Czy to wirus?

Witam! !!

Mam problem… błagam pomóżcie!

Chyba sciagnalem jakiegos wirusa (podejrzewam, ze przez kazae) i zaczyna mi sie wszystko sypac.

Ponadto ikony wielu plików zmieniaja mi sie na ikonki sera (taki zólty ser z wycietym kawalkiem)

skanuje twardziela Norton AntyVirusem, ale nic nie wykrywa… slyszeliscie moze o takim czyms??

Blagam pomozcie! !!

Proponuje odwiedzić scanery on-line. Odnośniki na stronie głównej vortalu.

zrobilem i troche poznajdywalo roznych gówienek.

i teraz musze wszystkie pliki z wirusami recznie usuwac?

sorry, ze moze troche nie na temat, ale pierwszy raz korzystam ze skanerow on line…

Gdy w skanerze zostanie wykryty wirus,jest opcja usunięcia go,lub naprawienia.

chodz sa skanery AV tylko wykrywajace wirka np. PestPatrol,

Jesli to sa wazne pliki systemowe to ani wasz sie ich usuwac ;)…chyba ze chcesz pozniej miec Foramt C://

Jesli to pliki jakis mniej waznych programow to odinstaluj je i najwyzej zainstaluj ponownie…

Moze klikles cos na jakiejso stronce i pozamienialo ikonki na serki :slight_smile:

Na przyszlosc najlepiej sie zabezpieczyc :wink: dobrym anty virem:

  • Norton System Works 2003-2005

oraz dobrym anty spy:

  • ETD Security Professional 3.0

  • Pest Patrol

Przeskanowalem F-securem i wykrylo 488 zainfekowanych plikow. Jestem niemal pewny, ze sciagnalem to przez kazae, ale mam Norton AntiVirusa, na biezaco go aktualizuje i mi nic nie wykryło.

W f-securze chyba nie ma opcji usuwania plikow, wiec przeskanuje jeszcze gfdzie indziej i tam sprobuje wszystko usunac, bo usuwanie 488 plikow na piechote nie jest miłą perspektywa…

Przejrzalem pliki w ktorych znalazlo robaki i w wiekszosci sa nie potrzebne, ale jest tez wsrod nich rundll. Jego raczej nie moge usunac, wiec co mam zrobic???

Ten plik z pewnością ma tylko lokalizację w “rundll” - mnóstwo wirusów upodobało sobie szczególnie to miejsce. Ale samego systemowego Rundll32 (o ile masz XP) - w ten sposób na pewno nie usuniesz, poleci za to tylko syf! I o to chodzi! :slight_smile:

No i poza tym jest mnóstwo badziewia posługuje się właśnie samym plikiem rundll.exe ; np. Backdoor.LoxoScam, Backdoor.SchoolBus.B, Troj/AnaFTP-01, Troj/TKBot-A itd. długo by wymieniać!

Moje zdanie jest nieco inne, niż Patricko!

Jeżeli coś zostanie jednoznacznie zdiagnozowane jako syf, nie zastanawiaj się nad usunięciem tego. Zresztą skanery usuwające - robią to bez pardonu. Wyjątkowo rzadko zdarza się, by po takiej infekcji poleciał Ci nie sam plik, a cały proces!

Zaufaj zatem diagnozie scanera!

Z katalogu windows zainfekowane sa takie pliki:

C:\WINDOWS\satmat.exe

C:\WINDOWS\system\Rundll32~.exe

C:\WINDOWS\windows32\ifstiw.exe

Jak myslicie, moge je usunąc?

C:\WINDOWS\system\Rundll32~.exe

Niby wszystko wydaje się cacy, ale zwróć uwagę na znak tyldy , który normalnie nie występuje w zapisie tego procesu w systemie (to oczywiście tak dla zmyły, żebyś tego nie zauważył). Bardzo częsta symulacja! :twisted: Jest to wirus WORM_REPLACE.A - taki dokładnie ma zapis, więcej przeczytasz sobie poniżej, ewidentnie do usunięcia! No i oczywiście słusznie podejrzewasz Kaazę…http://es.trendmicro-europe.com/enterpr … .A&VSect=T

C:\WINDOWS\satmat.exe 

C:\WINDOWS\windows32\ifstiw.exe

Oba pliki - również do usunięcia!

Usuwaj w trybie awaryjnym, wyłącz przywracanie systemu przed usuwaniem, a po wszystkim - najlepiej będzie - jak wkleisz tu loga z Hijack’a do sprawdzenia! :slight_smile:

Udało sie! !!

Wirusa nie ma! !!

Dziekuje wszystkim bardzo za rady:)

I mam jeszcze jeden problem… nie mam pojecia co to sa te cale loga, Hijack’i itp :oops:

Wytlumaczycie mi?? :roll:

Program nazywa się Hijack This, pod poniższym linkiem jest do ściągnięcia i mówiąc w skrócie, pokazuje - co się dzieje na kompie!

Czyli - czy nie masz jakiś syfów!

Zresztą przeczytasz sobie!

http://www.searchengines.pl/phpbb203/in … opic=15989

Ściągnij go, zeskanuj system - następnie zaklikaj “save log” , log ze skanu otworzy Ci się w notatniku. A potem wklej go (zwyczajnie - kopiuj/wklej) - w ten swój temat, w kolejnym poście.

Nic sam nie usuwaj - userzy podpowiedzą Ci co usunąć i wtedy użyjesz funkcji “fix”! :slight_smile:

Jestem pełna nadziei, że już jest z Twoim kompem OK - aczkolwiek zawsze warto sprawdzić! :slight_smile:

chyba mi sie udało:D

Oto co ottzymalem: sprawdzi mi ktos?? :slight_smile:

Logfile of HijackThis v1.98.2

Scan saved at 03:36:28, on 2004-12-09

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\drivers\KodakCCS.exe

C:\WINDOWS\System32\ScsiAccess.EXE

C:\WINDOWS\Explorer.EXE

C:\Mouse_MX\qttask.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\Messenger\msmsgs.exe

C:\PROGRA~1\GADU-G~1\gg.exe

C:\WINDOWS\system32\BelkinMonitor.exe

C:\Mouse_MX\SpySub.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\cidaemon.exe

C:\Krzychu\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM…\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe

O4 - HKLM…\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM…\Run: [QuickTime Task] “C:\Mouse_MX\qttask.exe” -atboottime

O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”

O4 - HKLM…\Run: [satmat] C:\WINDOWS\satmat.exe

O4 - HKLM…\Run: [Rundll] C:\WINDOWS\System\Rundll~.exe /out

O4 - HKLM…\Run: [Rundll32] C:\WINDOWS\System\Rundll32~.exe /out

O4 - HKLM…\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe

O4 - HKLM…\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE

O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU…\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKCU…\Run: [Gadu-Gadu] “C:\PROGRA~1\GADU-G~1\gg.exe” /tray

O4 - Global Startup: Belkin 11Mbps Wireless Desktop Network Card Monitor.lnk = C:\WINDOWS\system32\BelkinMonitor.exe

O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

O4 - Global Startup: SpySubtract.lnk = C:\Mouse_MX\SpySub.exe

O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm

O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar … vSniff.cab

O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/pl/navy_2_0_0_16.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar … /cabsa.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004 … scan53.cab

O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab

O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_26.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - http://67.15.101.3/g_bin/pl/billard9_2_0_0_21.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C3} (GameDesire Pool 14) - http://67.15.101.3/g_bin/pl/billard14_2_0_0_21.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C6} (GameDesire Pool 8UK) - http://67.15.101.3/g_bin/pl/billard8UK_2_0_0_21.cab

Odnośnie całej sytuacji zainfekowania wcale się nie dziwię że do niego doszło, a mianowicie:

:arrow: brak service packa do systemu i z pewnością krytycznych poprawek również

:arrow: co z tego że masz nortona skoro ochrona w czasie rzeczywistym (moduł Autoprotect) jest wyłączony !!

sp rzeczywiscie nie mam, a co do nortona do autoprotect byl wlaczony, z tym ze to wlasnie wirus mi tak namieszał w plikach, ze norton juz nie działa i zaraz robie reinstalke.

A reszta jest dobrze?

Wyłącz pzrywracanie sytemy

Start kompa do wawryjnego.

Za pomocą HijackThis usuń :

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

Jak sam sobie to Proxy założyłeś to zostaw. W innym wypadku -> usiń. Dalej usuń:

O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing) 

O4 - HKLM\..\Run: [satmat] C:\WINDOWS\satmat.exe ~

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm 

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm 

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540006} (CInstall Class) - http://www.errorguard.com/installation/Install.cab 

O16 - DPF: {4B4513E2-4E57-43DF-9496-FCD37E9DFA64} (GameDesire Sea Battle) - http://67.15.101.3/g_bin/pl/navy_2_0_0_16.cab 

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

 O16 - DPF: {BFA1F11D-3121-AFE1-4112-894323212DAC} (GameDesire Word Games) - http://67.15.101.3/g_bin/pl/words_2_0_0_26.cab 


O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool - http://67.15.101.3/g_bin/pl/billard8_2_0_0_21.cab 

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C2} (GameDesire Pool 9) - http://67.15.101.3/g_bin/pl/billard9_2_0_0_21.cab 

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C3} (GameDesire Pool 14) - http://67.15.101.3/g_bin/pl/billard14_2_0_0_21.cab 

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/pl/snooker_2_0_0_21.cab 

O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C6} (GameDesire Pool 8UK) - http://67.15.101.3/g_bin/pl/billard8UK_2_0_0_21.cab

Dalej :

To są właśnie oznaki w Run - tego wirusa WORM_REPLACE.A (głównego winowajcy :twisted: ), którego opis koledze podrzuciłam ze stronki Trend Micro, a którego potem się pozbył skanerem! Taką ten wirus ma właśnie postać Rundll~.exe , we wpisach w Run dochodzi końcówka out! :slight_smile:

Charakterystyczna tylda - oba wpisy do usunięcia!.

Było raczej do przewidzenia, że pomimo usunięcia skanerem z C/Windows - będą również wpisy w Run-ach!

dzieki wszystkim!! pomogło! !!

Mam wirusa GMT kto wie jak sie go pozbyć??Jak próbuje go wywalić z coomon files to pisze że się nie da bo jakiś program może go używać lub inna osoba.Mam jeszcze pare innych ale to inna sprawa.Jak jest ktoś chętny do pomocy to niech mi odpowie tutaj albo na gg:7365489

Zrobiłem jakby taki mały skan małym programikiem (chyba do trojanów i oto co otrzymałem)

Logfile of HijackThis v1.99.0

Scan saved at 23:19:31, on 2004-12-17

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\SYSTEM32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

D:\WINDOWS\system32\LEXBCES.EXE

D:\WINDOWS\system32\LEXPPS.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\Program Files\Common Files\CMEII\CMESys.exe

D:\Program Files\Common Files\Symantec Shared\ccApp.exe

D:\Program Files\Messenger\msmsgs.exe

D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

D:\Program Files\Norton AntiVirus\navapsvc.exe

D:\Program Files\Common Files\GMT\GMT.exe

D:\Program Files\Norton AntiVirus\SAVScan.exe

D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

D:\WINDOWS\system32\wscntfy.exe

D:\WINDOWS\System32\svchost.exe

D:\PROGRA~1\FLASHGET\flashget.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\Gadu-Gadu\gg.exe

D:\Documents and Settings\Dawid - Szef\Moje dokumenty\hijackthis199.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - D:\PROGRA~1\SEARCH~1\SEARCH~2.DLL

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll

O4 - HKLM…\Run: [CMESys] “D:\Program Files\Common Files\CMEII\CMESys.exe”

O4 - HKLM…\Run: [ccApp] “D:\Program Files\Common Files\Symantec Shared\ccApp.exe”

O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [Komunikator] D:\Program Files\Tlen.pl\tlen.exe

O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: GStartup.lnk = D:\Program Files\Common Files\GMT\GMT.exe

O8 - Extra context menu item: Web Rebates - file://D:\Program Files\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - D:\PROGRA~1\FLASHGET\jc_link.htm

O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - D:\PROGRA~1\FLASHGET\jc_all.htm

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Music … e-c106.cab

O23 - Service: Symantec Event Manager - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

O23 - Service: LexBce Server - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Core LC - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe