Lololo.zippote.com

Wyświetla mi się komunikat: Uzytkownik zażądał informacji od lololo.zippote.com (albo 4.79.43.147) i komputer próbuje nawiązać połaczenie via neo.

Co to może być?

W logu z HiJackThis nie ma nic podejrzanego.

Pobierz program Ewido zrób update i przeskanuj

No i wklej loga SilentRunners

Podaj wiecej informacji na temat tego komunikaty czyli kiedy wyskakuje (w jakim momecie), od kiedy on wyskakuje, czy instalowałeś coś ostatnio itp. ??

System świeżo po instalacji, neo - ale jako połaczenie Dial-Up modemu (bez programików tepsy) jedyne, co się instalowało to FlashPlayer z Macromedia po za tym kompletnie nic.

Logi podeślę wieczorem.

Złączono Posta : 09.02.2006 (Czw) 22:13

Zapusciłem Ewido i taki rezultat:


ewido anti-malware - Scan report


  • Created on: 20:25:54, 2006-02-09

  • Report-Checksum: 826BE18B

  • Scan result:

C:\Documents and Settings\Bolek\Cookies\bolek@clickbank[1].txt -> TrackingCookie.Clickbank : Cleaned with backup

C:\Documents and Settings\Bolek\Cookies\bolek@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup

C:\Documents and Settings\Bolek\Cookies\bolek@revenue[2].txt -> TrackingCookie.Revenue : Cleaned with backup

C:\WINDOWS\system32\TFTP2884 -> Backdoor.Rbot.anl : Cleaned with backup

C:\WINDOWS\system32__delete_on_reboot__msdconfig.exe -> Backdoor.Rbot.anl : Cleaned with backup

::Report End

Potem SilentRunners z nast rezultatem:

“Silent Runners.vbs”, revision 43, http://www.silentrunners.org/

Operating System: Windows XP

Output limited to non-default values, except where indicated by “{++}”

Startup items buried in registry:


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

“CTFMON.EXE” = “C:\WINDOWS\System32\ctfmon.exe” [MS]

“MSMSGS” = ““C:\Program Files\Messenger\msmsgs.exe” /background” [MS]

“MS Config” = “msdconfig.exe” [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}

“SpeedTouch USB Diagnostics” = ““C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon” [“THOMSON Telecom Belgium”]

“Windows Firewall Monitor” = “C:\inp.exe” [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

“{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania”

-> {CLSID}\InProcServer32(Default) = “deskpan.dll” [file not found]

“{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu”

-> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\

INFECTION WARNING! “{54D9498B-CF93-414F-8984-8CE7FDE0D391}” = “ewido shell guard”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\ewido anti-malware\shellhook.dll” ["TODO: "]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

INFECTION WARNING! AtiExtEvent\DLLName = “Ati2evxx.dll” [“ATI Technologies Inc.”]

HKLM\Software\Classes*\shellex\ContextMenuHandlers\

ewido(Default) = “{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\ewido anti-malware\context.dll” [“ewido networks”]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\

ewido(Default) = “{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}”

-> {CLSID}\InProcServer32(Default) = “C:\Program Files\ewido anti-malware\context.dll” [“ewido networks”]

Active Desktop and Wallpaper:


Active Desktop is disabled at this entry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Enabled Screen Saver:


HKCU\Control Panel\Desktop\

“SCRNSAVE.EXE” = “C:\WINDOWS\System32\logon.scr” [MS]

Winsock2 Service Provider DLLs:


Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}

000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS]

000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}

0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:

%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15

%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Running Services (Display Name, Service Name, Path {Service DLL}):


Ati HotKey Poller, Ati HotKey Poller, “C:\WINDOWS\System32\Ati2evxx.exe” [“ATI Technologies Inc.”]

ewido security suite control, ewido security suite control, “C:\Program Files\ewido anti-malware\ewidoctrl.exe” [“ewido networks”]

ewido security suite guard, ewido security suite guard, “C:\Program Files\ewido anti-malware\ewidoguard.exe” [“ewido networks”]


  • This report excludes default entries except where indicated.

  • To see *everywhere* the script checks and *everything* it finds,

launch it from a command prompt or a shortcut with the -all parameter.

  • To search all directories of local fixed drives for DESKTOP.INI

DLL launch points and all Registry CLSIDs for dormant Explorer Bars,

use the -supp parameter or answer “No” at the first message box.

---------- (total run time: 26 seconds, including 6 seconds for message boxes)

Potem znowu Ewido - jest czysto.

Jednak po restarcie kompa mam komunikat

Uzytkownik lub program zażądał informacji od 4.79.43.147 - którego połaczenia chcesz uzyć?

Ręce mi opadają. Gdzież to draństwo siedzi?

Pozdrawiam