Lololo.zippote.com


(Franciszek Wydra) #1

Wyświetla mi się komunikat: Uzytkownik zażądał informacji od lololo.zippote.com (albo 4.79.43.147) i komputer próbuje nawiązać połaczenie via neo.

Co to może być?

W logu z HiJackThis nie ma nic podejrzanego.


(Kuz5) #2

Pobierz program Ewido zrób update i przeskanuj

No i wklej loga SilentRunners

Podaj wiecej informacji na temat tego komunikaty czyli kiedy wyskakuje (w jakim momecie), od kiedy on wyskakuje, czy instalowałeś coś ostatnio itp. ??


(Franciszek Wydra) #3

System świeżo po instalacji, neo - ale jako połaczenie Dial-Up modemu (bez programików tepsy) jedyne, co się instalowało to FlashPlayer z Macromedia po za tym kompletnie nic.

Logi podeślę wieczorem.

Złączono Posta : 09.02.2006 (Czw) 22:13

Zapusciłem Ewido i taki rezultat:


ewido anti-malware - Scan report


  • Created on: 20:25:54, 2006-02-09

  • Report-Checksum: 826BE18B

  • Scan result:

C:\Documents and Settings\Bolek\Cookies\bolek@clickbank[1].txt -> TrackingCookie.Clickbank : Cleaned with backup

C:\Documents and Settings\Bolek\Cookies\bolek@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup

C:\Documents and Settings\Bolek\Cookies\bolek@revenue[2].txt -> TrackingCookie.Revenue : Cleaned with backup

C:\WINDOWS\system32\TFTP2884 -> Backdoor.Rbot.anl : Cleaned with backup

C:\WINDOWS\system32__delete_on_reboot__msdconfig.exe -> Backdoor.Rbot.anl : Cleaned with backup

::Report End

Potem SilentRunners z nast rezultatem:

“Silent Runners.vbs”, revision 43, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by “{++}”

Startup items buried in registry:


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

“CTFMON.EXE” = “C:\WINDOWS\System32\ctfmon.exe” [MS]

“MSMSGS” = ““C:\Program Files\Messenger\msmsgs.exe” /background” [MS]

“MS Config” = “msdconfig.exe” [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

“SpeedTouch USB Diagnostics” = ““C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon” [“THOMSON Telecom Belgium”]

“Windows Firewall Monitor” = “C:\inp.exe” [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

“{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania”

-> {CLSID}\InProcServer32(Default) = “deskpan.dll” [file not found]

“{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! “{54D9498B-CF93-414F-8984-8CE7FDE0D391}” = “ewido shell guard”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\ewido anti-malware\shellhook.dll” ["TODO: "]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! AtiExtEvent\DLLName = “Ati2evxx.dll” [“ATI Technologies Inc.”]

HKLM\Software\Classes*\shellex\ContextMenuHandlers\

ewido(Default) = “{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\ewido anti-malware\context.dll” [“ewido networks”]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

ewido(Default) = “{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\ewido anti-malware\context.dll” [“ewido networks”]

Active Desktop and Wallpaper:


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Enabled Screen Saver:


HKCU\Control Panel\Desktop\

“SCRNSAVE.EXE” = “C:\WINDOWS\System32\logon.scr” [MS]

Winsock2 Service Provider DLLs:


Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS]

000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Running Services (Display Name, Service Name, Path {Service DLL}):


Ati HotKey Poller, Ati HotKey Poller, “C:\WINDOWS\System32\Ati2evxx.exe” [“ATI Technologies Inc.”]

ewido security suite control, ewido security suite control, “C:\Program Files\ewido anti-malware\ewidoctrl.exe” [“ewido networks”]

ewido security suite guard, ewido security suite guard, “C:\Program Files\ewido anti-malware\ewidoguard.exe” [“ewido networks”]


  • This report excludes default entries except where indicated.

  • To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

  • To search all directories of local fixed drives for DESKTOP.INI

DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

use the -supp parameter or answer “No” at the first message box.

---------- (total run time: 26 seconds, including 6 seconds for message boxes)

Potem znowu Ewido - jest czysto.

Jednak po restarcie kompa mam komunikat

Uzytkownik lub program zażądał informacji od 4.79.43.147 - którego połaczenia chcesz uzyć?

Ręce mi opadają. Gdzież to draństwo siedzi?

Pozdrawiam