bardzo prosze o sprawdzenie loga

[babeta1]

Bardzo prosze o sprawdzenie loga, bo niestety chyba znow cos wpuscilam.
Pozdrawiam
Beata
Logfile of HijackThis v1.99.1
Scan saved at 12:12:05, on 2005-04-14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\FinePixViewer\QuickDCF.exe
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\DOCUME~1\Beata\USTAWI~1\Temp\Katalog tymczasowy 1 dla hijackthis
[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\Zone
Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Exif Launcher.lnk = D:\Program
Files\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
Office\Office\OSA9.EXE
O9 - Extra button: Ustrzel To! - {C3881663-B3FA-49F4-BA57-183B02F47280} -
res://snipit.dll/101 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
www.bph.pl/pi/components/SignActivX.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec
Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) -
Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton
AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program
Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC -
D:\WINDOWS\system32\ZoneLabs\vsmon.exe

[neder]

log jest czysty

[babeta1]

dziekuje za szybka odpowiedz, wpuscilam dwa razy cos co sie nazywalo
svchost.exe a potem przeczytalam ze to sa trojany! moze jednak nie zdazylo sie
nic zainstalowac. Pozdrawiam Beata

[Gość: Kolobos]

svchost.exe to nie trojan, ale moze on wywolac inne programy, ktore sie lacza
za jego posrednictwem.

[neder]

ależ svchost.exe to nie trojan...
support.microsoft.com/?kbid=314056
wszystko ok:)

[m.gregor]

Svchost.exe jest ok. Wszystkie inne kombinacje: scvhost.exe, svhost.exe itp. to
trojany/wirusy/szpiegi. Trzeba patrzec dokladnie na nazwe.

[babeta1]

to dlaczego jak zainstalowalam sobie Zone Alarm to po wlaczeniu komputera pyta
mnie kilka razy czy mam to wpuscic? Za kazdym razem jest (o ile dobrze
pamietam...) svchost.exe ale inne szczegoly tzn albo Ip albo jakies inne porty
(czy cos takiego) czy mam pozawalac czy nie pozwalac na wejscie tego?

[m.gregor]

Bo to windowsowa usluga uruchamiajaca rozne inne aplikacje ktore musza miec
dostep do internetu a wiec i svchost.exe musi go miec.

[babeta1]

O na stronie www.kaspersky.pl/about.html?s=news_warnings&cat=4&newsid=699
znalazlam cos takiego:
Jest to koń trojański wyposażony w funkcje szpiegowskie. Ma postać pliku PE
EXE. Rozmiar po rozpakowaniu (kompresja UPX) to około 20 KB.
Podczas instalacji szkodnik tworzy w folderze \Windows\System folder mset.
Następnie trojan tworzy własną kopię o nazwie svchost.exe. Dodatkowo szkodnik
tworzy pliki _mails.txt oraz _pass.log i zapisuje w nich wszystkie informacje
jakie uda mu się odnaleźć na zainfekowanym komputerze. Pliki te wysyłane są
przez trojana na serwer FTP hakera.

Szkodnik tworzy w rejestrze systemowym klucz auto-run zapewniając sobie
uruchamianie wraz z każdym startem systemu operacyjnego.

[Gość: Kolobos]

Ale Twoj svchost to nie virus bo masz go w:
D:\WINDOWS\system32\svchost.exe czyli tam gdzie powinien byc i to nie trojan,
ani nie virus i zostaw go juz w spkoju.

svchost uruchamia jakas usluge, ktora sie laczy z jakims adresem i np. pobiera
aktualizacje itp rzeczy.

Jak chcesz to zrob tak:

Start->Uruchom->cmd

i tam wpisz:

TASKLIST /SVC

To zobaczysz co masz uruchomione przez svchost.


Przeskanuj sobie system tym:
housecall.trendmicro.com/housecall/start_corp.asp
www.windowsecurity.com/trojanscan/
www.pandasoftware.com/activescan/pol/activescan_principal.htm

[babeta1]

Dziekuje bardzo, wlasnie skanuje komputer Trend Mikro, weszlam w uruchom itd
ale pokazalo sie tylko jaka jest wersja Microsoft Windowsa i poniezej tylko
D:\Dokuments and Settings\Beata> i nic wiecj.

[Gość: Kolobos]

No i wlasnie to mialo sie pokazac i tam wpisujesz:

tasklist /svc

[babeta1]

to jest chyba w tym logu: czy mam to wywalic?
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

[Gość: Kolobos]

Mozesz wywalic, ale inaczej sciagnij sobie:
xp-antispy.org/?lang=en&option=com_frontpage&Itemid=1
I tam w opcjach masz mozliwosc usuniecia messengera.

Albo w Start->Uruchom->services.msc odszukaj Messengera kliknij na nim prawym
przyciskiem myszy i wybierz wlasciwosci i tam Tryb uruchomienia zmien na
wylaczony i nacisnij przycisk zatrzymaj.

Messenger jest zbedny ale nie grozny :-)

[babeta1]

no nie! wlasnie okazalo sie ze jednak jest jakis wirus, pojawil sie alarm
antiwirusowy ale napisane bylo ze wirus zostal usuniety, wg trend micro mam
WORM RBOT.GEN, jak go usunac?

[Gość: Kolobos]

Skoro zostal usuniety to co chcesz usuwac? Skanuj dalej, pamietaj zeby
przeskanowac wszystkimi trzeba, ktore podalem.

[babeta1]

ale wg tego skanera mam go i jest napisane Non cleanable!

[Gość: Kolobos]

Bylo podane w jakim pliku go znalazl albo gdzie?
Czy moze byl to: suge.exe ?

[babeta1]

tak jest na D:\WINDOWS\System32\msgn.exe

[Gość: Kolobos]

Jak juz przeskanujesz wszystkimi skanerami to wklej nowy log z hijackthis.

W hijackthis wybierz Open Misc Tools i Delete File on reboot i wklej sciezke do:
D:\WINDOWS\System32\msgn.exe
I po resecie juz go nie powinno byc.

[babeta1]

Przepraszam za przerwe, to jest efekt skanowania drugim programem:
Scan Memory
Memory not infected
Scan folder: 'C:\', recursive
Scan folder: 'D:\', recursive
Unable to scan D:\6aad183e238715cd0db307\common - Odmowa dostępu.
Unable to scan D:\6aad183e238715cd0db307\sp1 - Odmowa dostępu.
Unable to scan D:\6aad183e238715cd0db307\sp2 - Odmowa dostępu.
Unable to scan D:\System Volume Information - Odmowa dostępu.
Finished scan at 13:56:03:245
Total number of files is 97525, number of infected files is 0
Average files per second is 41, average file size is 2936031

[babeta1]

to jest skopiowany nowy log:
Logfile of HijackThis v1.99.1
Scan saved at 15:15:54, on 2005-04-14
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\FinePixViewer\QuickDCF.exe
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\DOCUME~1\Beata\USTAWI~1\Temp\Katalog tymczasowy 2 dla hijackthis
[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\Zone
Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Exif Launcher.lnk = D:\Program
Files\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
Office\Office\OSA9.EXE
O9 - Extra button: Ustrzel To! - {C3881663-B3FA-49F4-BA57-183B02F47280} -
res://snipit.dll/101 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
www.bph.pl/pi/components/SignActivX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -
D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) -
Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton
AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program
Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC -
D:\WINDOWS\system32\ZoneLabs\vsmon.exe

[babeta1]

Pandy nie moge jakos uruchomic, pozostale dwa skanery tak jak napisalam
wczesniej zadzialalaly. Niestety nie rozumiem za bardzo co mam zrobic.. ponizej
wkleilam nowy log z hijac.. potem go zamknelam znowu otworzylam, kliknelam
Open... potem Delete.. i nie wiem co dalej, na moim D nie znalazlam tego pliku
msgn.exe. i nie wiem jaka sciezke i w ktorym (dokladnie) miejscu mam wkleic). Z
gory przepraszam za kompletna ignorancje w tych kwestiach...
pozdrawiam Beata

[babeta1]

Witam, niestety jak jeszcze raz przeskanowalam komputer tym skanerem trnd micro
wykryl, ze ten wirus caly czas jest. W dalszym ciagu w tym samym miejscu na
D/Windows/System32/msgn.exe a pzreciez jak wchodze na to moje
D/Windows/System32 to nie ma tam zadnego pliku msgn.exe Malo tego w momencie
skanowania nagle znow odezwal sie Norton i oglosil alert antywirusowy nazwa
wirusa W32.Spybot.Worm a jest na D:\DOCUME~1\B....\V2BGROa00256 i ze niby go
usunal ale ja jakos w to nie wierze... czuje ze go mam! pozdarwiam i czekam na
odpowiedz, niestety znow bede musiala zrobic za jakis czas dluzsza przerwe bo
moje dziecko ma strasznie duzo spraw do mnie. pozdrawiam Beata

[Gość: Kolobos]

W hijackthis tam gdzie masz delete file on reboot nie szukaj sama pliku tylko
wklej juz gotowa sciezke czyli:
D:\Windows\System32\msgn.exe i nacisnij ok.
Ten plik pewnie jest ukryty, wlacz pokazywanie plikow ukrytych w opchach
explorera.

A co do D:\DOCUME~1\B....\V2BGROa00256 to nie wiem co to jest ale skoro usunal
to usunal ;-)

[babeta1]

Zrobilam tak wczoraj ale dzisiaj na wszelki wypadek sprawdzilam antiwirusem i
okazalo sie ze w dalszym ciagu siedzi w tym sammym miejscu D:\WINDOWS\system32
\msgn.exe wirus WORM_RBOT.GEN. Przestawilam w opcjach na pokazywanie ukrytych
plikow ale nie znalazlam na D niczego z koncowka msgn.exe co z tym zrobic? W
dodatku jakby nie dosc to po zrobieniu tego wszytskiego wczoraj moj program
Zona Alarm jak mu odmawiam wejscia tych svchost.exe to mam zablokowany dostep
do internetu - w ogole nie laczy. Jak zamykam ten program to sie laczy wiec
ewidentnie o to chodzi. Pozdrawiam Beata

[babeta1]

acha i jeszcze jedno pytanie czy po zeskanowaniu jak mam okno trendmicro z
wykrytym wirusem to na zakonczenie powinnam kliknac delete, clean czy tylko
close? (nie klikalam delete bo pomyslalam ze moze to weszlo w jakis plik
systemowy i nie mozna wtedy tego usuwac)?
A ponizej wklejam najnowszy log z hijacktis (czy nie mozna tak jak poprzednim
razem wlasnie w logu wyrzucic tego czegos z koncowka msgn.exe?
Logfile of HijackThis v1.99.1
Scan saved at 09:13:08, on 2005-04-15
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Common Files\Symantec Shared\ccApp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Messenger\msmsgs.exe
D:\Program Files\FinePixViewer\QuickDCF.exe
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
D:\Program Files\Norton AntiVirus\navapsvc.exe
D:\Program Files\Norton AntiVirus\SAVScan.exe
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\DOCUME~1\Beata\USTAWI~1\Temp\Katalog tymczasowy 4 dla hijackthis
[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
D:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "D:\Program Files\Common Files\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Program Files\Zone
Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: Exif Launcher.lnk = D:\Program
Files\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft
Office\Office\OSA9.EXE
O9 - Extra button: Ustrzel To! - {C3881663-B3FA-49F4-BA57-183B02F47280} -
res://snipit.dll/101 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -
D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-
00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {2A32B14F-4D29-4EA3-AC54-E9B19F436CE7} (Scanner Class) -
www.windowsecurity.com/trojanscan/TDECntrl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) -
a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) -
www.bph.pl/pi/components/SignActivX.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
www.pandasoftware.com/activescan/as5/asinst.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation -
D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation -
D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -
D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Usługa Auto Protect programu Norton AntiVirus (navapsvc) -
Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton
AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation -
D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec
Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Program
Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC -
D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Bardzo dziekuje za pomoc i cierpliwosc!

[Gość: Kolobos]

Log jest czysty.
W trend micro masz chyba napisane co i gdzie znalazl? Wez Clean albo Delete
zalezy co znalazl i gdzie.
Wklej jeszcze log z sillent runners:
www.silentrunners.org/Silent%20Runners.vbs

[Gość: babeta1]

w takim razie zrobilam delete bo zlean nie dzialal na niego. jak sciagam do do
czego napisales mi linke wlacza sie Norton i mowi ze wykryl w tym zlosliwy
skrypt! nie moge tego sciagnac. pozdrawiam Beata

[Gość: Kolobos]

I nie ma mozliwosci sciagniecia i tak? Tylko blokuje i nie da sie nic zrobic?
eh ten norton jest gorszy niz myslalem ;-)

[Gość: babeta1]

jak to??? czy tam nie bylo naprawde zlosliwego skryptu??? Przeciez t inne bez
problemu sciagalam i uzywalam tylko to zablokowal!

[Gość: Kolobos]

Nie bylo, to tylko sprawdza rejestr i robi log i nic wiecej.Norton pewnie uwaza
to za virusa czy cos eh.