Witam, mam na kompie orginalnego Windowsa XP professional z SP2, IE 6 pl z SP2, AVG Free edition 7.5 i kerio 4.2.3.

Niby wszystko ok komp chodzi płynnie ale co skanuje AVG cały system zawsze pokazuje w raporcie, że nastąpiły

zmiany w plikach takich jak: kernel32.dll, user32.dll, shell32.dll, ntoskrnl.exe.

Chciałbym sie dowiedzieć co się z nim dzieje. Oto raport z hijackthis:

Będę wdzięczny za informacje o tym co w nim siedzi i jak sie tego pozbyć. Z góry dzięki.

Log jest czysty - nic podejrzanego tutaj nie widać.

Wrzuć jeszcze log z Silent Runners oraz ComboFix

Oto log z silent runners.

Winsock2 Service Provider DLLs:

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS]

000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\

{FB5F1910-F110-11D2-BB9E-00C04F795683}\

“ButtonText” = “Messenger”

“MenuText” = “Windows Messenger”

“Exec” = “C:\Program Files\Messenger\msmsgs.exe” [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):

AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, “C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe” [“Anti-Malware Development a.s.”]

AVG E-mail Scanner, AVGEMS, “C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe” [“GRISOFT, s.r.o.”]

AVG7 Alert Manager Server, Avg7Alrt, “C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe” [“GRISOFT, s.r.o.”]

AVG7 Update Service, Avg7UpdSvc, “C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe” [“GRISOFT, s.r.o.”]

HTTP SSL, HTTPFilter, “C:\WINDOWS\System32\svchost.exe -k HTTPFilter” {“C:\WINDOWS\System32\w3ssl.dll” [MS]}

NVIDIA Display Driver Service, NVSvc, “C:\WINDOWS\system32\nvsvc32.exe” [“NVIDIA Corporation”]

StarWind iSCSI Service, StarWindService, “C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe” [“Rocket Division Software”]

Sunbelt Kerio Personal Firewall 4, KPF4, ““C:\Program Files\Sunbelt Software\Personal Firewall 4\kpf4ss.exe”” [“Sunbelt Software”]

<>: Suspicious data at a malware launch point.

• This report excludes default entries except where indicated.

• To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

• To search all directories of local fixed drives for DESKTOP.INI

DLL launch points, use the -supp parameter or answer “No” at the

first message box and “Yes” at the second message box.

---------- (total run time: 29 seconds)

Złączono Posta : 22.12.2006 (Pią) 11:33

Electra proszę poprawić posta zgodnie z zasadami wklejania logów na forum.

Ściągnij i zastosuj -> UnHookExec.inf

Po tym nowy log z Silenta

Zrób skan AVG AntySpyware 7.5 po update

“Ściągnij i zastosuj” czyli co mam z tym zrobić otwiera mi sie strona z tekstem jak to odpalić? Sorry za takie pytania ale jestem tępy w tym temacie.

Złączono Posta : 22.12.2006 (Pią) 16:33

Ok juz mi sie udalo sciagnalem ten plik i zainstalowalem

Wrzuć nowy log z Silenta

Skanowałem system avg anty spyware 7.5 na najnowszych aktualizacjach, nie wykrył nic, oto nowy log z silenta:

Jest OK

Restartuje kompa i zapuszcze skana anty virem zobacze czy zmiany znowu będą.

Złączono Posta : 22.12.2006 (Pią) 17:35

Zmiany znowu są ale po czystym logu wnioskuje że to juz nie może być nic złego. Dziękuje za pomoc. Posta skasuje koło 20.00.

Złączono Posta : 22.12.2006 (Pią) 17:36

Chodziło o temat “posta skasuje”