Dodaj do ulubionych

bardzo prosze o sprawdzenie loga

14.04.05, 12:13
Bardzo prosze o sprawdzenie loga, bo niestety chyba znow cos wpuscilam.
Pozdrawiam
Beata
Logfile of HijackThis v1.99.1
Scan saved at 12:12:05, on 2005-04-14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\FinePixViewer\QuickDCF.exe
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\DOCUME~1\Beata\USTAWI~1\Temp\Katalog tymczasowy 1 dla hijackthis
[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\Zone
Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Exif Launcher.lnk = D:\Program
Files\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
Office\Office\OSA9.EXE
O9 - Extra button: Ustrzel To! - {C3881663-B3FA-49F4-BA57-183B02F47280} -
res://snipit.dll/101 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
www.bph.pl/pi/components/SignActivX.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) -
Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton
AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program
Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC -
D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Edytor zaawansowany
  • neder 14.04.05, 12:18
    log jest czysty
  • babeta1 14.04.05, 12:27
    dziekuje za szybka odpowiedz, wpuscilam dwa razy cos co sie nazywalo
    svchost.exe a potem przeczytalam ze to sa trojany! moze jednak nie zdazylo sie
    nic zainstalowac. Pozdrawiam Beata
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 14.04.05, 12:36
    svchost.exe to nie trojan, ale moze on wywolac inne programy, ktore sie lacza
    za jego posrednictwem.

  • m.gregor 14.04.05, 12:37
    Svchost.exe jest ok. Wszystkie inne kombinacje: scvhost.exe, svhost.exe itp. to
    trojany/wirusy/szpiegi. Trzeba patrzec dokladnie na nazwe.
    --
    "And the man in the rain picked up his bag of secrets,
    and journeyed up the mountainside, far above the clouds,
    and nothing was ever heard from him again,
    except for the sound of Tubular Bells..."
  • babeta1 14.04.05, 12:43
    to dlaczego jak zainstalowalam sobie Zone Alarm to po wlaczeniu komputera pyta
    mnie kilka razy czy mam to wpuscic? Za kazdym razem jest (o ile dobrze
    pamietam...) svchost.exe ale inne szczegoly tzn albo Ip albo jakies inne porty
    (czy cos takiego) czy mam pozawalac czy nie pozwalac na wejscie tego?
  • m.gregor 14.04.05, 17:43
    Bo to windowsowa usluga uruchamiajaca rozne inne aplikacje ktore musza miec
    dostep do internetu a wiec i svchost.exe musi go miec.
    --
    "And the man in the rain picked up his bag of secrets,
    and journeyed up the mountainside, far above the clouds,
    and nothing was ever heard from him again,
    except for the sound of Tubular Bells..."
  • babeta1 14.04.05, 12:47
    O na stronie www.kaspersky.pl/about.html?s=news_warnings&cat=4&newsid=699
    znalazlam cos takiego:
    Jest to koń trojański wyposażony w funkcje szpiegowskie. Ma postać pliku PE
    EXE. Rozmiar po rozpakowaniu (kompresja UPX) to około 20 KB.
    Podczas instalacji szkodnik tworzy w folderze \Windows\System folder mset.
    Następnie trojan tworzy własną kopię o nazwie svchost.exe. Dodatkowo szkodnik
    tworzy pliki _mails.txt oraz _pass.log i zapisuje w nich wszystkie informacje
    jakie uda mu się odnaleźć na zainfekowanym komputerze. Pliki te wysyłane są
    przez trojana na serwer FTP hakera.

    Szkodnik tworzy w rejestrze systemowym klucz auto-run zapewniając sobie
    uruchamianie wraz z każdym startem systemu operacyjnego.

  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 14.04.05, 12:53
    Ale Twoj svchost to nie virus bo masz go w:
    D:\WINDOWS\system32\svchost.exe czyli tam gdzie powinien byc i to nie trojan,
    ani nie virus i zostaw go juz w spkoju.

    svchost uruchamia jakas usluge, ktora sie laczy z jakims adresem i np. pobiera
    aktualizacje itp rzeczy.

    Jak chcesz to zrob tak:

    Start->Uruchom->cmd

    i tam wpisz:

    TASKLIST /SVC

    To zobaczysz co masz uruchomione przez svchost.


    Przeskanuj sobie system tym:
    housecall.trendmicro.com/housecall/start_corp.asp
    www.windowsecurity.com/trojanscan/
    www.pandasoftware.com/activescan/pol/activescan_principal.htm

  • babeta1 14.04.05, 13:05
    Dziekuje bardzo, wlasnie skanuje komputer Trend Mikro, weszlam w uruchom itd
    ale pokazalo sie tylko jaka jest wersja Microsoft Windowsa i poniezej tylko
    D:\Dokuments and Settings\Beata> i nic wiecj.
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 14.04.05, 13:09
    No i wlasnie to mialo sie pokazac i tam wpisujesz:

    tasklist /svc
  • babeta1 14.04.05, 13:11
    to jest chyba w tym logu: czy mam to wywalic?
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 14.04.05, 13:17
    Mozesz wywalic, ale inaczej sciagnij sobie:
    xp-antispy.org/?lang=en&option=com_frontpage&Itemid=1
    I tam w opcjach masz mozliwosc usuniecia messengera.

    Albo w Start->Uruchom->services.msc odszukaj Messengera kliknij na nim prawym
    przyciskiem myszy i wybierz wlasciwosci i tam Tryb uruchomienia zmien na
    wylaczony i nacisnij przycisk zatrzymaj.

    Messenger jest zbedny ale nie grozny :-)
  • babeta1 14.04.05, 13:09
    no nie! wlasnie okazalo sie ze jednak jest jakis wirus, pojawil sie alarm
    antiwirusowy ale napisane bylo ze wirus zostal usuniety, wg trend micro mam
    WORM RBOT.GEN, jak go usunac?
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 14.04.05, 13:10
    Skoro zostal usuniety to co chcesz usuwac? Skanuj dalej, pamietaj zeby
    przeskanowac wszystkimi trzeba, ktore podalem.
  • babeta1 14.04.05, 13:15
    ale wg tego skanera mam go i jest napisane Non cleanable!
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 14.04.05, 13:19
    Bylo podane w jakim pliku go znalazl albo gdzie?
    Czy moze byl to: suge.exe ?
  • babeta1 14.04.05, 13:25
    tak jest na D:\WINDOWS\System32\msgn.exe
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 14.04.05, 13:31
    Jak juz przeskanujesz wszystkimi skanerami to wklej nowy log z hijackthis.

    W hijackthis wybierz Open Misc Tools i Delete File on reboot i wklej sciezke do:
    D:\WINDOWS\System32\msgn.exe
    I po resecie juz go nie powinno byc.
  • babeta1 14.04.05, 15:11
    Przepraszam za przerwe, to jest efekt skanowania drugim programem:
    Scan Memory
    Memory not infected
    Scan folder: 'C:\', recursive
    Scan folder: 'D:\', recursive
    Unable to scan D:\6aad183e238715cd0db307\common - Odmowa dostępu.
    Unable to scan D:\6aad183e238715cd0db307\sp1 - Odmowa dostępu.
    Unable to scan D:\6aad183e238715cd0db307\sp2 - Odmowa dostępu.
    Unable to scan D:\System Volume Information - Odmowa dostępu.
    Finished scan at 13:56:03:245
    Total number of files is 97525, number of infected files is 0
    Average files per second is 41, average file size is 2936031
  • babeta1 14.04.05, 15:16
    to jest skopiowany nowy log:
    Logfile of HijackThis v1.99.1
    Scan saved at 15:15:54, on 2005-04-14
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\Common Files\Symantec Shared\ccApp.exe
    D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\FinePixViewer\QuickDCF.exe
    D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    D:\Program Files\Norton AntiVirus\navapsvc.exe
    D:\Program Files\Norton AntiVirus\SAVScan.exe
    D:\WINDOWS\system32\ZoneLabs\vsmon.exe
    D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\DOCUME~1\Beata\USTAWI~1\Temp\Katalog tymczasowy 2 dla hijackthis
    [1].zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    www.google.pl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program
    Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
    D:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec
    Shared\ccApp.exe"
    O4 - HKLM\..\Run: [REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\Zone
    Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Exif Launcher.lnk = D:\Program
    Files\FinePixViewer\QuickDCF.exe
    O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
    Office\Office\OSA9.EXE
    O9 - Extra button: Ustrzel To! - {C3881663-B3FA-49F4-BA57-183B02F47280} -
    res://snipit.dll/101 (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
    D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
    00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
    www.windowsecurity.com/trojanscan/TDECntrl.CAB
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
    a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
    www.bph.pl/pi/components/SignActivX.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
    www.pandasoftware.com/activescan/as5/asinst.cab
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
    D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -
    D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
    D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) -
    Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton
    AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
    D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
    Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program
    Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC -
    D:\WINDOWS\system32\ZoneLabs\vsmon.exe

  • babeta1 14.04.05, 15:25
    Pandy nie moge jakos uruchomic, pozostale dwa skanery tak jak napisalam
    wczesniej zadzialalaly. Niestety nie rozumiem za bardzo co mam zrobic.. ponizej
    wkleilam nowy log z hijac.. potem go zamknelam znowu otworzylam, kliknelam
    Open... potem Delete.. i nie wiem co dalej, na moim D nie znalazlam tego pliku
    msgn.exe. i nie wiem jaka sciezke i w ktorym (dokladnie) miejscu mam wkleic). Z
    gory przepraszam za kompletna ignorancje w tych kwestiach...
    pozdrawiam Beata
  • babeta1 14.04.05, 15:55
    Witam, niestety jak jeszcze raz przeskanowalam komputer tym skanerem trnd micro
    wykryl, ze ten wirus caly czas jest. W dalszym ciagu w tym samym miejscu na
    D/Windows/System32/msgn.exe a pzreciez jak wchodze na to moje
    D/Windows/System32 to nie ma tam zadnego pliku msgn.exe Malo tego w momencie
    skanowania nagle znow odezwal sie Norton i oglosil alert antywirusowy nazwa
    wirusa W32.Spybot.Worm a jest na D:\DOCUME~1\B....\V2BGROa00256 i ze niby go
    usunal ale ja jakos w to nie wierze... czuje ze go mam! pozdarwiam i czekam na
    odpowiedz, niestety znow bede musiala zrobic za jakis czas dluzsza przerwe bo
    moje dziecko ma strasznie duzo spraw do mnie. pozdrawiam Beata
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 14.04.05, 16:00
    W hijackthis tam gdzie masz delete file on reboot nie szukaj sama pliku tylko
    wklej juz gotowa sciezke czyli:
    D:\Windows\System32\msgn.exe i nacisnij ok.
    Ten plik pewnie jest ukryty, wlacz pokazywanie plikow ukrytych w opchach
    explorera.

    A co do D:\DOCUME~1\B....\V2BGROa00256 to nie wiem co to jest ale skoro usunal
    to usunal ;-)
  • babeta1 15.04.05, 09:09
    Zrobilam tak wczoraj ale dzisiaj na wszelki wypadek sprawdzilam antiwirusem i
    okazalo sie ze w dalszym ciagu siedzi w tym sammym miejscu D:\WINDOWS\system32
    \msgn.exe wirus WORM_RBOT.GEN. Przestawilam w opcjach na pokazywanie ukrytych
    plikow ale nie znalazlam na D niczego z koncowka msgn.exe co z tym zrobic? W
    dodatku jakby nie dosc to po zrobieniu tego wszytskiego wczoraj moj program
    Zona Alarm jak mu odmawiam wejscia tych svchost.exe to mam zablokowany dostep
    do internetu - w ogole nie laczy. Jak zamykam ten program to sie laczy wiec
    ewidentnie o to chodzi. Pozdrawiam Beata
  • babeta1 15.04.05, 09:19
    acha i jeszcze jedno pytanie czy po zeskanowaniu jak mam okno trendmicro z
    wykrytym wirusem to na zakonczenie powinnam kliknac delete, clean czy tylko
    close? (nie klikalam delete bo pomyslalam ze moze to weszlo w jakis plik
    systemowy i nie mozna wtedy tego usuwac)?
    A ponizej wklejam najnowszy log z hijacktis (czy nie mozna tak jak poprzednim
    razem wlasnie w logu wyrzucic tego czegos z koncowka msgn.exe?
    Logfile of HijackThis v1.99.1
    Scan saved at 09:13:08, on 2005-04-15
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    D:\WINDOWS\System32\smss.exe
    D:\WINDOWS\system32\winlogon.exe
    D:\WINDOWS\system32\services.exe
    D:\WINDOWS\system32\lsass.exe
    D:\WINDOWS\system32\svchost.exe
    D:\WINDOWS\System32\svchost.exe
    D:\WINDOWS\Explorer.EXE
    D:\WINDOWS\system32\spoolsv.exe
    D:\Program Files\Common Files\Symantec Shared\ccApp.exe
    D:\WINDOWS\system32\ctfmon.exe
    D:\Program Files\Messenger\msmsgs.exe
    D:\Program Files\FinePixViewer\QuickDCF.exe
    D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    D:\Program Files\Norton AntiVirus\navapsvc.exe
    D:\Program Files\Norton AntiVirus\SAVScan.exe
    D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\Program Files\Internet Explorer\iexplore.exe
    D:\DOCUME~1\Beata\USTAWI~1\Temp\Katalog tymczasowy 4 dla hijackthis
    [1].zip\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    www.google.pl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program
    Files\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
    D:\Program Files\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec
    Shared\ccApp.exe"
    O4 - HKLM\..\Run: [REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
    O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
    O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
    O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\Zone
    Labs\ZoneAlarm\zlclient.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
    O4 - Global Startup: Exif Launcher.lnk = D:\Program
    Files\FinePixViewer\QuickDCF.exe
    O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
    Office\Office\OSA9.EXE
    O9 - Extra button: Ustrzel To! - {C3881663-B3FA-49F4-BA57-183B02F47280} -
    res://snipit.dll/101 (file missing)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
    D:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
    00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
    www.windowsecurity.com/trojanscan/TDECntrl.CAB
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
    a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
    www.bph.pl/pi/components/SignActivX.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
    www.pandasoftware.com/activescan/as5/asinst.cab
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
    D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -
    D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
    D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
    O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) -
    Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton
    AntiVirus\SAVScan.exe
    O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
    D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
    O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
    Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program
    Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC -
    D:\WINDOWS\system32\ZoneLabs\vsmon.exe

    Bardzo dziekuje za pomoc i cierpliwosc!
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 15.04.05, 10:40
    Log jest czysty.
    W trend micro masz chyba napisane co i gdzie znalazl? Wez Clean albo Delete
    zalezy co znalazl i gdzie.
    Wklej jeszcze log z sillent runners:
    www.silentrunners.org/Silent%20Runners.vbs
  • Gość: babeta1 IP: *.chello.pl 15.04.05, 11:55
    w takim razie zrobilam delete bo zlean nie dzialal na niego. jak sciagam do do
    czego napisales mi linke wlacza sie Norton i mowi ze wykryl w tym zlosliwy
    skrypt! nie moge tego sciagnac. pozdrawiam Beata
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 15.04.05, 12:16
    I nie ma mozliwosci sciagniecia i tak? Tylko blokuje i nie da sie nic zrobic?
    eh ten norton jest gorszy niz myslalem ;-)
  • Gość: babeta1 IP: *.chello.pl 15.04.05, 12:23
    jak to??? czy tam nie bylo naprawde zlosliwego skryptu??? Przeciez t inne bez
    problemu sciagalam i uzywalam tylko to zablokowal!
  • Gość: Kolobos IP: *.warszawa.sdi.tpnet.pl 15.04.05, 15:53
    Nie bylo, to tylko sprawdza rejestr i robi log i nic wiecej.Norton pewnie uwaza
    to za virusa czy cos eh.

Popularne wątki

Nie pamiętasz hasła

lub ?

 

Nie masz jeszcze konta? Zarejestruj się

Nakarm Pajacyka