X
  • #1 29 Jul 2006 17:08
    klostazy
    Level 23  
    Helpful post? (0)
    Witam
    Mam problem jak wykryć program, który sam sobie wysyła dane i pobiera, bez mojej wiedzy. Antywirus nie wykrywa AVG 7.1, Firewall Outpost nie blokuje. Jak ma wykryć ruch sieciowy, by móc go zablokować?
  • #2 29 Jul 2006 17:31
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Skad wiesz, ze w ogole cos zlapales?
    Przeskanuj system przy pomocy ewido oraz wklej na forum log z hijackthis to zobaczymy jak to wyglada.
  • #3 29 Jul 2006 20:00
    xiabn
    Level 9  
    Helpful post? (0)
    ja bym polecał Kasperskiego antywirusa - po zassaniu wez sobie zrob uaktualnienie od razu i dopiero przeskanuj, a do tego obowiązkowo ad-aware . oczywiscie skanując kompa koniecznie odłącz sie od neta, powinno pomóc
  • #4 29 Jul 2006 20:16
    Józef18
    Level 31  
    Helpful post? (0)
    Zmień Fierwall'a na Kerio Personal Firewall najlepiej w wersji 2.1.5

    Pozdrawiam
    Józef
  • #5 29 Jul 2006 20:26
    jankolo
    VIP Zasłużony dla elektroda
    Helpful post? (0)
    xiabn wrote:
    ja bym polecał Kasperskiego antywirusa

    Proszę uzasadnić, dlaczego w tym przypadku Kasperky będzie lepszy od AVG.
    xiabn wrote:
    powinno pomóc

    Z tego wynika, że kolega wie, co jest przyczyną takiego zachowania się komputera? Proszę o zdradzenie tej tajemnicy - wraz z uzasadnieniem, naturalnie.
    Józef18 wrote:
    Zmień Fierwall'a na Kerio Personal Firewall najlepiej w wersji 2.1.5

    Proszę o uzasadnienie proponowanej zmiany. Co zrobi Kerio, czego nie robi outpost i dlaczego Kerio w takiej, a nie innej wersji.
  • #6 29 Jul 2006 20:41
    paweliw
    Spec od komputerów
    Helpful post? (0)
    Dodając do wypowiedzi jankolo:
    może by też przeskanować komputer także AntiVir-rem, Avastem, NOD-em, Norton Antywirus, Bitdefender i całą masą skanerów on-line itp.

    Teraz na poważnie:
    Dopóki klostazy nie zastosuje się do wcześniejszych rad Kolobos-a możemy tylko zgadywać co naprawdę się dzieje w jego systemie.
    Wszelkie próby "jasnowidztwa" niewiele pomogą.
  • #7 30 Jul 2006 12:29
    xiabn
    Level 9  
    Helpful post? (0)
    uważam że Kasperski jest lepszy od avasta i starszego nortona - w walce z trojanami, a wiem to z doświadczenia bo i sam przekonałęm sie o nieporadnośći tych dwóch pozastałych programów antywirusowych.
    Napisałem wcześniej że powinno pomóc - oczywiśćie kierowane słowa te były to pytania z tematu czyli jak wykryć trojana.
  • #8 30 Jul 2006 19:06
    klostazy
    Level 23  
    Topic author Helpful post? (0)
    to jest log:
    Logfile of HijackThis v1.99.1
    Scan saved at 19:00:17, on 2006-07-30
    Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    E:\WINDOWS\System32\smss.exe
    E:\WINDOWS\system32\winlogon.exe
    E:\WINDOWS\system32\services.exe
    E:\WINDOWS\system32\lsass.exe
    E:\WINDOWS\system32\svchost.exe
    E:\WINDOWS\System32\svchost.exe
    E:\WINDOWS\system32\LEXBCES.EXE
    E:\WINDOWS\Explorer.EXE
    E:\WINDOWS\system32\LEXPPS.EXE
    E:\WINDOWS\system32\spoolsv.exe
    E:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
    E:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    E:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    E:\WINDOWS\system32\crypserv.exe
    E:\Program Files\ewido anti-spyware 4.0\guard.exe
    E:\Program Files\Agnitum\Outpost Firewall\outpost.exe
    E:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
    E:\WINDOWS\System32\svchost.exe
    E:\PROGRA~1\Grisoft\AVG7\avgcc.exe
    E:\Program Files\DAEMON Tools\daemon.exe
    E:\Program Files\ewido anti-spyware 4.0\ewido.exe
    E:\Program Files\Gadu-Gadu\gg.exe
    E:\Program Files\Messenger\msmsgs.exe
    E:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    E:\WINDOWS\System32\wuauclt.exe
    E:\DOCUME~1\klostazy\USTAWI~1\Temp\_tc\HijackThis.exe
    E:\Program Files\Opera\Opera.exe
    E:\Documents and Settings\klostazy\Pulpit\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AVG7_CC] E:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [DAEMON Tools] "E:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKLM\..\Run: [Outpost Firewall] E:\Program Files\Agnitum\Outpost Firewall\outpost.exe /waitservice
    O4 - HKLM\..\Run: [OutpostFeedBack] E:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
    O4 - HKLM\..\Run: [!ewido] "E:\Program Files\ewido anti-spyware 4.0\ewido.exe" /minimized
    O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [Gadu-Gadu] "E:\Program Files\Gadu-Gadu\gg.exe" /tray
    O4 - HKCU\..\Run: [MSMSGS] "E:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: DSLMON.lnk = E:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Szybkie dostosowywanie programu Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - E:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150026171046
    O16 - DPF: {6ABE4BC3-7253-418E-85E8-F334A73154D3} (CSmartClient Object) - http://www.smart-clip.com/activex/SmartClip.cab
    O20 - AppInit_DLLs: E:\WINDOWS\System32\win_jp.dll
    O23 - Service: Autodata Limited License Service - Autodata Limited - E:\Program Files\Common Files\Autodata Limited Shared\Service\ADCDLicSvc.exe
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
    O23 - Service: Crypkey License - Kenonic Controls Ltd. - E:\WINDOWS\SYSTEM32\crypserv.exe
    O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Program Files\ewido anti-spyware 4.0\guard.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - E:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - E:\Program Files\Agnitum\Outpost Firewall\outpost.exe
    O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - E:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
  • #9 30 Jul 2006 19:17
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Zainstaluj aktualizacje do IE:
    http://www.windowsupdate.com/

    W hjt usun:
    O20 - AppInit_DLLs: E:\WINDOWS\System32\win_jp.dll
    Plik E:\WINDOWS\System32\win_jp.dll usun z dysku.
  • #10 30 Jul 2006 19:38
    marek216

    Level 43  
    Helpful post? (0)
    wtrącę swoje dwa grosze:

    ewido po przeskanowaniu najlepiej odinstalować - a trzymanie go w autostarcie to już całkowita przesada
  • #11 30 Jul 2006 19:49
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    :arrow: marek216
    Skaner rezydentny i tak bedzie dzialac tylko 30dni (w wersji trial), ale dalej bedzie mozna skanowac recznie, a wiec nie ma sensu odinstalowywac skoro moze sie jeszcze przydac.
  • #12 31 Jul 2006 20:42
    klostazy
    Level 23  
    Topic author Helpful post? (0)
    Kolbos napisał
    W hjt usun:
    O20 - AppInit_DLLs: E:\WINDOWS\System32\win_jp.dll
    Plik E:\WINDOWS\System32\win_jp.dll usun z dysku.

    Troszkę nie rozumiem co to HJT
    z dysku usnołem win_jp.dll

    Firewall pokazuje że program SVCHOST.EXE łączy się z siecią i po biera pliki i wywsyła.
  • #13 31 Jul 2006 21:04
    keendr
    Level 12  
    Helpful post? (0)
    hjt = Hijackthis:)

    ja używam NOD32 + Outposta 2.5 i szczerze powiem, że nie załapałem przez ponad rok żadnego syfu.
    Nie ma idealnych antyvirusów, każdy ma swoje ulubione mam NOD32 bo działa narazie dobrze, częste aktualizacje i bardzo małe obciążenie dla systemu.

    log wydaje się być czysty ...

    pozatym dlaczego uważasz, że coś Ci siedzi w systemie....
  • #14 31 Jul 2006 21:05
    jannaszek
    Level 39  
    Helpful post? (0)
    uruchamiasz hijackthis[skrót] i zaznaczasz ten wpis potem fix checked bodaj
    a plik usuń z e: ... lokalizacja -jaki masz problem
  • #15 31 Jul 2006 21:44
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    :arrow: klostazy
    Czy az taki problem sprawia Ci przepisanie mojego nicka bez bledu?!

    Wklej na forum to co Ci zwraca:
    tasklist /svc

    Oraz podaj pid tego svchost'a.
  • #16 03 Aug 2006 15:04
    Józef18
    Level 31  
    Helpful post? (0)
    jankolo wrote:

    Józef18 wrote:
    Zmień Fierwall'a na Kerio Personal Firewall najlepiej w wersji 2.1.5

    Proszę o uzasadnienie proponowanej zmiany. Co zrobi Kerio, czego nie robi outpost i dlaczego Kerio w takiej, a nie innej wersji.


    Już uzasadniam swoją decyzję nowa wersja Kerio nie posiada pełnej możliwości blokowania (blokuje to co ma w swojej bazie - użytkownik nie ma pełnej kontroli nad zabezpieczeniem systemu) natomiast wersja proponowana zawiera pełną kontrolę nad zabezpieczeniem systemu.
    Outpost ma brak możliwości śledzenia ataku.

    Pozdrawiam
    Józef
  • #17 03 Aug 2006 18:29
    isiek78
    Spec od drukarek
    Helpful post? (0)
    Ja mam Kapserskyego, ale czasmai pozowlilem na to, żeby wpadł mi jakiś trojan, czasami Kaspersky sobie nie radził, ale za to Ewido szedł jak szalony niszczac paskudztwo, najlepiej w trybie awaryjnym.
  • #18 03 Aug 2006 20:47
    klostazy
    Level 23  
    Topic author Helpful post? (0)
    kolobos sorki za literki, jakiś chohlik zjadł mi literkę.
    To jest to, co mi napisałeś tak misię wydaje, że oto chodziło.

    Jak znaleść trojana? Jak wykryć ruch sieciowy, aby go zablokować?
  • #19 03 Aug 2006 21:43
    Kolobos
    Spec od komputerów
    Helpful post? (0)
    Tak ale napisz jeszcze, ktory to svchost, na screenie widac 4 napisz tez z jakim adresem sie laczy i jakie pliki pobiera.
    Mozesz wylaczyc zbedne uslugi, tutaj masz opis:
    http://www.searchengines.pl/phpbb203/index.php?showtopic=7723&st=0&#entry43148
  Search 4 million + Products
Browse Products