BackDoor.Generic_c.AHA-trojan

kgb.musztarda · 4 Listopad 2007 16:19

Mam na kompie BackDoor.Generic_c.AHA ponieważ wykrywa mi go AVG. Już kilka razy go usuwałem w trybie awaryjnym za pomocą AVG i spybota oraz robiłem czyszczenie combofixem. Usunęło mi to kilka innych śmieci.

Narazie wyskakuje mi:

F:\WINDOWS\system32\kl.exe

bo F:\WINDOWS\system32\fu1.exe właśnie przed chwilą przeniosłem do kwarantanny:/ Jak się tego pozbyć, pomocy. Dodam że komputer trochę zwolnił no i dłużej się uruchamia. Przywracałem już system do wcześniejszego punktu przywracania ale nic.

huber2t · 4 Listopad 2007 16:24

zapewne ma teraz wirus wpisy w rejestrze które musisz usunąć. Ale najlepiej będzie jak znajdziesz szczepionkę i nią usuniesz wirus najwięcej szczepionek jest na http://www.symantec.com

matio · 4 Listopad 2007 16:24

daj log hijackthis

kgb.musztarda · 4 Listopad 2007 16:27

HJT log:

Logfile of HijackThis v1.99.1

Scan saved at 17:27, on 2007-11-04

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

F:\WINDOWS\System32\smss.exe

F:\WINDOWS\system32\winlogon.exe

F:\WINDOWS\system32\services.exe

F:\WINDOWS\system32\lsass.exe

F:\WINDOWS\system32\svchost.exe

F:\WINDOWS\System32\svchost.exe

F:\WINDOWS\system32\spoolsv.exe

F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

F:\PROGRA~1\Grisoft\AVG7\avgemc.exe

F:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

F:\Program Files\cFosSpeed\spd.exe

F:\WINDOWS\System32\nvsvc32.exe

F:\Program Files\AlienGUIse\wbload.exe

F:\WINDOWS\Explorer.EXE

F:\PROGRA~1\Grisoft\AVG7\avgcc.exe

F:\WINDOWS\TBPanel.exe

F:\WINDOWS\SOUNDMAN.EXE

F:\Program Files\Unlocker\UnlockerAssistant.exe

F:\Program Files\cFosSpeed\cFosSpeed.exe

F:\WINDOWS\System32\ctfmon.exe

F:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

F:\Program Files\AlienGUIse\AlienwareDock\ObjectDock.exe

F:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

F:\progra~1\mozill~1\firefox.exe

F:\Program Files\foobar2000\foobar2000.exe

F:\Documents and Settings\Daniel\Pulpit\hijackthis\HijackThis.exe

F:\WINDOWS\system32\tftp.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Tłumaczenie - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll

O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [Gainward] F:\WINDOWS\TBPanel.exe /A

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Program Files\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [cFosSpeed] F:\Program Files\cFosSpeed\cFosSpeed.exe

O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe

O4 - Startup: Alienware Dock.lnk = F:\Program Files\AlienGUIse\AlienwareDock\ObjectDock.exe

O4 - Startup: Skrót do Neostrada TP.lnk = ?

O4 - Global Startup: BTTray.lnk = ?

O4 - Global Startup: DSLMON.lnk = F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll

O9 - Extra 'Tools' menuitem: @F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103 - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{99309A02-2F1D-4688-906A-EC92307EE6D6}: NameServer = 194.204.159.1 217.98.63.164

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WB - F:\Program Files\AlienGUIse\fastload.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - F:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - F:\Program Files\cFosSpeed\spd.exe" -service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe

Dodam jeszcze, e wcześniej sam ręcznie usuwałem wpis i plik:

Złączono Posta : 04.11.2007 (Nie) 17:53

Dodam jeszcze, że sprawdzając programy zauważyłem, że port DCOM był otwarty w programie WindowsWormDoorCleaner a na pewno wszystkie zamykałem. Po zamknięciu od razu szybciej przebiega skanowanie antywirusem lecz znowu mi wykryło tego trojana tylko na końcu ma teraz rozszerzenie *.AGZ

jessica · 5 Listopad 2007 10:13

Ale to jest prawidłowy plik, w prawidłowej lokalizacji.

Jeśli jest zarażony, to użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

>>Hijack>>scan(Do a system scan only)>>zaznacz (V) >> Fix checked.

Nic tu więcej podejrzanego nie widzę. We wcześniejszym Twoim logu z ComboFixa (w innym Twoim temacie) też nic ciekawgo.

jessi

kgb.musztarda · 5 Listopad 2007 16:47

Daję loga:

SDFix: Version 1.113 Run by Daniel on 2007-11-05 at 17:38 Microsoft Windows XP [Wersja 5.1.2600] Running From: F:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: Trojan Files Found: F:\WINDOWS\system32\i - Deleted F:\WINDOWS\system32\TFTP2220 - Deleted F:\WINDOWS\system32\TFTP2324 - Deleted F:\WINDOWS\system32\TFTP2360 - Deleted F:\WINDOWS\system32\TFTP2524 - Deleted F:\WINDOWS\system32\TFTP2788 - Deleted F:\WINDOWS\system32\TFTP2872 - Deleted F:\WINDOWS\system32\TFTP2876 - Deleted F:\WINDOWS\system32\TFTP2912 - Deleted F:\WINDOWS\system32\TFTP3172 - Deleted F:\WINDOWS\system32\TFTP3184 - Deleted F:\WINDOWS\system32\TFTP3300 - Deleted F:\WINDOWS\system32\TFTP3384 - Deleted Removing Temp Files… ADS Check: F:\WINDOWS No streams found. F:\WINDOWS\system32 No streams found. F:\WINDOWS\system32\svchost.exe No streams found. F:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-05 17:40:47 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden services & system hive … [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] “s1”=dword:2df9c43f “s2”=dword:110480d0 “h0”=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] “p0”=“F:\Program Files\DAEMON Tools” “h0”=dword:00000000 “khjeh”=hex:49,76,bf,df,37,60,f8,3f,41,d7,c1,3b,ce,aa,4a,7f,b8,ff,51,87,1c,… [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] “a0”=hex:20,01,00,00,94,62,e6,0d,55,92,d8,1e,f4,01,02,c1,68,ea,0f,84,7a,… “khjeh”=hex:98,61,ff,23,e9,3f,50,19,08,b6,56,04,41,e5,27,eb,7e,45,2d,be,2f,… [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] “khjeh”=hex:08,94,ac,8d,b7,49,ad,b3,a6,24,1f,4f,03,df,ed,76,db,f8,e6,f2,d0,… [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] “p0”=“F:\Program Files\DAEMON Tools” “h0”=dword:00000000 “khjeh”=hex:49,76,bf,df,37,60,f8,3f,41,d7,c1,3b,ce,aa,4a,7f,b8,ff,51,87,1c,… [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] “a0”=hex:20,01,00,00,94,62,e6,0d,55,92,d8,1e,f4,01,02,c1,68,ea,0f,84,7a,… “khjeh”=hex:98,61,ff,23,e9,3f,50,19,08,b6,56,04,41,e5,27,eb,7e,45,2d,be,2f,… [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] “khjeh”=hex:08,94,ac,8d,b7,49,ad,b3,a6,24,1f,4f,03,df,ed,76,db,f8,e6,f2,d0,… scanning hidden registry entries … [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,… scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “F:\Program Files\WapSter\AQQ\AQQ.exe”=“F:\Program Files\WapSter\AQQ\AQQ.exe:*:Enabled:P2P AQQ” [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- File Backups: - F:\SDFix\backups\backups.zip Files with Hidden Attributes: Wed 7 Mar 2001 311,296 …HR — “F:\WINDOWS\system32\Tools\AC2K.exe” Wed 21 Feb 2001 310,784 …HR — “F:\WINDOWS\system32\Tools\AC98.exe” Wed 21 Feb 2001 311,296 …HR — “F:\WINDOWS\system32\Tools\ACL98.exe” Wed 21 Feb 2001 311,808 …HR — “F:\WINDOWS\system32\Tools\ACLME.exe” Fri 27 Apr 2001 327,168 …HR — “F:\WINDOWS\system32\Tools\All.exe” Fri 24 Nov 2000 316,416 …HR — “F:\WINDOWS\system32\Tools\AutoClick.exe” Tue 16 Oct 2001 363,008 …HR — “F:\WINDOWS\system32\Tools\Change.exe” Thu 11 Apr 2002 547,840 …HR — “F:\WINDOWS\system32\Tools\CheckPath.exe” Fri 31 Aug 2001 381,440 …HR — “F:\WINDOWS\system32\Tools\Counter.exe” Mon 21 Jan 2002 360,960 …HR — “F:\WINDOWS\system32\Tools\DelDv.exe” Tue 20 Mar 2001 532,480 …HR — “F:\WINDOWS\system32\Tools\DeleteFiles.exe” Mon 21 Jan 2002 360,960 …HR — “F:\WINDOWS\system32\Tools\DelT2.exe” Mon 21 Jan 2002 360,960 …HR — “F:\WINDOWS\system32\Tools\DelT2Dv.exe” Wed 6 Mar 2002 360,960 …HR — “F:\WINDOWS\system32\Tools\DelTools.exe” Mon 11 Mar 2002 361,472 …HR — “F:\WINDOWS\system32\Tools\LostRun.exe” Tue 3 Apr 2001 296,960 …HR — “F:\WINDOWS\system32\Tools\RegClean.exe” Fri 8 Mar 2002 369,152 …HR — “F:\WINDOWS\system32\Tools\Regexe.exe” Fri 8 Mar 2002 382,464 …HR — “F:\WINDOWS\system32\Tools\Restart.exe” Fri 8 Mar 2002 374,784 …HR — “F:\WINDOWS\system32\Tools\RunAP.exe” Fri 8 Mar 2002 360,960 …HR — “F:\WINDOWS\system32\Tools\RunRegexe.exe” Fri 2 Nov 2001 379,392 …HR — “F:\WINDOWS\system32\Tools\SDW98ME.exe” Fri 9 Mar 2001 312,832 …HR — “F:\WINDOWS\system32\Tools\SoundDrv.exe” Finished!

Mówiłem, że to jest zarażony plik? Miałem rację, ale dam jeszcze log z HJT bo mi jeszcze znalazł tego tftp.exe Nie wiem jak się go pozbyć:((((

Złączono Posta : 05.11.2007 (Pon) 17:59

Acha, dodam bo może się przyda a to mnie zaciekawiło. Mam to jeszcze to robactwo na kompie, i zauważyłem, że ono otwiera port DCOM. Nie wiem jak ale mam WindowsWormDoorCleaner i zamykałem wcześniej (wczoraj) ten port na 100% bo zauważyłem, że był otwarty. Teraz patrzę, że znowu jest otwarty to go zablokowałem. Czy da się jakoś na stałe zablokować ten port innym programem albo w rejestrze, żeby ten robak mi go nie otwierał? Wiem z “doświadczenia”, że wystarczy 5 minut jak ten port jest otwarty i już instaluje się jakiś trojan czy robal. POMOCY…

jessica · 5 Listopad 2007 17:03

Ale te usunięte, to nie są “tftp” - bo mają inne nazwy, tyle, że zaczynające się na “tftp”.

EDIT:

Może teraz już nic nie będzie otwierało tych portów…?

jessi

kgb.musztarda · 5 Listopad 2007 17:50

Ale właśnie przed chwilą miałem otwarty port DCOM (chyba 135 się inaczej na to mówi). Nie wiem, ściągłem (jak to się pisze:/) już nowszą wersję WormDoorCleanera [ostatnią] i mam nadzieję że to pomoże. Wcześniej korzystałem z wersji 1.3.1

Aa, bo zapomniałem dać loga z HJT.

Logfile of HijackThis v1.99.1 Scan saved at 18:47, on 2007-11-05 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\spoolsv.exe F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe F:\PROGRA~1\Grisoft\AVG7\avgemc.exe F:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe F:\Program Files\cFosSpeed\spd.exe F:\WINDOWS\System32\nvsvc32.exe F:\Program Files\AlienGUIse\wbload.exe F:\WINDOWS\Explorer.EXE F:\PROGRA~1\Grisoft\AVG7\avgcc.exe F:\WINDOWS\TBPanel.exe F:\WINDOWS\SOUNDMAN.EXE F:\Program Files\Unlocker\UnlockerAssistant.exe F:\Program Files\cFosSpeed\cFosSpeed.exe F:\WINDOWS\System32\ctfmon.exe F:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe F:\Program Files\AlienGUIse\AlienwareDock\ObjectDock.exe F:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE F:\progra~1\mozill~1\firefox.exe F:\Program Files\foobar2000\foobar2000.exe F:\Documents and Settings\Daniel\Pulpit\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Catcher Class - {ADECBED6-0366-4377-A739-E69DFBA04663} - F:\Program Files\Moyea\FLV Downloader\MoyeaCth.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Tłumaczenie - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O4 - HKLM…\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [Gainward] F:\WINDOWS\TBPanel.exe /A O4 - HKLM…\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [unlockerAssistant] “F:\Program Files\Unlocker\UnlockerAssistant.exe” O4 - HKLM…\Run: [cFosSpeed] F:\Program Files\cFosSpeed\cFosSpeed.exe O4 - HKCU…\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe O4 - Startup: Alienware Dock.lnk = F:\Program Files\AlienGUIse\AlienwareDock\ObjectDock.exe O4 - Startup: Skrót do Neostrada TP.lnk = ? O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: DSLMON.lnk = F:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O9 - Extra ‘Tools’ menuitem: @F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll,-103 - {B46B0919-62BA-4D99-A5C4-916B57A6805C} - F:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra ‘Tools’ menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - F:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O17 - HKLM\System\CCS\Services\Tcpip…{99309A02-2F1D-4688-906A-EC92307EE6D6}: NameServer = 194.204.159.1 217.98.63.164 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - F:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: WB - F:\Program Files\AlienGUIse\fastload.dll O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVG7\avgemc.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - F:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - F:\Program Files\cFosSpeed\spd.exe" -service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe

I to też mnie zastanawia. Teraz nie ma tego tftp.exe w logu a jak tylko się otwierał port DCOM to od razu się to pojawiało. Mam nadzieję że to już spokój mi dało:)