Coś mi się zalęgło ;)

Zaraz po starcie systemu system coś uploaduje. Są to pakiety od kilku do 16kb.
Mam outposta, uploadującym jest plik systemowy c:\windows\system32\svchost.exe, ale jest czysty (sprawdzałem online na jakiejś stronie która korzysta z kilkunastu antywirów, jak znajde link to podam). Upload jest na porcie 25 na różne adresy IP. Zablokować svchost.exe nie mogę bo wtedy net nie działa
Przeleciałem cały system AdAvare by Lavasoft i znalazł jakieś drobne pierdoły (cookies, mru) , ale ich usunięcie nie wyeliminowało problemu.
Żadnych dziwnych procesów w tle nie ma, pozamykałem wszystko co się da i nic. Czasami pomaga zablokowanie firewallem wszystkich połączeń na kilka minut. Po ponownym włączeniu połączeń, uploadu już nie ma, tak jak by to coś co wysyła straciło kontakt ze światem zewnętrznym i potem już zapomniało się połączyć
Googlałem, ale żadnych konkretów nigdzie nie znalazłem.

Jakieś pomysły ? Jakiś soft polecacie do sprawdzenia ?

moze masz rootkita
ja mialem. antywirusy ani nic podobnego tego nie wykryje, bo (przynajmniej w moim przypadku) plikow tegoz intruza nie widac pod windowsem.

do wykrycia bestii uzylem rootkit revealer i gmer. potem dodatkowe sprawdzenie autoruns z czyszczeniem.
pliki po restarcie sie wylonily w wielu folderach na C. pousuwalem i byl spokoj. tzn nie do konca, bo wirus uszkodzil wbudowanego w windowsa firewalla i nie dalo sie go otworzyc (ustawien, bo uruchomiony byl).

aaa
i jeszcze okazalo sie ze to co gmer wykryl w rejestrze nie dalo sie usunac z poziomu regedita, bo podobnie jak pliki, wpisy byly ukryte w sposob uniemozliwiajacy usuniecie ich.
ale uzylem wiersza polecen do usuniecia i dalo rade.

ok
dzięki, zaraz szukam tych programów i będę walczył

no i czekam na innych czy mają jakieś pomysły

te programy pokazują tylko wpisy ale ich nie usuwają ? muszę to zrobić ręcznie ?

jeśli z poziomu regedit'a nie da się to jak to zrobić inaczej ?

z poziomu wiersza polecen uzywajac 'reg' zamiast regedit
wpisz sobie reg to pojawi sie lista opcji. powienienes wiedziec co dalej.

Powiem krótko Ice, najpierw lecisz tu, czytasz, robisz co każą zakładasz wątek wg tamtejszych zaleceń a oni w dzień lub dwa podadzą Ci co, gdzie i jak masz usunąć
Tylko nie wkurzaj się na mnie, że Cię gdzieś odsyłam bo naprawdę tamto forum a zwłaszcza dział o wirusach jest super i tamtejsi spece nie jeden raz pomogli mi w wyczyszczeniu z wirusów różnych komputerów

Acha, wirusy tzw. "pendrive'owe" to ostatnimi czasy plaga totalna, większa niż świńska grypa. Niestety w obecnych czasach mieć antywirusa czy firewalla nie znaczy być w 100% bezpiecznym...

spoko, jeśli nie poradzę sobie sposobem M.C Vipera + kilka progsów które ściągnąłem to wpadne tam
dzięki !

Zobacz jeszcze Combofix-a i SDFix-a.

ja mialem jakiegos beagle z pol roku temu wlasnie dzieki pendriveowi kolegi, i combofixem wywalilem po uciazliwej walce.

Ok, zrobione
W rootkit i gmer nic nie znalazłem.
Więc potem pokolei:
1. ad-aware najnowszy - znalazł sporo pierdół w rejestrze i coś tam jeszcze
2. counter spy - też coś znalazł, ale to pojedyńcze wpisy
3. spy sweeper - jw
4. mks vir online - niewiele znalazł
Efekt, było już lepiej, uploadowało się mniej, czasami po minucie przestawało samo z siebie, no ale jeszcze nie było czysto.
Zainstalowałem darmową wersję Avasta, od razu znalazł 3 dll-e z trojanami/wirusami i wirusa w pamięci. Restart, skanowanie i jest czysto Od razu zarejestrowałem się na ich stronie żeby mieć roczne aktualizacje i go zostawiam póki co. Zobaczę jak się będzie sprawował, czy nie zamula itd itp, bo do tej pory nie miałem antywira, wydawało mi się że nie potrzebuję, że wystarczy uważać i nie szwędać się w niebezpiecznych miejscach po www
Dzięki wszystkim za posty, może komuś się jeszcze kiedyś przyda - oby nie

+JacKill+ napisał:

Zobacz jeszcze Combofix-a i SDFix-a.

Combofixa używa się w ostateczności!

Ice, sam skan antywirusami nie da Ci 100% pewności usunięcia syfa, pamiętaj o tym. Tak w ogóle co do skanowania antywirusami to nie polecam skanowania na uruchomionym systemie. Ściągnij sobie iso Dr.Web Live CD z

Kod:

ftp.drweb.com

(dalej /pub/drweb/livecd/ i tu wejdź do katalogu z najnowszą datą, tam będzie iso), wypal na cd i zbootuj kompa z tego i odpal skanowanie, najlepiej na noc jak masz duży dysk. Jeśli się zawiesi (a czasem się to zdarza w trybie graficznym) to odpal jeszcze raz tylko daj tryb safe (będzie skanowało spod konsoli). Acha, no i oczywiście przed tym wszystkim wyłącz przywracanie systemu na wszystkich dyskach i wyczyść wszelkie katalogi temp, cache przeglądarek, etc.

wiem że na odpalonym systemie to średnio
ale avast znalazł coś i zaproponował skanowanie przed całkowitym uruchomieniem systemu
restart i zrobił skan w trakcie ładowania się windowsa, więc chyba ok
ważne że teraz jest dobrze
a z tym dr. web to zapamiętam na przyszłe problemy

Avasta to ja nazywam Achwast To już lepiej Avira Antivirus używać jeśli już ktoś chce coś darmowego

True true, Avira z darmowych najlepszy. Byl test kiedys w dobreprogramy.pl i 3 najlepsze z darmowych to avg, avira, avast. Avirka dobrze wykrywa i co najwazniejsze potrafi usunac badziewie, avast juz nie koniecznie. Testowalem avire na 3 roznych komputrach i usuwal wirusy i dobrze wykrywal i malo potrzebuje zasobow. Minus to to ze przy uruchomieniu wyswietla reklame i jest po ang, dla niektorych minus.
A tak btw, ostatnio tez NOD mi cos znalazl coś takiego: c:\windows\system32\util.exe ze prawdopodobnie trojan jakis. Wyslalem to na virustotal.com i 42% wyszlo ze trojan (w tym co ciekawe kaspersky wykazal ze ten plik jest czysty ). Spy S&D tez nic nie wykryl. A i gmer tez nic.
Ale usunalem jednak ten plik, bo za bardzo podejrzany byl:
po 1. jakas dziwna nazwa, nie podpisany z jakiej firmy ani nic, ikonka tylko byla windowsowa
2. byl wpis w autostarcie (dosyc czesto sprawdzam czy cos nie powstalo nowego w autostarcie, akurat teraz przez jakis czas nie sprawdzalem i tym razem zupelnie nie wiem skad sie to wzielo, tak to przynajmniej wiadomo ze instalowalem cos i dlatego cos jest nowego)
3. rozmiar ~200kb, akurat na wirusa wyglada
4. 42% na virustotal ze wirus