Wyświetla mi się komunikat: Uzytkownik zażądał informacji od lololo.zippote.com (albo 4.79.43.147) i komputer próbuje nawiązać połaczenie via neo.
Co to może być?
W logu z HiJackThis nie ma nic podejrzanego.
Wyświetla mi się komunikat: Uzytkownik zażądał informacji od lololo.zippote.com (albo 4.79.43.147) i komputer próbuje nawiązać połaczenie via neo.
Co to może być?
W logu z HiJackThis nie ma nic podejrzanego.
Pobierz program Ewido zrób update i przeskanuj
No i wklej loga SilentRunners
Podaj wiecej informacji na temat tego komunikaty czyli kiedy wyskakuje (w jakim momecie), od kiedy on wyskakuje, czy instalowałeś coś ostatnio itp. ??
System świeżo po instalacji, neo - ale jako połaczenie Dial-Up modemu (bez programików tepsy) jedyne, co się instalowało to FlashPlayer z Macromedia po za tym kompletnie nic.
Logi podeślę wieczorem.
Złączono Posta : 09.02.2006 (Czw) 22:13
Zapusciłem Ewido i taki rezultat:
ewido anti-malware - Scan report
Created on: 20:25:54, 2006-02-09
Report-Checksum: 826BE18B
Scan result:
C:\Documents and Settings\Bolek\Cookies\bolek@clickbank[1].txt -> TrackingCookie.Clickbank : Cleaned with backup
C:\Documents and Settings\Bolek\Cookies\bolek@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup
C:\Documents and Settings\Bolek\Cookies\bolek@revenue[2].txt -> TrackingCookie.Revenue : Cleaned with backup
C:\WINDOWS\system32\TFTP2884 -> Backdoor.Rbot.anl : Cleaned with backup
C:\WINDOWS\system32__delete_on_reboot__msdconfig.exe -> Backdoor.Rbot.anl : Cleaned with backup
::Report End
Potem SilentRunners z nast rezultatem:
“Silent Runners.vbs”, revision 43, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by “{++}”
Startup items buried in registry:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
“CTFMON.EXE” = “C:\WINDOWS\System32\ctfmon.exe” [MS]
“MSMSGS” = ““C:\Program Files\Messenger\msmsgs.exe” /background” [MS]
“MS Config” = “msdconfig.exe” [file not found]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
“SpeedTouch USB Diagnostics” = ““C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon” [“THOMSON Telecom Belgium”]
“Windows Firewall Monitor” = “C:\inp.exe” [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
“{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania”
-> {CLSID}\InProcServer32(Default) = “deskpan.dll” [file not found]
“{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu”
-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! “{54D9498B-CF93-414F-8984-8CE7FDE0D391}” = “ewido shell guard”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\ewido anti-malware\shellhook.dll” ["TODO: "]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = “Ati2evxx.dll” [“ATI Technologies Inc.”]
HKLM\Software\Classes*\shellex\ContextMenuHandlers\
ewido(Default) = “{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\ewido anti-malware\context.dll” [“ewido networks”]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido(Default) = “{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}”
-> {CLSID}\InProcServer32(Default) = “C:\Program Files\ewido anti-malware\context.dll” [“ewido networks”]
Active Desktop and Wallpaper:
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
Enabled Screen Saver:
HKCU\Control Panel\Desktop\
“SCRNSAVE.EXE” = “C:\WINDOWS\System32\logon.scr” [MS]
Winsock2 Service Provider DLLs:
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]
000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS]
000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Running Services (Display Name, Service Name, Path {Service DLL}):
Ati HotKey Poller, Ati HotKey Poller, “C:\WINDOWS\System32\Ati2evxx.exe” [“ATI Technologies Inc.”]
ewido security suite control, ewido security suite control, “C:\Program Files\ewido anti-malware\ewidoctrl.exe” [“ewido networks”]
ewido security suite guard, ewido security suite guard, “C:\Program Files\ewido anti-malware\ewidoguard.exe” [“ewido networks”]
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer “No” at the first message box.
---------- (total run time: 26 seconds, including 6 seconds for message boxes)
Potem znowu Ewido - jest czysto.
Jednak po restarcie kompa mam komunikat
Uzytkownik lub program zażądał informacji od 4.79.43.147 - którego połaczenia chcesz uzyć?
Ręce mi opadają. Gdzież to draństwo siedzi?
Pozdrawiam