JackP5
(Jpk)
1 Maj 2006 08:11
#1
Od pewnego czasu mam problem z Atakiem jakiegoś syfu. Avast nie wykrywa przu pełnym skanowaniu nic podejżanego, nastomiast regularnie co kilka minut informuje mnie o zablokowaniu ataku Win32:Agent-IU [Trj] z lokalizacji http://85.255.117.133/users/smart/web/files/encodex.jpg (link jest nieaktywny). Proszę aby mi ktoś doradził jak się pozbyć tych uporczywych ataków, Avast go odbija ale wyświetla komunikat o ataku spowalniając prace innych programów, próbowałem już metod opisanych na forum ale nie dają rezultatu. Zamieszczam log do sprawdzenia.
Logfile of HijackThis v1.99.1 Scan saved at 10:11:25, on 2006-05-01 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\LEXPPS.EXE D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE D:\Program Files\Kerio\Personal Firewall\persfw.exe D:\WINDOWS\System32\PAStiSvc.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\Neostrada TP\taskbaricon.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Skype\Phone\Skype.exe D:\Program Files\Avant Browser\avant.exe D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe D:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe D:\Program Files\Neostrada TP\NeostradaTP.exe D:\Program Files\Neostrada TP\ComComp.exe D:\Program Files\Neostrada TP\Watch.exe D:\Program Files\Avant Browser\avant.exe D:\Program Files\Tlen.pl\tlen.exe D:\Program Files\ewido anti-malware\ewidoguard.exe D:\Program Files\ewido anti-malware\ewidoctrl.exe D:\Program Files\ewido anti-malware\SecuritySuite.exe D:\Documents and Settings\Jack\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O1 - Hosts: localhost 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM…\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] D:\Program Files\Neostrada TP\taskbaricon.exe O4 - HKLM…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [dflnl.exe] D:\WINDOWS\system32\dflnl.exe O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [skype] “D:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [Komunikator] “D:\Program Files\Tlen.pl\tlen.exe” O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Microtek Scanner Finder.lnk = D:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - D:\Program Files\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Dodaj do listy blokowanych reklam - D:\Program Files\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Otwórz w nowym Avant Browser - D:\Program Files\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony… - D:\Program Files\Avant Browser\OpenAllLinks.htm O8 - Extra context menu item: Podświetl - D:\Program Files\Avant Browser\Highlight.htm O8 - Extra context menu item: Szukaj - D:\Program Files\Avant Browser\Search.htm O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe (file missing) O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe (file missing) O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CCS\Services\Tcpip…{47D771ED-85F4-4BFD-AF75-7C575228D632}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CCS\Services\Tcpip…{FAF008FA-00EF-4F10-B480-A086213EEBAA}: NameServer = 194.204.152.34 217.98.63.164 O17 - HKLM\System\CS1\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CS2\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: C-DillaSrv - C-Dilla Ltd - D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - D:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall\persfw.exe O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe
Proszę o doradę czy da się z tym coś zrobić czy lepiej instalować system od nowa?
Bieniol
(Bbieniol)
1 Maj 2006 08:20
#2
W trybie awaryjnym z wyłącząnym przywracaniem systemu usuwasz (wpisy Hijackiem, pliki/foldery na czerwono ręcznie z dysku (w razie problemów z usuwaniem plików użyj narzędzia KillBox ):
Jeżeli nie masz już Messengera, to usuń teżte wpisy:
To chyba nie są Twoje DNSy? (wydaje mi się, że ukraińskie):
O17 - HKLM\System\CCS\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CCS\Services\Tcpip…{47D771ED-85F4-4BFD-AF75-7C575228D632}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CS1\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CS2\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232
Po zabiegach nowy log z Hijacka + log z Silent Runners
system
(system)
1 Maj 2006 09:39
#3
W logu jeszcze “odwrócony” wpis w pliku HOSTS
Wpisy 01 i 017 sugerują niestety rootkita.
Gutek
(Gutek)
1 Maj 2006 10:08
#4
to są DNS-y z Ukrainy
Jak zmieni i usunie będzie Ok
system
(system)
1 Maj 2006 10:40
#5
Gutek2222 napisał:
Będzie ok, jeżeli Silent nie pokaże plików typu cs***. exe lub dm***. exe (*** zmienne 3 litery).
HijackThis tego nie jest w stanie pokazać, ale pokazuje znaki pośrednie między innymi wpisy 01, 017 właśnie takie, jakie występują w logu.
JackP5
(Jpk)
1 Maj 2006 11:24
#6
Dzięki za pomoc Agenta się pozbyłem, tyle że widzę że mam więcej problemów ale nie zabardzo wiem jak się za to zabrać. Może ktoś mi poda link jak zmienić te DNSy Ukraińskie. Ewido znalazł
--------------------------------------------------------- ewido anti-malware - Scan report --------------------------------------------------------- + Created on: 12:59:47, 2006-05-01 + Report-Checksum: 92FDECBE + Scan result: [1872] VM_00CC0000 -> Trojan.DNSChanger.cv : Error during cleaning ::Report End
a Hijack po po czyszczeniu
Logfile of HijackThis v1.99.1 Scan saved at 13:18:30, on 2006-05-01 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\LEXPPS.EXE D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE D:\Program Files\ewido anti-malware\ewidoctrl.exe D:\Program Files\ewido anti-malware\ewidoguard.exe D:\Program Files\Kerio\Personal Firewall\persfw.exe D:\WINDOWS\System32\PAStiSvc.exe D:\WINDOWS\system32\svchost.exe D:\PROGRA~1\NEOSTR~1\CnxMon.exe D:\Program Files\Neostrada TP\taskbaricon.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Skype\Phone\Skype.exe D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe D:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe D:\Program Files\Neostrada TP\NeostradaTP.exe D:\Program Files\Neostrada TP\ComComp.exe D:\Program Files\Neostrada TP\Watch.exe D:\Program Files\Avant Browser\avant.exe D:\Documents and Settings\Jack\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O1 - Hosts: localhost 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM…\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] D:\Program Files\Neostrada TP\taskbaricon.exe O4 - HKLM…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [skype] “D:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [Komunikator] “D:\Program Files\Tlen.pl\tlen.exe” O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Microtek Scanner Finder.lnk = D:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - D:\Program Files\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Dodaj do listy blokowanych reklam - D:\Program Files\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Otwórz w nowym Avant Browser - D:\Program Files\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony… - D:\Program Files\Avant Browser\OpenAllLinks.htm O8 - Extra context menu item: Podświetl - D:\Program Files\Avant Browser\Highlight.htm O8 - Extra context menu item: Szukaj - D:\Program Files\Avant Browser\Search.htm O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CCS\Services\Tcpip…{47D771ED-85F4-4BFD-AF75-7C575228D632}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CCS\Services\Tcpip…{FAF008FA-00EF-4F10-B480-A086213EEBAA}: NameServer = 194.204.152.34 217.98.63.164 O17 - HKLM\System\CS1\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CS2\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: C-DillaSrv - C-Dilla Ltd - D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - D:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall\persfw.exe O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe
Gutek
(Gutek)
1 Maj 2006 11:27
#7
teraz modne słowo rootkit ale i Silent jego nie pokaże, nie będę sie spierał ale proponuję http://www.searchengines.pl/phpbb203/in … topic=6745 moja kolezanka fajnie to tłumaczy i trafia w sedno
NADAL W LOG-U TO SAMO!
O1 - Hosts: localhost 127.0.0.1 O17 - HKLM\System\CCS\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CCS\Services\Tcpip…{47D771ED-85F4-4BFD-AF75-7C575228D632}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CS1\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232 O17 - HKLM\System\CS2\Services\Tcpip…{005A0F6D-1F07-4937-9972-DECD142F784A}: NameServer = 85.255.113.204,85.255.112.232
JackP5
(Jpk)
1 Maj 2006 12:34
#8
Usunąłem resztę na razie komp chodzi bez problemów, zamieszczam jescze raz log aby może ktoś zerknął czy czysty, jak można to proszę podajcie mi link w jaki sposób się sprawdza logi, chciałbym się doszkolić.
Co to znaczy odwrócony wpis? Ja usunąłem cały.
Log po zmianach
Logfile of HijackThis v1.99.1 Scan saved at 14:25:34, on 2006-05-01 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\LEXBCES.EXE D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\LEXPPS.EXE D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe D:\Program Files\Alwil Software\Avast4\ashServ.exe D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE D:\Program Files\ewido anti-malware\ewidoctrl.exe D:\Program Files\ewido anti-malware\ewidoguard.exe D:\Program Files\Kerio\Personal Firewall\persfw.exe D:\WINDOWS\System32\PAStiSvc.exe D:\WINDOWS\system32\svchost.exe D:\PROGRA~1\NEOSTR~1\CnxMon.exe D:\Program Files\Neostrada TP\taskbaricon.exe D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe D:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe D:\Program Files\Alwil Software\Avast4\ashWebSv.exe D:\WINDOWS\system32\wuauclt.exe D:\Program Files\Neostrada TP\NeostradaTP.exe D:\Program Files\Neostrada TP\ComComp.exe D:\Program Files\Neostrada TP\Watch.exe D:\Program Files\Avant Browser\avant.exe D:\Documents and Settings\Jack\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM…\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] D:\Program Files\Neostrada TP\taskbaricon.exe O4 - HKLM…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [skype] “D:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [Komunikator] “D:\Program Files\Tlen.pl\tlen.exe” O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Microtek Scanner Finder.lnk = D:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe O8 - Extra context menu item: Blokuj wszystkie obrazy z tego serwera - D:\Program Files\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Dodaj do listy blokowanych reklam - D:\Program Files\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Otwórz w nowym Avant Browser - D:\Program Files\Avant Browser\OpenInNewBrowser.htm O8 - Extra context menu item: Otwórz wszystkie adresy z tej strony… - D:\Program Files\Avant Browser\OpenAllLinks.htm O8 - Extra context menu item: Podświetl - D:\Program Files\Avant Browser\Highlight.htm O8 - Extra context menu item: Szukaj - D:\Program Files\Avant Browser\Search.htm O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{FAF008FA-00EF-4F10-B480-A086213EEBAA}: NameServer = 194.204.152.34 217.98.63.164 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: C-DillaSrv - C-Dilla Ltd - D:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - Service: ewido security suite control - ewido networks - D:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - D:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - D:\Program Files\Kerio\Personal Firewall\persfw.exe O23 - Service: STI Simulator - Unknown owner - D:\WINDOWS\System32\PAStiSvc.exe
Dzięki za pomoc, miałem już format robić
Złączono Posta : 01.05.2006 (Pon) 14:39
I jeszcze ten drugi
“Silent Runners.vbs”, revision 45, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “CTFMON.EXE” = “D:\WINDOWS\system32\ctfmon.exe” [MS] “Skype” = ““D:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized” [“Skype Technologies S.A.”] “Komunikator” = "“D:\Program Files\Tlen.pl\tlen.exe” " [“o2.pl Sp. z o.o.”] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “WooCnxMon” = “D:\PROGRA~1\NEOSTR~1\CnxMon.exe” [empty string] “WOOWATCH” = “D:\PROGRA~1\NEOSTR~1\Watch.exe” [“France Télécom R&D”] “WOOTASKBARICON” = “D:\Program Files\Neostrada TP\taskbaricon.exe” [“France Télécom R&D”] “avast!” = “D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [null data] “NeroCheck” = “D:\WINDOWS\system32\NeroCheck.exe” [“Ahead Software Gmbh”] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = (no title provided) -> {HKLM…CLSID} = “AcroIEHlprObj Class” \InProcServer32(Default) = “C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll” [“Adobe Systems Incorporated”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “D:\WINDOWS\system32\hticons.dll” [“Hilgraeve, Inc.”] “{472083B0-C522-11CF-8763-00608CC02F24}” = “avast” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “D:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] “{0006F045-0000-0000-C000-000000000046}” = “Microsoft Outlook Custom Icon Handler” -> {HKLM…CLSID} = “Rozszerzenie ikon plików programu Outlook” \InProcServer32(Default) = “D:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL” [MS] “{42042206-2D85-11D3-8CFF-005004838597}” = “Microsoft Office HTML Icon Handler” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “D:\Program Files\Microsoft Office\Office10\msohev.dll” [MS] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “D:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ INFECTION WARNING! “{54D9498B-CF93-414F-8984-8CE7FDE0D391}” = “ewido shell guard” -> {HKLM…CLSID} = “CShellExecuteHookImpl Object” \InProcServer32(Default) = “D:\Program Files\ewido anti-malware\shellhook.dll” ["TODO: "] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}(Default) = “PDF Column Info” -> {HKLM…CLSID} = “PDF Shell Extension” \InProcServer32(Default) = “C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll” [“Adobe Systems, Inc.”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ avast(Default) = “{472083B0-C522-11CF-8763-00608CC02F24}” -> {HKLM…CLSID} = “avast” \InProcServer32(Default) = “D:\Program Files\Alwil Software\Avast4\ashShell.dll” [“ALWIL Software”] ewido(Default) = “{57BD36D7-CE32-4600-9B1C-1A0C47EFC02E}” -> {HKLM…CLSID} = “Ctest Object” \InProcServer32(Default) = “D:\Program Files\ewido anti-malware\context.dll” [“ewido networks”]
Gutek
(Gutek)
1 Maj 2006 12:47
#9
Nie cały log z Silenta ale jest Ok