Nepřetržitá komunikace se sítí

[mmmartin]

Mám připojení přes kabel (UPC/Chello). Prakticky okamžitě po naběhnutí Windows ( win 2000 + SP4) se rozsvítí obě obrazovky vpravo dole na liště, signalizující provoz mezi PC a sítí. Přitom Zone Alarm žádný provoz nesignalizuje, žádná aplikace není spuštěná a podle správce úloh neběží ani žádný procec (nečinné procesy 99%). Počet přijatých a odeslaných paketů je přibližně stejný. Spybot, AdAware ani CWShredder nic špatného nevidí, AVG taktéž nic. Obrazovky zhasnou teprve po vypnutí modemu, případně po odpojení modemu od kabelu. Tuší někdo co se děje? Pro úplnost přikládám log.

Logfile of HijackThis v1.99.1
Scan saved at 11:30:49, on 12.3.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINNT\system32\cisvc.exe
C:\WINNT\system32\CTsvcCDA.exe
C:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\locator.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe
C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINNT\system32\ezSP_Px.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\HDD Health\hddhealth.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\HiCDEject\HiCDEject.exe
C:\Program Files\Hijackthis\hijackthis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Program Files\Common Files\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Program Files\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINNT\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [HDDHealth] C:\Program Files\HDD Health\hddhealth.exe -wl
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: HiCDEject.lnk = C:\Program Files\HiCDEject\HiCDEject.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Antivirový systém AVG pro Windows.lnk = C:\Program Files\Grisoft\AVG7\avgw.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperWorkstation\DKService.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

Dík.

[mijaja]

V logu nemáš nic, co by na to ukazovalo, ale tohle není směrodatné, pokud tam máš něco skrytého. Tady by byl vhodnější upravený log z MWAVu.
Zkusil bych to projet i RootkitRevealerem

[mmmartin]

MWAV praví:

Object "peopleonpage Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "tencent qq Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "internet spy Commercial KeyLogger" found in File System! Action Taken: No Action Taken.
A RootkitRevealer mi napsal něco, čemu vůůůůbec nerozumím, přikládám níže. Pokud z toho je schopen někdo něco poznat, má můj obdiv

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System* 15.8.2005 20:12 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\VideoUpgradeDisplaySettings\Driver1 25.11.2003 0:08 3 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\VideoUpgradeDisplaySettings\Service1 25.11.2003 0:08 7 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\VideoUpgradeDisplaySettings\Service2 25.11.2003 0:08 5 bytes Data mismatch between Windows API and raw hive data.
C:\$AttrDef 27.10.2003 14:18 2.50 KB Hidden from Windows API.
C:\$BadClus 27.10.2003 14:18 0 bytes Hidden from Windows API.
C:\$BadClus:$Bad 27.10.2003 14:18 37.27 GB Hidden from Windows API.
C:\$Bitmap 27.10.2003 14:18 1.16 MB Hidden from Windows API.
C:\$Boot 27.10.2003 14:18 8.00 KB Hidden from Windows API.
C:\$Extend 27.10.2003 14:18 0 bytes Hidden from Windows API.
C:\$Extend\$ObjId 27.10.2003 13:41 0 bytes Hidden from Windows API.
C:\$Extend\$Quota 27.10.2003 13:41 0 bytes Hidden from Windows API.
C:\$Extend\$Reparse 27.10.2003 13:41 0 bytes Hidden from Windows API.
C:\$Extend\$UsnJrnl 20.11.2005 10:49 0 bytes Hidden from Windows API.
C:\$Extend\$UsnJrnl:$Max 20.11.2005 10:49 32 bytes Hidden from Windows API.
C:\$LogFile 27.10.2003 14:18 64.00 MB Hidden from Windows API.
C:\$MFT 27.10.2003 14:18 97.27 MB Hidden from Windows API.
C:\$MFTMirr 27.10.2003 14:18 4.00 KB Hidden from Windows API.
C:\$Secure 27.10.2003 14:18 0 bytes Hidden from Windows API.
C:\$UpCase 27.10.2003 14:18 128.00 KB Hidden from Windows API.
C:\$Volume 27.10.2003 14:18 0 bytes Hidden from Windows API.
C:\Documents and Settings\mrtin\Plocha\aswclnr.exe.lnk 8.2.2005 19:40 547 bytes Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\mrtin\Plocha\Rootkit Revealer.lnk 12.3.2006 18:04 653 bytes Hidden from Windows API.
C:\Documents and Settings\mrtin\Plocha\stinger.exe.lnk 15.2.2005 20:37 547 bytes Visible in Windows API, but not in MFT or directory index.
C:\Program Files\Rootkit Revealer 12.3.2006 17:59 0 bytes Hidden from Windows API.
C:\Program Files\Rootkit Revealer\Eula.txt 11.2.2006 9:22 1.92 KB Hidden from Windows API.
C:\Program Files\Rootkit Revealer\RootkitRevealer.chm 7.12.2005 14:19 99.77 KB Hidden from Windows API.
C:\Program Files\Rootkit Revealer\RootkitRevealer.exe 1.2.2006 17:02 232.08 KB Hidden from Windows API.
C:\RECYCLER\S-1-5-21-484763869-1957994488-1060284298-1000\Dc5.lnk 15.2.2005 20:37 547 bytes Hidden from Windows API.
C:\RECYCLER\S-1-5-21-484763869-1957994488-1060284298-1000\Dc6.lnk 8.2.2005 19:40 547 bytes Hidden from Windows API.
F:\$AttrDef 8.2.2006 17:29 2.50 KB Hidden from Windows API.
F:\$BadClus 8.2.2006 17:29 0 bytes Hidden from Windows API.
F:\$BadClus:$Bad 8.2.2006 17:29 128.00 GB Hidden from Windows API.
F:\$Bitmap 8.2.2006 17:29 4.00 MB Hidden from Windows API.
F:\$Boot 8.2.2006 17:29 8.00 KB Hidden from Windows API.
F:\$Extend 8.2.2006 17:29 0 bytes Hidden from Windows API.
F:\$Extend\$ObjId 8.2.2006 17:29 0 bytes Hidden from Windows API.
F:\$Extend\$Quota 8.2.2006 17:29 0 bytes Hidden from Windows API.
F:\$Extend\$Reparse 8.2.2006 17:29 0 bytes Hidden from Windows API.
F:\$LogFile 8.2.2006 17:29 64.00 MB Hidden from Windows API.
F:\$MFT 8.2.2006 17:29 1.50 MB Hidden from Windows API.
F:\$MFTMirr 8.2.2006 17:29 4.00 KB Hidden from Windows API.
F:\$Secure 8.2.2006 17:29 0 bytes Hidden from Windows API.
F:\$UpCase 8.2.2006 17:29 128.00 KB Hidden from Windows API.
F:\$Volume 8.2.2006 17:29 0 bytes Hidden from Windows API.

[mijaja]

Že by tam byl ten dacan od Sony? Vyzkoušej Aries Remover - měl by jej odstranit. Jinak tě asi pošlu ke specialistům na tyhle šmejdy - Tam tuhle havěť sbírají. Vím, že na Viry.cz chodíš a tam by ti Cevrik v tomhle poradil lépe než já, na rootkity je to zatím jedinej machr, co jsem poznal.

[mmmartin]

Dík, zkusím se obrátit na konkurenci . A pro tvou informaci: Aries Remover nic nenašel, ale test trval jen asi tři vteřiny.

[mijaja]

On je dělaný hlavně na ty šmejdy od Sony. Rozuměj, v tvém kompu nic nemusí být, ale jistota je jistota. V tomhle se přiznám, že raději budu sledovat, co s tím udělají na Virech.

[mmmartin]

On je dělaný hlavně na ty šmejdy od Sony. Rozuměj, v tvém kompu nic nemusí být, ale jistota je jistota. V tomhle se přiznám, že raději budu sledovat, co s tím udělají na Virech.

http://www.viry.cz/forum/viewtopic.php?p=127920#127920

[mijaja]

Dobrý, sleduju to. Doufejme, že to teda byl jen planý poplach.
Takový log z RR jsem totiž ještě neviděl a ty znaky dolaru mě probudily.

[John_S]

Pokud máš ZONE ALARM Profesional, nebo "internet security suite" tak vypni na záložce EMAIL (nebo tak nějak) kontrolu (Junk Files), nebo nejlépe obojí, stejně máš AVG, který poštu kontroluje, tak je zbytečný, aby to kontroloval i Zone Alarm.

Na 99% to dělá právě zone alarm.

[mmmartin]

nebo nejlépe obojí

?
Zone Alarm mám už řadu let, výše popisovaný problém se objevil až asi před týdnem.

[mijaja]

Asi bych to mmmartine na těch Virech ještě zkusil, už se to tam trochu rozběhlo. Asi to bude časově náročnější, ale pokud jsi nedělal žádné instalace, či změny HW nebo nastavení softu - nenapadá mě nic jiného. V tom logu MWAVu byly jen ty tři řádky ohledně šmejdů? Vím, že to bývá dlouhý log a z prohlížení bolí oči. Ale sakra někde je něco špatně.

[mmmartin]

V tom logu MWAVu byly jen ty tři řádky ohledně šmejdů?

Fakt že jó, přísahám. Ještě teď se mi dělají mžitky před očima a navíc mi pomáhala kámoška - funkce Najít