Cześć,
Przeglądając folder C:\Windows\System znalazłem ww. pliki, które zainstalowały się tam kilka dni temu bez mojej wiedzy lub chęci. W dacie ich pojawienia się w folderze systemowym nie były instalowane programy, aplikacje; komputer był natomiast w sieci. Przeskanowałem te pliki NODem + na stronie ‘virusscan.jotti.org ’. Żadnej zarazy nie wykryto. Z tego co znalazłem na ich temat na ‘guglach’ trudno jakoś wywnioskować co to jest i czego dotyczy.
Otworzyłem te pliki w notatniku - oto co w nich siedzi:
smbios.dat -> ŕŢË 7 Award Software International, Inc. 6.00 PG 07/19/2001 ˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙˙VOBIS VT8363 8363-686 # D ˙ůˇd ô°A ˙˙Slot A AMD AMD Athlon ˙ F BANK_0 #F BANK_1 EF BANK_2 gF BANK_3 € Internal Cache ˇ External Cache ˙PRIMARY IDE ˙SECONDARY IDE ˇFDD COM1 COM2 LPT1 ˙ Keyboard PS/2 Mouse Detected ISA ISA ISA ISA PCI PCI PCI PCI …‡ AGP ˙USB n|US|iso8859-1 n|US|iso8859-1 r|CA|iso8859-1 a|JP|unicode € Î˙˙ ! ţ˙ " ! ţ˙˙˙˙˙€ BANK_0 Bank0/1 # ! ţ˙˙˙˙˙ BANK_1 Bank2/3 $ ! ţ˙˙˙˙˙ BANK_2 Bank4/5 % ! ţ˙˙˙˙˙ BANK_3 Bank6/7 & ˙ ! ’ ˙ " & ( ˙ # & ) ˙ $ & * ˙ % & + , smbios.eps -> _SM_-Q _DMI_l‘ - # d3d8caps.dat -> Ţ - D D `}EÎĆ>·×mCĎ°c şÂÍ5 ă”|ţJ P¶ r !5 ˙ ˙ ? ˙ B G@ ?
Jeśli chodzi o ten ost. plik, to nie zmieścił się cały. Ale dalsza treść jest utrzymana w klimacie j.w.
Czy ktoś kiedykolwiek miał styczność z takimi plikami?? Skłaniam się ku wywaleniu tego z systemu.
Proszę Was o opinię.
Bieniol
(Bbieniol)
3 Wrzesień 2006 19:26
#2
Zobacz, czy owe pliki nie są skojarzone z jakimś programem
Dla pewności wklej jeszcze logi z HijackThis i Silent Runners
No w ‘Program Files’ nie ma żadnego programu, z którym można byłoby powiązać te pliki (tak jak napisałem, w dacie ich pojawienia się w folderze systemowym nie były instalowane żadne programy/ aplikacje). Sprawdziłem dodatkowo C:\Windows, C:\Windows\Dane aplikacji, C:\Windows\Temp - nigdzie nie ma pliku o zbliżonej pieczęci czasowej.
Log HJT był analizowany jakiś tydzień temu (i to nawet na tym forum :-D). Ponieważ nic się w nim od tego czasu nie zmieniło, nie wklejam go.
Poniżej natomiast log z Silent’a:
“Silent Runners.vbs”, revision 41, http://www.silentrunners.org/ Operating System: Windows Me (Millennium Edition) Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “internat.exe” = “internat.exe” [MS] “SelfHostUtil” = “C:\WINDOWS\selfhost.exe /L” [MS] “ScanRegistry” = “C:\WINDOWS\scanregw.exe /autorun” [MS] “TaskMonitor” = “C:\WINDOWS\taskmon.exe” [MS] “PCHealth” = “C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s” [MS] “SystemTray” = “SysTray.Exe” [MS] “LoadPowerProfile” = “Rundll32.exe powrprof.dll,LoadCurrentPwrScheme” [MS] “Tweak UI” = “RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp” [MS] “SpeedTouch USB Diagnostics” = ““C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe” /icon” [“THOMSON Telecom Belgium”] “nod32kui” = ““C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE” ["Eset "] “Look ‘n’ Stop” = ““C:\Program Files\Soft4Ever\looknstop\looknstop.exe” -auto” [“Soft4Ever”] “Hidserv” = “Hidserv.exe run” [MS] “NvCplDaemon” = “RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup” [MS] “nwiz” = “nwiz.exe /install” [“NVIDIA Corporation”] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++} “LoadPowerProfile” = “Rundll32.exe powrprof.dll,LoadCurrentPwrScheme” [MS] “SchedulingAgent” = “mstask.exe” [MS] “*StateMgr” = “C:\WINDOWS\System\Restore\StateMgr.exe” [MS] “KB891711” = “C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE” [MS] “NOD32kernel” = ““C:\Program Files\Eset\nod32krn.exe”” ["Eset "] “KB918547” = “C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE” [MS] HKLM\Software\Microsoft\Active Setup\Installed Components\ PerUser_CVT_Inis(Default) = “Instalator systemu Windows — Konwerter FAT32” \StubPath = “rundll.exe C:\WINDOWS\SYSTEM\setupx.dll,InstallHinfSection PerUser_CVT_Inis 64 C:\WINDOWS\INF\applets1.inf” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}(Default) = “AcroIEHlprObj Class” [from CLSID] -> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL” [“Adobe Systems Incorporated”] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}(Default) = “SSVHelper Class” [from CLSID] -> {CLSID}\InProcServer32(Default) = “C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll” [“Sun Microsystems, Inc.”] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] “{1CDB2949-8F65-4355-8456-263E7C208A5D}” = “Desktop Explorer” -> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\SYSTEM\NVSHELL.DLL” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A47}” = “Desktop Explorer Menu” -> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\SYSTEM\NVSHELL.DLL” [“NVIDIA Corporation”] “{1E9B04FB-F9E5-4718-997B-B8DA88302A48}” = “nView Desktop Context Menu” -> {CLSID}\InProcServer32(Default) = “C:\WINDOWS\SYSTEM\NVSHELL.DLL” [“NVIDIA Corporation”] “{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}” = “jetAudio” -> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\JETAUDIO\JETFLEXT.DLL” [“JetAudio, Inc.”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ NOD32 Context Menu Shell Extension(Default) = “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” -> {CLSID}\InProcServer32(Default) = “C:\Program Files\Eset\nodshex.dll” [null data] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] jetAudio(Default) = “{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}” -> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\JETAUDIO\JETFLEXT.DLL” [“JetAudio, Inc.”] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ NOD32 Context Menu Shell Extension(Default) = “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” -> {CLSID}\InProcServer32(Default) = “C:\Program Files\Eset\nodshex.dll” [null data] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\WINRAR\rarext.dll” [null data] jetAudio(Default) = “{8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}” -> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\JETAUDIO\JETFLEXT.DLL” [“JetAudio, Inc.”] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Moje dokumenty\Moje obrazy\florida keys.bmp” Startup items in “Startup” & “All Users…Startup” folders: ----------------------------------------------------------- C:\WINDOWS\Menu Start\Programy\Autostart “Microsoft Office” -> shortcut to: “C:\Program Files\Microsoft Office\Office\OSA9.EXE -b -l” [MS] Enabled Scheduled Tasks: ------------------------ “Rozpoczęcie aplikacji dostrajania” -> launches: “walign” [MS] “Harmonogram programu PCHealth dla zbierania danych” -> launches: “C:\WINDOWS\PCHEALTH\SUPPORT\PCHSCHD.EXE -c” [MS] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “C:\WINDOWS\SYSTEM\rnr20.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: C:\WINDOWS\SYSTEM\imon.dll [null data], 01 - 05, 12 C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 06 C:\WINDOWS\SYSTEM\msafd.dll [MS], 07 - 09 C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 10 - 11 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {FB5F1910-F110-11D2-BB9E-00C04F795683}\ “ButtonText” = “Messenger” “MenuText” = “MSN Messenger Service” “Exec” = “C:\PROGRA~1\MESSEN~1\MSMSGS.EXE” [MS] {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ “MenuText” = “Sun Java Console” “CLSIDExtension” = “{CAFEEFAC-0015-0000-0007-ABCDEFFEDCBC}” -> {CLSID}\InProcServer32(Default) = “C:\PROGRAM FILES\JAVA\JRE1.5.0_07\BIN\SSV.DLL” [“Sun Microsystems, Inc.”] Miscellaneous IE Hijack Points ------------------------------ HKLM\Software\Microsoft\Internet Explorer\Version = (invalid data) The Internet Explorer version cannot be found! C:\WINDOWS\INF\IERESET.INF (used to “Reset Web Settings”) The contents of IERESET.INF cannot be reliably checked! Added lines (compared with English-language version): [strings]: START_PAGE_URL=“http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome ” [strings]: MS_START_PAGE_URL=“http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome ” Missing lines (compared with English-language version): [strings]: 2 lines ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 19 seconds. + The search for all Registry CLSIDs containing dormant Explorer Bars took 8 seconds. ---------- (total run time: 43 seconds)