidden processes ...

        pozdrawiam
        • Gość: Kolobos Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.escom.net.pl 23.07.08, 20:26
          Sprawdz ram memtestem -> www.memtest.org
          Daj tez log z sdfix z trybu awaryjnego.
          • Gość: pawel Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.neoplus.adsl.tpnet.pl 23.07.08, 21:41
            hmmm co do memtestu, nigdy nie korzystalem z niego dotad..
            czy dobrze rozumiem, musialbym sciagnac: Pre-Compiled Bootable ISO
            (.zip), skopiowac na plyte i uruchomic komputer z plyty CD? czy tez
            musze sciagnac co innego? dodam tez, ze moj komputer nie jest chyba
            ustawiony tak, zeby mozna go uruchamiac z plyty CD...

            w sumie to zbytnio nie narzekam, komputer ma 5 lat, mialem zawsze
            512 ramu, teraz mam 1.5 GB ram, po dodaniu pamieci, zmianie w
            ustawieniach stronicowania jak zasugerowales, i zainstalowaniu SP3,
            problemow z bledami z powodu braku pamieci wirtualnej na razie nie
            ma a samoczynne zamykanie explorera (jak to dzisiejsze z bledem
            ntdll.dll) jest chyba zdecydowanie rzadsze niz pare tygodni/miesiecy
            temu

            chodzilo mi glownie o wpis w logu SDfix, przede wszystkim linijki
            38/39 (bo reszta jest taka sama jak wczesniej wiec zakladam, ze
            poprawna) wklej.org/id/8819600e99

            szukalem w google ale wciaz nie wiem co oznacza "detected NTDLL code
            modification: ZwClose"...

            • Gość: Kolobos Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.escom.net.pl 23.07.08, 22:09
              > Pre-Compiled Bootable ISO (.zip)

              Jezeli chcesz uruchomic z plyty to tak, rozpakowujesz zip i nagrywasz plyte z obrazu iso.

              > moj komputer nie jest chyba ustawiony tak, zeby mozna go
              > uruchamiac z plyty CD...

              Co za problem zmienic w biosie? Eh..

              Log wyglada ok.
    • Gość: pawel Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.neoplus.adsl.tpnet.pl 04.08.08, 17:51
      sorry za ponowne podbijanie tego watku, ale mam jeszcze jedno pytanie
      dla przypomnienia, Win XP Home sp3, system mam chyba czysty,
      skanowalem Sdfixem, hijackiem, dawalem pare tygodni temu log z
      DSS'a, pare tygodni temu przeskanowalem tez DrCureItWeb, teraz mam
      Avire i Comodo firewall

      ale teraz zeskanowalem profilaktycznie jeszcze Kasperskym Online
      Scaner i pokazal:

      Statystyki skanowania
      Liczba skanowanych obiektów 107026
      Liczba wykrytych wirusów 1
      Liczba zainfekowanych obiektów 5
      Liczba podejrzanych obiektów 0

      a konkretniej:

      C:\Documents and
      Settings\Właściciel\DoctorWeb\Quarantine\SDFix.exe/SDFix/apps/swsc.ex
      e Zainfekowanych: Backdoor.Win32.Hupigon.dckd

      C:\Documents and
      Settings\Właściciel\DoctorWeb\Quarantine\SDFix.exe RAR:
      zainfekowany - 1

      C:\Documents and
      Settings\Właściciel\DoctorWeb\Quarantine\A0002004.exe/SDFix/apps/swsc
      .exe Zainfekowanych: Backdoor.Win32.Hupigon.dckd

      C:\Documents and
      Settings\Właściciel\DoctorWeb\Quarantine\A0002004.exe RAR:
      zainfekowany - 1

      C:\SDFix\apps\swsc.exe Zainfekowanych: Backdoor.Win32.Hupigon.dckd

      zakladam, ze te backdoory sa juz dawno nieaktywne (?) i pierwsze 4
      wpisy usune po prostu kasujac folder DoctorWeb (sam program
      DrCureItWeb mam juz odinstalowany)?

      a co z tym piatym wpisem? usunac cale swsc.exe? (nie wiem co to za
      plik) czy moze odinstalowac SdFixa?
      • Gość: Kolobos Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.escom.net.pl 04.08.08, 18:07
        Pomysl troche.. przeciez to sdfix, a nie zaden trojan.
        • Gość: pawel Re: Trojan userinit.exe i inne (obszerne logi i o IP: *.neoplus.adsl.tpnet.pl 04.08.08, 18:35
          mowisz o ostatnim wpisie: C:\SDFix\apps\swsc.exe ?
          hm, byc moze.. ale kiedys SDFix wykryl mi jakies "2 trojan files"
          wiec myslalem, ze wrzucil je do kwarantanny a nastepnie DrCureitweb
          wrzucil je do swojej kwarantanny bo wykryl je w SDFixie

          hmm... ale przeciez Kaspersky nazywa go: Backdoor.Win32.Hupigon.dckd
          jak poszukam Backdoor.Win32.Hupigon w Google, to dostaje
          szczegolowy opisy trojanow o zblizonej nazwie, np.
          Backdoor.Win32.Hupigon.a

          www.viruslist.com/en/viruses/encyclopedia?virusid=44430

          w kazdym razie jak wrzucilem na jotti.org ten plik:
          C:\Documents and
          Settings\Właściciel\DoctorWeb\Quarantine\A0002004.exe

          to polowa z tamtejszych skanerow wykryla trojana
    • Gość: pawel jeszcze raz... IP: *.neoplus.adsl.tpnet.pl 15.08.08, 17:29
      Pare dni temu po kliknieciu w jakis link (pozniej sprawdzilem, ze
      link najzupelniej czysty) strona z tym linkiem sie zawiesila i za
      chwile pojawila sie na pasku zadan informacja, ze komputer nie jest
      chroniony programem antywirusowym (mam Avire, chodzi oczywiscie non
      stop). Kliknalem w ikonke polaczenia internetowego zeby je
      rozlaczyc, ale nie zadzialalo, wiec po prostu odlaczylem komputer od
      zasilania.
      Sporadycznie zdazaja mi sie bledy ntdll.dll zamykajace
      pare/wszystkie okienke Explorera (tak, wiem, powinienem zmienic na
      Firefox'a.... ) ale nie spotkalem sie, zeby zamykana byla tez Avira.

      Po restarcie, przeskanowalem Avira, nic nie wykryla, potem chcialem
      przeskanowac Kaspersky Online Skaner ktorego mam od kilku
      tygodni/miesiecy ktory jeszcze dzien wczesniej dzialal normalnie,
      ale otrzymalem komunikat o niewaznej licencji (licence expired) wiec
      odinstalowalem komponenty skanera Kasperskiego i zainstalowalem
      ponownie, tym razem zadzialal, po skanie tez nic nie wykryl.

      Z kolei dzien pozniej chcialem przeskanowac Comodo (mimo, iz zdaje
      sobie sprawe, ze Comodo to firewall i jego skaner antyrisusowy jest
      chyba dosc slaby) ale nagle dostalem komunikat "could not start
      scanning!. Please run the scanner as an administrator" choc dzien
      wczesniej dzialalo. W miedzyczasie w systemie a tym bardziej w
      Comodo nic nie majstrowalem, co najwyzej odinstalwoalem i
      zainstalowalem komponenty Kaspersky Online Scanner i uzylem SDFixa
      (ale kiedys uzywalem juz SDFixa majac Comodo i wowczas nie zmienial
      on nic w ustawieniach Comodo). Pocieszylem sie, ze ten dziwny
      komunikat od Comodo, ze nie moze skanowac systemu bo nie jestem
      administratorem ma tez troche innych ludzi (na forum Comodo) a
      przyczyna nie jest zdiagnozowana. No ale czemu z dnia na dzien mam
      nagle taki blad to nie wiem.

      BTW w logach Comodo znalazlem powtarzajace sie IP kore probuje sie
      laczyc/czy tez skanuje moje porty, zawsze port 1026 lub 1027, a
      zauwazylem je dlatego, bo bylo ono w logach przed momentem w ktorym
      nagle zgasla mi Avira i potem ponownie po restarcie tez to IP bylo w
      logu Comodo, choc ja mialem juz nowe IP (mam Neo). Nie bylo mnie dwa
      dni, jak wrocilem, to tez to IP pojawilo sie jako pierwsze w logu
      Comodo po paru minutach polaczenia z netem, i w miedzyczasie co
      jakis czas tez sie pojawia, ale poszukalem w Google i to IP (
      221.130.195.124 ) pojawia sie wiele razy w wynikach wyszukiwarki,
      wiec zakladam, ze to przypadek, ze to IP tak czesto skanuje moje
      porty (tzn pewnie tamto IP masowo skanuje wiele portow na okraglo
      wiec moje tez) (?) a zreszta Comodo i tak je ponoc blokuje......

      Co do logow, loga SDFix'a nie zalaczam, bo jest identyczny jak pare
      tygodni temu (sprawdzales i mowiles, ze jest OK).
      Natomiast wczoraj chcialem uzyc Combofix'a ale mialem problemy
      opisane tutaj forum.gazeta.pl/forum/72,2.html?
      f=34&w=83345002&a=83397930 , wiec dzisiaj uzylem DSS ktory niestety
      stworzyl tylko Log main.txt
      Logu extra.txt nie ma, katalog C:\Deckard ma jeden folder: "System
      Scanner" a w nim tylko log main.txt. Po ponownym przeskanowaniu
      DSS'a w foldrze "System Skaner" tworzy sie nowy folder z konkretna
      data a w nim tez tylko main.txt. A wiec oto log main.txt z DSS'a:
      www.wklej.org/id/f5e4525518
      a oto log z Silent Runners: wklej.org/id/d6af3ad4bd

      dzieki,

      Pawel
      • Gość: Kolobos Re: jeszcze raz... IP: *.escom.net.pl 15.08.08, 18:56
        Przywroc system do czasu kiedy dzialalo.
        • Gość: pawel Re: jeszcze raz... IP: *.neoplus.adsl.tpnet.pl 15.08.08, 20:13

          ok, nie pomyslalem o tym...
          a wiec uruchomilem przywracanie, wybralem punkt sprzed tygodnia i
          potem jeszcze jeden sprzed 6 dni i za kazdym razem po restarcie
          pojawial sie komunikat typu:

          "nie mozna przywrocic tego komputera do 8 sierpnia 2008 punkt
          kontrolny systemu. Zadne zmiany nie zostaly wprowadzone na tym
          komputerze. Aby wybrac inny punkt przywracania ponownie uruchom
          Przywracanie Systemu". Nie mam pojecia dlaczego to przywracanie nie
          dziala.....

          co do samego Comodo, to moge odinstalowac i zainstalowac ponownie,
          choc wciaz ciekawi mnie skad ten dziwny blad

          A co do moich problemow z Combofixem i DSS'e, czy to nie powod do
          niepokoju? Problem z Combofixem opisalem w dziale komputery (link w
          poscie wyzej), natomiast DSS ewidentnie nie tworzy mi loga extra.txt
          (przed chwila sprobowalem jeszcze raz).
          Czy to mozliwe, ze jakis rootkit mi blokuje komputer przed pelnym
          skanem? Czy to raczej blizej nieokreslony problem ktorym nie warto
          sie przejmowac, zwazywszy ze SDFix i skanery wirusowe nie
          dostrzegaja zadnych problemow (a link do main.txt DSS'u i loga z
          silent runners dalem powyzej....).
          • Gość: Kolobos Re: jeszcze raz... IP: *.escom.net.pl 15.08.08, 20:37
            Czy Ty to robisz specjalnie? Infekujesz lub psujesz system zeby pozniej pisac tutaj referaty co pare dni?

            W logu masz cos takiego odpalane przez svchost:
            eapsvcseaphost
            dot3svcdot3svc
            Wyglada to na jakas infekcje.

            Uruchom windows w trybie awaryjnym z obsluga sieci, sciagnij jeszcze raz combofix, zmien mu nazwe na 1234.exe uruchom i daj log.
            Zrob tez skan przy pomocy Dr. Web CureIt oraz daj log z sdfix, combofix, gmer (tylko uslugi oraz rootkit).
            • Gość: pawel Re: jeszcze raz... IP: *.neoplus.adsl.tpnet.pl 15.08.08, 23:36
              "Referaty" pisze zeby dokladnie opisac problem, a oczywiscie nie
              infekuje sie specjalnie, powiem wiecej, nigdy nie korzystalem z p2p,
              podejrzanych plikow tez zazwyczaj nie sciagam.
              Moze te infekcje to pozostalosci po latach surfowania bez antywirusa
              in real-time oraz tylko z zapora Windows XP, w ostatnich paru
              tygodniach nie sciagalem rzeczy podejrzanych, a wrecz przeciwnie,
              instalowalem Avire, Comodo, sp3, nowa wersje Javy... wszystko po to,
              zeby zwekszyc bezpieczenstwo.

              No ale do rzeczy: skan DrCure It Web robilem wczoraj w trybie
              awaryjnym, znalazl 7 plikow typu a006796.exe w ktorych
              wykryl 'riskware' - Program.PSExec.171 ale pliki te byly i tak w
              System Volume Information. DrrWeb objal je kwarantanna oraz
              dodatkowo wykazal 1 'hacktool, w SDFix/apps - process.exe nazwany
              Tool.Prockill. To ostatnie to jak mniemam falszywy alert.

              A z Combofixem odkrylem problem ktory uniemozliwial dzialanie,
              mianowicie ta konsola do odsyskiwania systemu, cos bylo nie tak, bo
              nawet w trybie awaryjnym nie zadzialal, ale potem uruchomilem w
              trybie normalnym, tym razem po raz pierwszy bez instalowania tej
              konsoli i wreszcie zadzialal i oto log Combofix'a:
              wklej.org/id/883a744d3c
              W Gmerze chyba chodzilo Ci o ten log: zakladka Rootkit/Malware, po
              prawej zaznaczone tylko "uslugi", > "pokazuj wszystko" > "szukaj", a
              wiec oto log Gmera (tryb normalny komputera):
              wklej.org/id/c88cef57cf
              Oto log SDFix'a z trybu awaryjnego:
              www.wklej.org/id/1550ebd8f0
              pozdrawiam, i naprawde dziekuje za wszelka pomoc i poswiecony czas,
              mam nadzieje, ze nie bede za pare tygodni znowu tutaj niczego nowego
              pisal.... (choc takie problemy, ze z dnia na dzien Comodo nie zewala
              mi na skan systemu mowiac ze nie jestem administratorem, dziwia mnie
              ale moze to jakis bug Comodo gdyz pare innych osob tez zglaszalo ten
              problem...)
              • Gość: Kolobos Re: jeszcze raz... IP: *.escom.net.pl 16.08.08, 00:19
                Nic ciekawego nie ma w tych logach.
                • Gość: pawel Re: jeszcze raz... IP: *.neoplus.adsl.tpnet.pl 16.08.08, 00:21
                  ok, wielkie dzieki, ostatnia rzecz, mowiles pare godzin temu:

                  "w logu masz cos takiego odpalane przez svchost:
                  eapsvcseaphost
                  dot3svcdot3svc
                  Wyglada to na jakas infekcje. "

                  a wiec co z tym zrobic? da sie jakos usunac? czy tez to jednak
                  niegrozne?
                  • Gość: Kolobos Re: jeszcze raz... IP: *.escom.net.pl 16.08.08, 01:23
                    To jakies pozostalosci, uruchom regedit i wyszukaj oba nastepnie usun (wczesniej zrob kopie rejestru!).
                    • Gość: pawel Re: jeszcze raz... IP: *.neoplus.adsl.tpnet.pl 16.08.08, 12:52
                      Kolobos napisał(a):

                      > W logu masz cos takiego odpalane przez svchost:
                      > eapsvcseaphost
                      > dot3svcdot3svc
                      > Wyglada to na jakas infekcje.

                      (...)

                      > To jakies pozostalosci, uruchom regedit i wyszukaj oba nastepnie
                      usun (wczesnie
                      > j zrob kopie rejestru!).

                      sprawdzilem jeszcze raz tego loga na moim kompie, i wyglada na to,
                      ze przy wklejaniu na wklej.org zniklo troche spacji, faktyczny zapis
                      wyglada tak:

                      [HKEY_LOCAL_MACHINE\software\microsoft\windows
                      nt\currentversion\svchost]
                      eapsvcs eaphost
                      dot3svc dot3svc

                      poszukalem w Google i wyglada na to, ze to prawidlowe procesy, np.
                      Picasso napisal na searchengines.pl:

                      KOD[HKEY_LOCAL_MACHINE\software\microsoft\windows
                      nt\currentversion\svchost]
                      eapsvcs eaphost
                      dot3svc dot3svc

                      Niestandardowe (wg loga, DSS jest programem nie aktualizowanym)
                      grupy kontroli svchost.exe. Powyżej widoczne są przeważnie skutkiem
                      posiadania XP z zainstalowanym SP3.

                      a wiec raczej chyba nie bede tego jednak usuwal

                      jeszcze raz dzieki za pomoc, postaram sie przez najblizsze miesiace
                      nie zawracac juz glowy!

                      pawel
Pełna wersja