DCOM, log i inne pytania

system · 17 Kwiecień 2006 09:45

Witam,

Główny problem jest następującej treści: mam zainstalowanego outpost firewalla i przy opcji “rules wizard” lub block all nie mogę udostępnić drukarki innego drugiemu komputerowi w sieci lokalnej(składa się z 2 komputerów:)), jak również przy sprawdzeniu ping 127.0.0.1 wyświetla się komunikat: upłynął limit czasu żądania.

Z kolei kiedy zainstaluje innego firewalla (np. Sygate PF, Kerio PF) albo włączę opcję allow most wszystko jest w porządku, ale avast co pewien czas wyświetla mi komunikat “zatrzymany atak z DCOM exploit z adresu…” (czy to oznacza “dziurawy” firewall?).

Na drugim komputerze wszystko było w porządku i nie było komunikatów o żadnych atakach (zainstalowany sam avast), ale po pewnym czasie po uruchomieniu sieci lokalnej drugi komputer tez dostaje takie komunikaty, dlatego wnioskuje, że mam jakieś robactwo.

Sprawdzałem komputer skanerem online, ale nic nie wykrył…

Poza tym mam jeszcze parę pytań:

Skąd macie wiedzę na temat logów i czy możecie podać jakąś stronę, z której samemu można by tę wiedzę nabyć?
Czy nic się nie stanie “złego” z systemem jeżeli zainstaluje 2 antywirusy, ale będę używał tego drugiego tylko wtedy, kiedy będę chciał sprawdzić czy dany plik jest zainfekowany (przy normalnym użytkowaniu aktywny będzie tylko jeden AV).

3.Co może być przyczyną tego, że BearShare (program p2p) nie może ustanowić połączenia, skoro mam wyłączony firewall i korzystam z neostrady (może jest to wina wirusa…).

4.WinXP jest zainstalowany na dysku C, a niektóre programy na dysku D. Dysk D został wymazany i teraz pytanie: co zrobić, aby znikły wpisy programów z dysku C (np. wpisy w dodaj/usuń programy), które wskazywały na programy w dysku D.

A oto logi dotyczące głównego problemu:

Hijack:

Logfile of HijackThis v1.99.1

Scan saved at 10:37:11, on 2006-05-17

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

E:\Programy\Avast\Odzipowany Avast\aswUpdSv.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

E:\Programy\Avast\ODZIPO~1\ashDisp.exe

E:\Programy\Avast\Odzipowany Avast\ashServ.exe

C:\WINDOWS\system32\ctfmon.exe

E:\Programy\Firewall\outpost.exe

C:\WINDOWS\System32\svchost.exe

E:\Programy\Avast\Odzipowany Avast\ashMaiSv.exe

E:\Programy\Avast\Odzipowany Avast\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\devldr32.exe

E:\instalki\firewall\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - E:\Programy\Yahoo!Messenger\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programy\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - E:\Programy\Yahoo!Messenger\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [avast!] E:\Programy\Avast\ODZIPO~1\ashDisp.exe

O4 - HKLM\..\Run: [Outpost Firewall] E:\Programy\Firewall\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] E:\Programy\Firewall\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - E:\Programy\Firewall\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\Programy\YAHOO!~1\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\Programy\YAHOO!~1\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{EF9232C0-3FE7-443B-BE8F-88ADCFB232D8}: NameServer = 194.204.159.1,194.204.152.34

O20 - AppInit_DLLs: E:\Programy\Firewall\wl_hook.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - E:\Programy\Avast\Odzipowany Avast\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - E:\Programy\Avast\Odzipowany Avast\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - E:\Programy\Avast\Odzipowany Avast\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - E:\Programy\Avast\Odzipowany Avast\ashWebSv.exe" /service (file missing)

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - E:\Programy\Firewall\outpost.exe

Silent:

“Silent Runners.vbs”, revision 44, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “CTFMON.EXE” = “C:\WINDOWS\system32\ctfmon.exe” [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “SpeedTouch USB Diagnostics” = ““C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon” [“THOMSON Telecom Belgium”] “avast!” = “E:\Programy\Avast\ODZIPO~1\ashDisp.exe” [null data] “Outpost Firewall” = “E:\Programy\Firewall\outpost.exe /waitservice” [“Agnitum Ltd.”] “OutpostFeedBack” = “E:\Programy\Firewall\feedback.exe /dump:os_startup” [“Agnitum Ltd.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {02478D38-C3F9-4EFB-9B51-7695ECA05670}(Default) = (no title provided) -> {HKLM…CLSID} = “Yahoo! Toolbar Helper” \InProcServer32(Default) = “E:\Programy\Yahoo!Messenger\Companion\Installs\cpn\yt.dll” [“Yahoo! Inc.”] {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM…CLSID} = “AcroIEHlprObj Class” \InProcServer32(Default) = “E:\Programy\Acrobat 7.0\ActiveX\AcroIEHelper.dll” [“Adobe Systems Incorporated”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{472083B0-C522-11CF-8763-00608CC02F24}” = “avast” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “E:\Programy\Avast\Odzipowany Avast\ashShell.dll” [“ALWIL Software”] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Programy\WinRAR\rarext.dll” [null data] “{59850401-6664-101B-B21C-00AA004BA90B}” = “Microsoft Office Binder Unbind” -> {HKLM…CLSID} = “Microsoft Office Binder Unbind” \InProcServer32(Default) = “E:\Programy\MICROS~1\Office\1045\UNBIND.DLL” [MS] “{9DAECC89-B1B8-4BA8-BD7B-6827A83C3621}” = “MuVo NX-TX Media Explorer” -> {HKLM…CLSID} = “MuVo NX-TX Media Explorer” \InProcServer32(Default) = “E:\H.N\CTMvns.dll” [file not found] “{640167b4-59b0-47a6-b335-a6b3c0695aea}” = “Portable Media Devices” -> {HKLM…CLSID} = “Portable Media Devices” \InProcServer32(Default) = “C:\WINDOWS\System32\Audiodev.dll” [MS] “{cc86590a-b60a-48e6-996b-41d25ed39a1e}” = “Portable Media Devices Menu” -> {HKLM…CLSID} = “Portable Media Devices Menu” \InProcServer32(Default) = “C:\WINDOWS\System32\Audiodev.dll” [MS] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\ INFECTION WARNING! “AppInit_DLLs” = “E:\Programy\Firewall\wl_hook.dll” [“Agnitum Ltd.”] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}(Default) = “PDF Column Info” -> {HKLM…CLSID} = “PDF Shell Extension” \InProcServer32(Default) = “E:\Programy\Acrobat 7.0\ActiveX\PDFShell.dll” [“Adobe Systems, Inc.”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ ASW(Default) = “{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}” -> {HKLM…CLSID} = “Outpost.ASWShellExt Component” \InProcServer32(Default) = “E:\Programy\Firewall\op_shell.dll” [“Agnitum Ltd.”] avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “E:\Programy\Avast\Odzipowany Avast\ashShell.dll” [“ALWIL Software”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Programy\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ASW(Default) = “{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}” -> {HKLM…CLSID} = “Outpost.ASWShellExt Component” \InProcServer32(Default) = “E:\Programy\Firewall\op_shell.dll” [“Agnitum Ltd.”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Programy\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ ASW(Default) = “{33C9E362-3EDA-4930-8AFE-5DA39A8BB77A}” -> {HKLM…CLSID} = “Outpost.ASWShellExt Component” \InProcServer32(Default) = “E:\Programy\Firewall\op_shell.dll” [“Agnitum Ltd.”] avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “E:\Programy\Avast\Odzipowany Avast\ashShell.dll” [“ALWIL Software”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “E:\Programy\WinRAR\rarext.dll” [null data] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\ “{EF99BD32-C1FB-11D2-892F-0090271D4F88}” -> {HKLM…CLSID} = “Yahoo! Toolbar” \InProcServer32(Default) = “E:\Programy\Yahoo!Messenger\Companion\Installs\cpn\yt.dll” [“Yahoo! Inc.”] HKLM\Software\Microsoft\Internet Explorer\Toolbar\ “{EF99BD32-C1FB-11D2-892F-0090271D4F88}” = (no title provided) -> {HKLM…CLSID} = “Yahoo! Toolbar” \InProcServer32(Default) = “E:\Programy\Yahoo!Messenger\Companion\Installs\cpn\yt.dll” [“Yahoo! Inc.”] Explorer Bars Dormant Explorer Bars in “View, Explorer Bar” menu HKLM\Software\Classes\CLSID{A1A7E22D-1587-4230-8F16-081C68D21448}(Default) = “Outpost Firewall Pro Quick Tune” Implemented Categories{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32(Default) = “E:\Programy\Firewall\Plugins\BrowserBar\ie_bar.dll” [“Agnitum Ltd.”] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {44627E97-789B-40D4-B5C2-58BD171129A1}\ “ButtonText” = “Outpost Firewall Pro Quick Tune” {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}\ “ButtonText” = “Yahoo! Messenger” “MenuText” = “Yahoo! Messenger” “Exec” = “E:\Programy\YAHOO!~1\MESSEN~1\YPager.exe” [“Yahoo! Inc.”] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ “ButtonText” = “Messenger” “MenuText” = “Windows Messenger” “Exec” = “C:\Program Files\Messenger\msmsgs.exe” [MS] Miscellaneous IE Hijack Points ------------------------------ HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ Missing lines (compared with English-language version): “{08C06D61-F1F3-4799-86F8-BE1A89362C85}” = (no title provided) -> {HKLM…CLSID} = “Search Class” \InProcServer32(Default) = “C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL” [file not found] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ avast! Antivirus, avast! Antivirus, ““E:\Programy\Avast\Odzipowany Avast\ashServ.exe”” [null data] avast! iAVS4 Control Service, aswUpdSv, ““E:\Programy\Avast\Odzipowany Avast\aswUpdSv.exe”” [null data] avast! Mail Scanner, avast! Mail Scanner, ““E:\Programy\Avast\Odzipowany Avast\ashMaiSv.exe” /service” [“ALWIL Software”] avast! Web Scanner, avast! Web Scanner, ““E:\Programy\Avast\Odzipowany Avast\ashWebSv.exe” /service” [“ALWIL Software”] HTTP SSL, HTTPFilter, “C:\WINDOWS\System32\svchost.exe -k HTTPFilter” {“C:\WINDOWS\System32\w3ssl.dll” [MS]} Outpost Firewall Service, OutpostFirewall, “E:\Programy\Firewall\outpost.exe /service” [“Agnitum Ltd.”] Windows User Mode Driver Framework, UMWdf, “C:\WINDOWS\System32\wdfmgr.exe” [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 37 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 31 seconds. ---------- (total run time: 121 seconds)

Z góry dziękuję za odpowiedź! Pozdrawiam.

adam9870 · 17 Kwiecień 2006 10:15

Tylko ten wpis usuń.

Na logach z Silenta nie znam się więc nie pomogę :roll:

Na fourm było kilka tematów na ten temat więc proponuję skorzystać z forumowej szukajki :roll:
Ja radziłbym zainstalować tylko jednego. Możliwe, że jak będą dwa to jeden drugiemu będzie przeszkadzać itp. Jeden powinien wystarczyć

Co do reszty problemów nie wiem

InfinityToJa · 17 Kwiecień 2006 10:34

Log z silenta czysty

Tylko jeśli kolega odinstalował neo.