Device Microsoft System

ryszard · 16 Styczeń 2005 17:34

Program Easy Cleaner w Nadzorze Startu wykrył trzy prawie identyczne wpisy: Device Microsoft System (dla programu) C:WINNT\System32\devsrv.exe (i pliku). Nie wiem, czy to przypadkiem nie pozostałość po robaku. W fizycznej lokalizacji mam wpisy:

HKEY_CURRENT_USER\SoftWare\MicroSoft\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SoftWare\MicroSoft\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SoftWare\MicroSoft\CurrentVersion\RunServices

wins · 16 Styczeń 2005 17:39

Tak, to jest pozostalosc po robalu.

ryszard · 16 Styczeń 2005 17:43

Dzięki!

Waterproof · 17 Styczeń 2005 00:22

ryszard · 17 Styczeń 2005 06:17

A w jaki sposób wyłącza się przywracanie systemu? Trybu awaryjnego trochę się boję, bo mam nikłe pojęcie o komputerach.

Wpisy usuwałem przy pomocy Easy Cleanera.

Damian · 17 Styczeń 2005 06:30

Panel sterowania>>>System>>>Przywracanie systemu>>>Zaznaczasz “wyłącz przywracanie systemu”

Jakieś 5s po wciśnięciu przycisku zasilającego komputera wciskasz F8

ryszard · 17 Styczeń 2005 07:02

Panel Sterowania - jest. System - jest. Ale Przywracania Systemu - nie ma. Mam Windowsa 2000.

W Systemie są: Ogólne, Identyfikacja Sieciowa, Sprzęt, Profile Użytkownika i Zaawansowane.

Waterproof · 17 Styczeń 2005 14:40

No tak - w Windows 2000 nie ma takiej opcji!

A nie podałeś wcześniej nazwy systemu…

Wklej zatem log z Hijack This - wybierz wersję 1.99

http://www.searchengines.pl/phpbb203/in … opic=15989

Po użyciu funkcji scanowania, zapisz log (save log) w notatniku i wklej go w tym temacie. Sam nic nie kasuj - poczekaj na speców!

Dla pewności wybierz tę funkcję przy starcie “None of the above, just start a program”. Zresztą w linku masz wszystko obrazowo wytłumaczone.

ryszard · 17 Styczeń 2005 16:17

Co należy usunąć?

Logfile of HijackThis v1.99.0

Scan saved at 17:16:04, on 2005-01-17

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\WINNT\System32\sistray.EXE

C:\WINNT\System32\khooker.exe

C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\PROGRA~1\WANADOO\TaskbarIcon.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINNT\system32\devsrv.exe

C:\Program Files\Adobe\Acrobat 5.0 CE\Distillr\AcroTray.exe

C:\Program Files\ScannerU\AM32.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

C:\WINNT\System32\msdtc.exe

C:\Program Files\Outlook Express\msimn.exe

C:\Documents and Settings\Ryszard Wenta\Pulpit\HIJACK\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mojastrona.com.pl/prasa/index.shtml

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada Plus wita Cie w Internecie

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0 CE\Acrobat\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM…\Run: [siS Tray] C:\WINNT\System32\sistray.EXE

O4 - HKLM…\Run: [siS KHooker] C:\WINNT\System32\khooker.exe

O4 - HKLM…\Run: [speedTouch USB Diagnostics] “C:\Program Files\Alcatel\SpeedTouch USB\Dragdiag.exe” /icon

O4 - HKLM…\Run: [EPSON Stylus C42 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 “EPSON Stylus C42 Series” /O5 “LPT1:” /M “Stylus C42”

O4 - HKLM…\Run: [WOOWATCH] C:\PROGRA~1\WANADOO\Watch.exe

O4 - HKLM…\Run: [WOOTASKBARICON] C:\PROGRA~1\WANADOO\TaskbarIcon.exe

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [Device Microsoft System] devsrv.exe

O4 - HKLM…\RunServices: [Device Microsoft System] devsrv.exe

O4 - HKCU…\Run: [Device Microsoft System] devsrv.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0 CE\Distillr\AcroTray.exe

O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab

O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://skaner.mks.com.pl/SkanerOnline.cab

O17 - HKLM\System\CCS\Services\Tcpip…{F26996E6-07F7-47FC-B442-CB2E8FCB6571}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: Usługa administracyjna Menedżera dysków logicznych - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe

O23 - Service: MkS_Vir Monitor - Unknown - C:\Program Files\MKS\Bin\mksmonsv.exe (file missing)

Podejrzane dla mnie - amatora - są:

O4 - HKLM…\Run: [Device Microsoft System] devsrv.exe

O4 - HKLM…\RunServices: [Device Microsoft System] devsrv.exe

O4 - HKCU…\Run: [Device Microsoft System] devsrv.exe

to te, które ciągle wracają.

A może jeszcze?:

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\devsrv.exe

HIJACK THIS sugeruje, by wykasować jeszcze inne pliki, zwłaszcza zaczynające się na “04”, ale wiem, że niektóre z nich służą do startu Acrobata czy skanera. Np. te:

O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0 CE\Distillr\AcroTray.exe

O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe

Wielce podejrzany wydaje mi się ten:

O17 - HKLM\System\CCS\Services\Tcpip…{F26996E6-07F7-47FC-B442-CB2E8FCB6571}: NameServer = 194.204.152.34 217.98.63.164