Μεγάλο upload από το πουθενά κ απρόσκλητο...

[Silender]

Καλησπέρα.

Χρησιμοποιώ τον υπολογιστή μου ως μηχάνημα-ταμείο στο net cafe.

Τις τελευταίες μέρες παρατηρώ οτι σε άσχετα χρονικά διαστήματα το μηχάνημα κάνει υπερβολικά μεγάλο upload για το μέγεθος της γραμμής που είναι συνδεδεμένο... Η γραμμή που βλέπει το μηχάνημα είναι 2 γραμμές 2Μ/256Κ και το DU meter μου δείχνει upload 840KByte ! ! ! ! :nono:

Σαν αποτέλεσμα έχω να σέρνεται όλος ο κόσμος που βρίσκεται εκείνη τη στιγμή στους υπολογιστές...

μόνο με επανεκκίνηση στρώνει η κατάσταση.:hang3:

Έχω κάνει scan με το NOD32 το οποίο είναι μονίμως εγκατεστημένο/ενημερωμένο/ενεργοποιημένο.

Malwarebytes' Anti-Malware, Spybot, το Firewall των windows(XP μια και το έφερε η κουβέντα) ανοιχτό.

Windows & antivirus αυθεντικά, δεν τίθεται θέμα.

Το μηχάνημα χρησιμοποιείται αποκλειστικά για το πρόγραμμα του internet-cafe k κανα WOW στο τσακίρ κέφι...

ΥΓ: Α... να προσθέσω οτι στην ίδια εγκατάσταση είχα προσβληθεί παλαιότερα από τον Virtumonde αλλά πάνε 5 μήνες από τότε που τον εξολόθρευσα.

[Silender]

κανείς???

**** ευελπιστούσα σε κάποια λύση απο κάποιον που την έχει πατήσει ήδη....

Το ξαναέπαθα πριν λίγο με 120Kb upload αυτή τη φορά.... restart φυσικά...

Spyware δεν έχω 100%... έχω τρέξει την αφρόκρεμα απο τα γνωστά apps...

:rant:

[Nephiλiμ]

βγαλε ενα screenshot τι aps τρεχουν απο taskmanager ρε saucegay.

[LevelOne]

Η ακομα πιο ευκολα, ανοιξε Task Manager, πήγαινε στην καρτέλα της Δικτύωσης (Networking) οπου φαίνεται η χρήση του κάθε Ethernet adapter και αρχισε να σκοτώνεις διεργασίες μέχρι να βρείς τον ένοχο...

[Silender]

βάζω το net-limiter τώρα.

επειδή δεν είναι στο χέρι μου το "πότε" θα το κάνει μόλις ξαναγίνει θα βγάλω ss από net-limiter κ task manager να δείτε...

[Silender]

λοιπόν....

ορίστε το πρώτο:

και το δεύτερο με το networking που μου ζητήσατε...

αποφανθείτε...

[Jaco]

το process "strhost" δεν είναι process των windows...

1. Πρέπει να βρεις αν είναι αυτόνομο process ή το τρέχει κάποιο άλλο πρόγραμμα...

Κάνε ένα restart και δες αν το strhost.exe τρέχει όταν ξεκινήσουν τα windows... αν δεν άρχισε να τρέχεις μια-μια τις εφαρμογές που τρέχεις συνήθως και περίμενε περίπου 1 λεπτό να δεις αν θα εμφανιστεί το strhost...

2. Βρες αν υπάρχει στον δίσκο σου...

Κάνε ένα search και δες αν υπάρχει το strhost.exe σε κάποιον από τους δίσκους σου... αν όχι μόλις ενεργοποιηθεί και κάνει upload ξανακάνε search... αν το βρεις που είναι μάλλον θα βρεις και γιατί τρέχει...

Επίσης Start->Run->regedit και κάνε search για "strhost"...

3. Δες αν τρέχει στο startup κάτι περίεργο

Start->Run->msconfig->StartUp και έλεγξε ένα-ένα τα προγράμματα που τρέχουν

4. Κόψτου τα πόδια

Πες στο netlimiter ή σε κάποιο άλλο firewall να κόψει την πρόσβαση του strhost.exe στο δίκτυο και μετά δες την συμπεριφορά του μηχανήματος σου και αν υπάρχουν δυσλειτουργίες στο pc σου ή σε κάποιο άλλο του δικτύου...

[Silender]

το process "strhost" δεν είναι process των windows...

1. Πρέπει να βρεις αν είναι αυτόνομο process ή το τρέχει κάποιο άλλο πρόγραμμα...

Κάνε ένα restart και δες αν το strhost.exe τρέχει όταν ξεκινήσουν τα windows... αν δεν άρχισε να τρέχεις μια-μια τις εφαρμογές που τρέχεις συνήθως και περίμενε περίπου 1 λεπτό να δεις αν θα εμφανιστεί το strhost...

2. Βρες αν υπάρχει στον δίσκο σου...

Κάνε ένα search και δες αν υπάρχει το strhost.exe σε κάποιον από τους δίσκους σου... αν όχι μόλις ενεργοποιηθεί και κάνει upload ξανακάνε search... αν το βρεις που είναι μάλλον θα βρεις και γιατί τρέχει...

Επίσης Start->Run->regedit και κάνε search για "strhost"...

3. Δες αν τρέχει στο startup κάτι περίεργο

Start->Run->msconfig->StartUp και έλεγξε ένα-ένα τα προγράμματα που τρέχουν

4. Κόψτου τα πόδια

Πες στο netlimiter ή σε κάποιο άλλο firewall να κόψει την πρόσβαση του strhost.exe στο δίκτυο και μετά δες την συμπεριφορά του μηχανήματος σου και αν υπάρχουν δυσλειτουργίες στο pc σου ή σε κάποιο άλλο του δικτύου...

ερεύνησα λίγο το θέμα για το strhost.exe όμως δεν βγάζει και πολλά αποτελέσματα.

με ένα registry scan τα αποτελέσματα ήταν τα εξής:

μου βγάζει οτι το strhost.exe έχει σχέση με κάποιον transaction driver... τι εννοεί δλδ???

από το startup το έκοψα όμως επανήλθε με το στανιό...

μόλις το ξαναπάθω θα δοκιμάσω να το κόψω από το netlimiter να δώ κι από εκεί συμπεριφορά...

τι ***** είναι αυτό το process, έχει αρχίσει να με ενοχλεί η όλη φάση. Και καλά να βρίσκομαι στο κατάστημα όταν συμβαίνει, το κλείνω και τέλος, την άλλη εβδομάδα όμως κατεβαίνω Αθήνα για κάτι δουλειές και δεν ξέρω τι θα γίνει αν τα παιδιά που θα είναι στο μαγαζί εκείνη τη στιγμή θα το χειριστούν σωστά.:crazy_pilot:

[mariosalice]

http://www.threatexpert.com/report.aspx?md5=5ff9801b575ab311757bc13fecbfbe5b

[Silender]

Μάριε το διάβασα το site αδερφέ αλλά δεν κατάλαβα τι πρέπει να κάνω για να απαλλαγώ από το πρόβλημα...

Βασικά συνέχισα το registry scan και το συνάντησα ακόμη 8 φορές...

Το έσβησα όπου το βρήκα(οι τοποθεσίες συμπίπτουν με αυτές που αναφέρει το site που μου έδωσες Μάριε).

Θα το τσεκάρω πως πάει σήμερα και ίδωμεν...

thanks πάντως :daisy:

[Kostas007]

εχεις 2mbit για ολοκληρο ιντερνετ καφε?

[Silender]

4ΜΒ με το Airlive balancer...

3000 κάτοικοι όλοι κι όλοι στο χωριό και γύρω από εδώ...

Μη νομίζεις ότι το χρειαζόμαστε όλο αν εξαιρέσεις το youtube

ας δεήσει ο ΟΤΕ να φέρει περισσότερο και εγώ εδώ είμαι... :devil::devil:

ΥΓ: Με το πρόβλημα σήμερα ακόμη δεν έχω δει κάτι περίεργο αν και το έχω φράξει με firewall και δε συμμαζεύεται...

[Kostas007]

δοκιμασε να βαλεις το kaspersky τα θεριζει ολα

και κανε και ενα hijackthis log και ανεβασε

απο ποιο χωριο εισαι?

[Jaco]

από το startup το έκοψα όμως επανήλθε με το στανιό...

Αυτό σημαίνει ότι κάποιος άλλος το τρέχει, άρα πρέπει να βρεις και αυτόν...

Υπάρχουν διάφοροι τρόποι να το κάνεις αυτό, αλλά δεν ξέρω στα windows πως μπορείς να το κάνεις... η φιλοσοφία πίσω από αυτό είναι ότι όποια εφαρμογή τρέχει έχει το λεγόμενο "parent process" δηλαδή το id της εφαρμογής που έτρεξε το strhost, αυτό τώρα κάπου υπάρχει στην μνήμη σου αλλά δεν ξέρω αυτή τη στιγμή να σου πω πως μπορείς να το δεις... [Edit: ίσως το unlocker μπορεί να δει το parent process, δοκίμασέ το, αλλά επειδή έχω την εντύπωση ότι το bind του parent process είναι στιγμιαίο και μετά κάνει αμέσως kill τον εαυτό του δεν θα το δει... μια προσπάθεια δεν πειράζει όμως...]

Επίσης απ'ότι είδα από το registry είναι δηλωμένο σαν transaction driver στην OLE... αυτό είναι καθαρά συμπεριφορά trojan... απλά δεν υπάρχει τέτοιος driver για τις OLE βάσεις δεδομένων...

Πρέπει να βρεις που είναι το strhost.exe και μετά θα κατεβέσεις το Depandency Walker και αφού το τρέξεις θα πατήσεις open και θα δώσεις το path του αρχείου... αυτό θα σου αποκαλύψει ποια άλλα dll καλεί και είναι ένα πρώτο βήμα να καταλάβεις τι ακριβώς κάνει το trojan και να εντοπίσεις τους συνεργάτες του... μετά υπάρχουν διάφοροι τρόποι να το κοροϊδεύεις, έτσι ώστε να σου αποκαλύπτει τους συνεργούς του και την συμπεριφορά του, όπως πχ να κάνεις rename όσα dll καλεί και δεν είναι του συστήματος ώστε να δεις αν τα ξαναδημιουργεί, είναι δηλαδή ξύπνιος κ.ά...

επίσης μπορείς να χρησιμοποιήσεις το wireshark το οποίο είναι ένας ethernet sniffer και να δεις τι είναι αυτά που λέει στο δίκτυο και σε ποιά ip και πόρτα και μετά να κάνεις ένα nslookup στην ip αυτή να δεις που είναι... αν είναι σε καμιά Γερμανία ή Ασία, όπως οι περισσότεροι, τον μπουκώσεις ανοίγοντάς του 1000000 connections στην ίδια πόρτα... :to_pick_ones_nose:

[Silender]

ορίστε το log

είμαι από το κέντρο, το κατάστημα μόνο έχω στο χωριό. Στον Παπάδο της Γέρας βρίσκομαι.

Για kaspersky από Δευτέρα θα παραγγείλω ένα διότι το βλέπω τώρα τελευταία "ανεβαίνει" και το προτιμούν αρκετά παιδιά εδώ μέσα σύμφωνα με το poll. Ας υπάρχει, καλό κάνει, κακό δεν κάνει.

hijackthis.txt

[Jaco]

To HijackThis δεν λέει και πολλά και επίσης μπορεί να ξεγελαστεί, γιατί πολλά malware το βλέπουν ότι τρέχει και κρύβονται ή δεν φαίνονται και καθόλου...

Τα μόνα περίεργα είναι...:

το MapConnect.bat

και ότι έχει να κάνει με το ρημάδι office, το οποίο είναι το πρώτο θύμα και τρώει τις περισσότερες hackιές...

πχ το ONBttnIE.dll είναι επίφοβο...

:OT:

Στον Παπάδο της Γέρας βρίσκομαι.

Σίγουρα θα έχουμε κοινούς γνωστούς στην Γέρα... τράκαρα και έναν κακομοίρη εκεί από μλκ μου και του πήρα όλο το δεξί φτερό... :sorry: καινούργιο αμάξι και... παρκαρισμένο... αλλά ευτυχώς έπεσα σε λογικούς ανθρώπους και όλα κύλισαν ομαλά...

[Silender]

To HijackThis δεν λέει και πολλά και επίσης μπορεί να ξεγελαστεί, γιατί πολλά malware το βλέπουν ότι τρέχει και κρύβονται ή δεν φαίνονται και καθόλου...

Τα μόνα περίεργα είναι...:

το MapConnect.bat

και ότι έχει να κάνει με το ρημάδι office, το οποίο είναι το πρώτο θύμα και τρώει τις περισσότερες hackιές...

πχ το ONBttnIE.dll είναι επίφοβο...

το mapconnect είναι bat αρχειάκι που χρησιμοποιώ εγώ για να κάνω map τους δίσκους στον βασικό μου server που έχουν τα παιχνίδια και τους προσωπικούς φακέλους των μελών. μη σε απασχολεί το mapconnect, είναι άκακο.