Problem - firewall

Stranger [ Gladiator ]

To wiem, tyle że za każdym razem jest to inny proces... Ten na zdjęciu był już trzecim.

Stranger [ Gladiator ]

Edit w oczekiwaniu na przeniesienie MC: Z tego co wyczytalem na roznych stronkach nie jest to nic powaznego. Jest to natomiast wqrzajaca rzecz. Ogladam sobie film na kompie a tu ZONK, wyskakuje zakichane okienko :)

wysiu [ ]

Wlasnie sobie sprawdzilem, to aine.pl oferuje skrzynki pocztowe, platne do tego. Nie znasz nikogo z mailem tam? Ciekawostki jakies, moze masz jakiegos trojana albo keyloggera, probujacego cos tam wyslac...? BTW. Sygate nie pokazuje na jakim porcie to cos chce sie laczyc?

Stranger [ Gladiator ]

port 11, jak na zdjęciu

Stranger [ Gladiator ]

Tak jak mowie, robaki na 99% bym raczej wykluczyl. Dzis skanowalem Spybotem, kilka dni temu Ad-Aware. Mam najnowsza wersje Firewalla i regularnie update'uje Avasta.

Cainoor [ Mów mi wuju ]

Zrób sobie update bazy wirusów i pełny skan:

ntoskrnl.exe is a critical process in the boot-up cycle of your computer although should never appear in WinTasks whilst under normal circumstances Note: ntoskrnl.exe can be altered by the w32.bolzano and variants. If this process appears in WinTasks, please update your virus definations immediatly.

Stranger [ Gladiator ]

Czytalem to :) Ta stronke odwiedzalem w pierwszej kolejnosci :)

Cainoor [ Mów mi wuju ]

Teraz jestem na 99% pewien, że masz trojana. ComComp.exe o tym świadczy. Bardzo mozliwe, że Avast! go nie wykrywa. Zrób pełnego skana MKSem, albo innym skanerem.

Stranger [ Gladiator ]

ComComp.exe jest procesem związanym z softem TePSy.

Cainoor [ Mów mi wuju ]

Aha, ok. Zciągnij sobie program Hijjack This i daj tu loga z niego. Będziesz miał tam wymienione wszystkie procesy. Jak masz coś niepożądanego, będzie to widać.

https://www.spychecker.com/program/hijackthis.html

Wypowiedź została zmodyfikowana przez jej autora [2005-02-03 23:33:24]

Stranger [ Gladiator ]

Logfile of HijackThis v1.99.0
Scan saved at 23:37:14, on 2005-02-03
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\Winamp\winampa.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\Wanadoo\EspaceWanadoo.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\WINDOWS\System32\devldr32.exe
C:\Program Files\Tlen.pl\tlen.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Winamp\winamp.exe
C:\totalcmd\TOTALCMD.EXE
G:\losiowe\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.neostrada.pl
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - ‹06849E9F-C8D7-4D59-B87D-784B7D6BE0B3› - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - ‹8E718888-423F-11D2-876E-00A0C9082467› - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\TaskbarIcon.exe
O4 - HKLM\..\Run: [DU Meter] C:\Program Files\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Related - ‹c95fe080-8f5d-11d2-a20b-00aa003c157a› - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - ‹c95fe080-8f5d-11d2-a20b-00aa003c157a› - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\‹EEB25698-0BA4-49D8-A17B-6828FD603F3F›: NameServer = 194.204.152.34 217.98.63.164
O23 - Service: Adobe LM Service - Unknown - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Pro - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe

Cainoor [ Mów mi wuju ]

Dla mnie wygląda czysto. Tylko ten messenger mógłbyś wywalić :P

Co do problemu: nie umiem Ci powiedzieć, co moze być przyczyną. Instalowałeś cokolwiek od tej firmy aine ?

Stranger [ Gladiator ]

Nie :) A co konkretnie wywalic ;) ?

03.02.2005

23:41

[16]

Stranger [ Gladiator ]

na to dac fixa? O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

Cainoor [ Mów mi wuju ]

Stranger ---> Usługę posłaniec mógłbyś wyłączyć, bo i tak do nieczego jej chyba nie używasz, prawda? :) [edit] to nie jst poslaniec tylko MS Messenger proces.[/edit]

Kurde, co do problemu: czy TPsa korzysta z usług firmy aine ?

Wypowiedź została zmodyfikowana przez jej autora [2005-02-03 23:44:00]

wysiu [ ]

Sprawdz jaki to port, bo ICMP Type 11 to nie jest numer portu - to tylko oznaczenie bledu Time Exceeded. Moze to pozwoli cos znalezc.

Stranger [ Gladiator ]

Gdzie to się wyłącza?

wysiu [ ]

Najprosciej XP AntiSpy uzyc.

Cainoor [ Mów mi wuju ]

Stranger ---> Teraz się tym nie zajmuj, bo to na 99% nie ma związku ;) [Narzedzia Administracyjne -> Usługu -> Szukasz i wyłączasz]

Stranger [ Gladiator ]

wysiu, dzieki za progs, juz go zassalem

03.02.2005

23:54

[23]

wysiu [ ]

Cainoor --> Przeciez sam napisales, ze to nie poslaniec, tylko ms messenger:)
C:\Program Files\Messenger\msmsgs.exe

Cainoor [ Mów mi wuju ]

wysiu ---> Racja, racja. Późno już, a mnie grypa męczy ;-)

Stranger ---> Masz interek od tej fimy AINE?

wysiu [ ]

Cainoor -->
"ComComp.exe jest procesem związanym z softem TePSy."
Czyli chyba nie ma?:)

04.02.2005

00:12

[26]

Cainoor [ Mów mi wuju ]

wysiu ---> Myślałem nad tym, ale wiesz, różnie może być. Przeczytałem co to za frima ta AINE (jestem z Wawy i 1 raz o niej słyszę). Taka TPsa może dzierżawić np łącze od tej firmy lub na odwrót. W każdym razie coś ten adres www.aine.pl musi robić w tym komunikacie. Kombinuje co. Nawet pojawiła się u mnie myśl, że jakiś nadgorliwy programista z TPsy po cichu współpracuje z AINE i napisał programik by szpiegować Strangera, lol :D

Stranger [ Gladiator ]

Ech... >>>

Cainoor --> nie, mam Neozdrade 512

Cainoor [ Mów mi wuju ]

Heh. CROWLEY DATA POLAND Sp. z o.o. z Warszawy rozdziela adres IP tej firmy AINE. Szykuje się jakaś teoria spiskowa ;)

Stranger ---> Sorry, za z pozoru durne pytania, ale czy np. na innym użytkowniku przy połączeniu z NEO też masz takie komunikaty ?

Wypowiedź została zmodyfikowana przez jej autora [2005-02-04 00:22:17]

Stranger [ Gladiator ]

Na moim kompie jest tylko jeden uzytkownik, tzn. ja :)

04.02.2005

00:31

[30]

Cainoor [ Mów mi wuju ]

Rozumiem. Cóż. Nie jestem Ci w stanie teraz pomóc, ale często taki brainstorm pomaga rozwiązać problemy. Może rano jak wstanę będę miał coś nowego, albo do tego czasu się już uporasz :)

Stranger [ Gladiator ]

Spoko, dzieki za dotychczasowa pomoc. W sumie nic zlego sie nie dzieje. Komp nie swiruje, necik idzie z max speedem. Te wyskakujace okienka bywaja jednak irytujace :)

04.02.2005

00:36

[32]

wysiu [ ]

Stranger --> Zawsze mozesz zarzucic sobie jakiegos packet sniffera, raz to cos wypuscic przez firewalla, i nagrac sobie na dysk to, co on tam probuje wysylac..:) Gorzej jak sie okaze, ze to np wszystkie hasla z dysku;)

04.02.2005

00:42

[33]

Stranger [ Gladiator ]

Nie dzieki, wole mozolnie blokowac :D

Sharky [ Generaďż˝ ]

Jak dla mnie jeszcze podejrzanie wygladaja te wpisy:
O9 - Extra button: Related - ‹c95fe080-8f5d-11d2-a20b-00aa003c157a› - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - ‹c95fe080-8f5d-11d2-a20b-00aa003c157a› - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\‹EEB25698-0BA4-49D8-A17B-6828FD603F3F›: NameServer = 194.204.152.34 217.98.63.164

Cainoor [ Mów mi wuju ]

Stranger ---> Masz zainstalowanego SP2 ?

Stranger [ Gladiator ]

Nie.

Cainoor [ Mów mi wuju ]

To zainstaluj. Może Sharky ma racje i te błędy to sprawka "Alexy".

aha. Alexa to w skrócie wbudowana w IE, ukryta wyszukiwarka.

SP2 usuwa ją z systemu.

Wypowiedź została zmodyfikowana przez jej autora [2005-02-04 12:49:56]

Stranger [ Gladiator ]

No fajnie, ale ja korzystam z Firefoxa :)

04.02.2005

15:12

[39]

Cainoor [ Mów mi wuju ]

Stranger ---> Ale to chyba nie ma nic do rzeczy, czy uzywasz IE, czy FF :)