Hlásenie Eset

mrkni na to v tcp view - v "procesu" system můžou být dávno nepoužitý adresy z tcp stacku - může být třeba zabordelenej prohlížeč.

http://technet.microsoft.com/en-us/sysinternals/bb 897437

jinak to čučí na zajímavých portech- zvlášť svchost

zkusil bych log z hijackthis nebo combofix, a počíst si v něm, snad ty položky budou mít konkrétnější formát.
prolez si taky obsah souboru "hosts" - nepíšeš co máš za verzi windows, předpokládám že ms to má furt jinde.

a jak píše kmochna: zkontroluj co máš za bho doplňky v ie - viz správa doplňků.

Win mám XP Prof+SP3+ostatné aktualizácie. Práve som ho preinštaloval, tak by nemal byť nejaký zabordelovaný. Spravil som log z TCP View i HijackThis, ale ja sa v tých údajoch vôbec nevyznám, môžete to niekto skontrolovať? Zatiaľ ešte raz Vďaka.

v tcp view odškrtni ikonku šípu (ctrl+u) bude to delší a budou tam patrně ty problémový connecty.

v hijacku nevidím nic tragickýho, ale možná do toho málo brejlím.

zaujal mě obsah klíče "runonce" v registrech. můžeš na disku najít souborek %SystemRoot%\System32\syssetub.dll a mrknout se do jeho vlastností - verze, co je to zač:

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

ale asi bych nad tím dlouho nehloubal, a nechal odstranit záznamy v registrech a pak ho smazal z disku (minimálně neškodně přejmenovat)

polovina tvrzení na netu jsou kecy a je třeba je kriticky posuzovat, nicméně: http://incodesolutions.com/threats.php?file=System 32Rootsyssetubdll

myslím že "OADSRV - SODATSW spol. s r.o. - D:\Program Files\oaDial\OADSRV.EXE" měl smysl jen pro vytáčení telefonní připojení (ochrana proti přesmětrování na drahé linky), dnes asi smysl nemá. ale to si zkus dohledat u sodatu.

to že ti najednou běží několik antivirů a antispywarů není normální - a taky to zjevně nefunguje. zkus se ovládat a nech běžet jen to co umíš používat:

O4 - HKLM\..\Run: [IObit Security 360] "D:\Program Files\Utility\Monitoring\Údržba disku\Advanced SystemCare 3\IObit Security 360\IS360tray.exe" /autostart
O4 - HKLM\..\Run: [Windows Defender] "D:\Program Files\Utility\Monitoring\Spyware\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "D:\Program Files\Utility\Monitoring\Spyware\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program Files\Utility\Monitoring\Spyware\Spybot - Search & Destroy\TeaTimer.exe

čistil bych toho víc, ale to už přímo nesouvisí se spywarem, jde jen o to vyhodit všechny zbytečnosti.

Množstvo tých záznamov v TCP View kolíše podľa toho či som otváral nejaké stránky alebo nie. Po chvíľke nečinnosti je tých položiek asi toľko čo v predošlom zázname. Prikladám ešte nejaké screeny, lebo niektoré položky sa zobrazia iba krátko a potom zmiznú, pričom niektoré sú vysvietené na červeno, niektoré na žlto a iné zasa na zeleno.
tcpview.jpg
tcpview1.jpg

takže si to porovnáme:

svchost.exe 1832 TCP 0.0.0.0 135 0.0.0.0 0 LISTENING

svchost poslouchá na 135 tak jak má, žádný vzdálený port 135 není otevřen- tvůj eset si tak trošku vymýšlí. a pochybuju, že jsou otevřený 4 spojení- věř tcp view.

a když porovnávám jmenný název a tvou část ip- upc, tak ti možná eset chce naznačit, že takhle se ta služba jmenuje doopravdy. zkoušels volast na jejich tech. podporu? já jo, už to víckrát neudělám.

S tou podporou na UPC máš pravdu, ja sa s nimi už pol roka naťahujem kvôli uploadu, ale na noteboku mi nič takéto (sex-cez-telefon.sk) nebeží. Takže idem trocha laborovať. Začnem od zálohy kde tento proces ešte nie je spustený a budem sledovať ktorý nainštalovaný program to spustí. Uvidím či sa to podarí, nič iné ma nenapadá.

já bych řekl, že eset kecá, tcp view zobrazí systémově co je
můžeš mrknout do souboru hosts jestli není směrování na tu debilní adresu, zkontrolovat domovské stránky, ale nějak se mi to nezdá. jinak mrkni na brtníkovo příspěvek - takový jištěni na smazání....

Normálne nemám nainštalované všetky tie antispyware, tie som inštaloval postupne, keď som si všimol tie položky v Esete,
či niektorý neodhalí čo to je. Syssetup.dll aj s kľúčmi som vymazal ale to nepomohlo. Viem, že nejaký dialer mi môže byť
ukradnutý (ak to dialer je), ale mi vadí že mám v PC niečo čo tam normálne nemá čo hľadať.

Nakoniec to predsa len spôsoboval Hosts. Sex-cez-telefon.sk a niekoľko ďalších adries malo nastavené 0.0.0.0 Prepísal som ich na 127.0.0.1 a je pokoj. Ďakujem za pomoc.

a kdybys nelozil na net s admošskými právy, nemůže ti nic hosts přepsat.

to by člověk notabene nemohl ani zapnout počítač.
k tazatelovi- dobrá práce, padre- vyřešil sis to sám. šikula. ten tcp view má i tlačítko A - přepíná to zobrazení jmenných a číselných adres - to jsem takticko- alzhajmrovsky (nový slovo) zapoměl dodat.

Ten hosts nie je prepísaný netom, bežne doň zapisuje napr. Spyboots a iné antispyware ako ochranu pred prístupom na nebezpečné stránky.