Forum Komputery Wirusy, trojany, spyware
ZMIEŃ
    Dodaj do ulubionych

    Proszę o sprawdzenie loga

    IP: *.neoplus.adsl.tpnet.pl 23.02.07, 15:13
    Witam!

    Proszę o sprawdzenie loga HJT.

    Logfile of HijackThis v1.99.1
    Scan saved at 15:11:27, on 2007-02-23
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Ahead\InCD\InCDsrv.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
    C:\Program Files\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Common Files\{201A94A9-07E3-1045-0927-020927200030}
    \Update.exe
    C:\WINDOWS\?ystem\w?crtupd.exe
    C:\PROGRA~1\COMMON~1\MICROS~1\Msinfo\OFFPROV.EXE
    D:\Bartek\Programy\Winamp\winamp.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\HJT\HijackThis.exe
    C:\WINDOWS\system32\svchost.exe

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet
    Settings,ProxyServer = 193.219.28.144:8080
    O4 - HKLM\..\Run: [QuickTime
    Task] "D:\Bartek\Programy\QuickTimePlayer\qttask.exe" -atboottime
    O8 - Extra context menu item: E&ksport do programu Microsoft Excel -
    res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1
    \MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -
    C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-
    00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
    O10 - Hijacked Internet access by WebHancer
    O10 - Hijacked Internet access by WebHancer
    O10 - Hijacked Internet access by WebHancer
    O12 - Plugin for .spop: C:\Program Files\Internet
    Explorer\Plugins\NPDocBox.dll
    O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
    O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
    O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program
    Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
    O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Unknown
    owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file
    missing)
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
    Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32
    \IDriverT.exe
    O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program
    Files\Ahead\InCD\InCDsrv.exe
    O23 - Service: iPodService - Apple Computer, Inc. -
    D:\Bartek\Programy\iPod\bin\iPodService.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. -
    C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus (navapsvc) -
    Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
    C:\WINDOWS\System32\nvsvc32.exe

    Mam mnóstwo gówna na kompie i nie mogę się go pozbyć. Nie mogę usunąć dwóch
    plików systemowych(na pewno szkodzą:
    C:\WINDOWS\system32\a3dxq.dll oraz
    C:\WINDOWS\system32\ldcore.dll

    Proszę o pomoc
    Obserwuj wątek
      • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.escom.net.pl 23.02.07, 17:36
        W menadzerze zadan zakoncz:
        C:\Program Files\Common Files\{201A94A9-07E3-1045-0927-020927200030}
        \Update.exe
        C:\WINDOWS\?ystem\w?crtupd.exe

        Katalogi {201.. oraz ?ystem usun z dysku.

        O10 - Hijacked Internet access by WebHancer <- sciagnij z google lspfix.exe i usun w nim webhancer'a ale nic wiecej tam nie kasuj!

        W hjt usun:
        O20 - AppInit_DLLs: c:\windows\system32\ldcore.dll
        O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dxq.dll
        O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

        Uslugi do kasacji:
        O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program
        Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
        O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Unknown
        owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file
        missing)
        O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus (navapsvc) -
        Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

        Start->Uruchom->cmd
        i tam wpisujesz:
        sc stop ccEvtMgr
        sc stop ccPwdSvc
        sc stop navapsvc
        sc delete ccEvtMgr
        sc delete ccPwdSvc
        sc delete navapsvc

        > Nie mogę usunąć dwóch plików systemowych

        Przeciez w naglowku forum masz napisane jak uzywac killbox'a!

        Po wszystkim skanujesz system przy pomocy Ewido oraz AntiVir PE.
        Zmien tez przegladarke na Opere i nie uzywaj wiecej IE.

        Uzyj: siri.urz.free.fr/Fix/SmitfraudFix_En.php zrob to co masz
        opisane pod "Clean" po uzyciu utworzy sie log, ktory wklej na forum.

        Jak juz to wszystko zrobisz to wklej tez nowy log z hijackthis.
        • Gość: +Immune+ Re: Proszę o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 23.02.07, 21:54
          Dziękuje za pomoc.

          Oto log ze Smitfraud:

          SmitFraudFix v2.144

          Scan done at 21:45:38,28, 2007-02-23
          Run from C:\Documents and Settings\Bartek\Pulpit\SmitfraudFix
          OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
          The filesystem type is NTFS
          Fix run in normal mode

          »»»»»»»»»»»»»»»»»»»»»»»» hosts


          »»»»»»»»»»»»»»»»»»»»»»»» C:\


          »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


          »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


          »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


          »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

          C:\WINDOWS\system32\taskdir.exe FOUND !
          C:\WINDOWS\system32\zlbw.dll FOUND !

          »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bartek


          »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Bartek\Application Data


          »»»»»»»»»»»»»»»»»»»»»»»» Start Menu


          »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Bartek\Ulubione


          »»»»»»»»»»»»»»»»»»»»»»»» Desktop


          »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


          »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


          »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



          »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
          !!!Attention, following keys are not inevitably infected!!!

          SrchSTS.exe by S!Ri
          Search SharedTaskScheduler's .dll

          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
          "{2C1CD3D7-86AC-4068-93BC-A02304B60787}"="DCOM Server 60787"



          »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
          !!!Attention, following keys are not inevitably infected!!!

          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
          "AppInit_DLLs"=""


          »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
          !!!Attention, following keys are not inevitably infected!!!

          [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
          "System"=""


          »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


          »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


          »»»»»»»»»»»»»»»»»»»»»»»» End

          A to nowy log HJT:

          Logfile of HijackThis v1.99.1
          Scan saved at 21:47:28, on 2007-02-23
          Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
          MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

          Running processes:
          C:\WINDOWS\System32\smss.exe
          C:\WINDOWS\system32\winlogon.exe
          C:\WINDOWS\system32\services.exe
          C:\WINDOWS\system32\lsass.exe
          C:\WINDOWS\system32\svchost.exe
          C:\WINDOWS\System32\svchost.exe
          C:\Program Files\Ahead\InCD\InCDsrv.exe
          C:\WINDOWS\system32\LEXBCES.EXE
          C:\WINDOWS\system32\spoolsv.exe
          C:\WINDOWS\system32\LEXPPS.EXE
          C:\Program Files\AntiVir Workstation\sched.exe
          C:\Program Files\AntiVir Workstation\avguard.exe
          C:\Program Files\AntiVir Workstation\avesvc.exe
          D:\Bartek\Programy\AVG Anti-Spyware 7.5\guard.exe
          C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
          C:\Program Files\Norton AntiVirus\navapsvc.exe
          C:\WINDOWS\System32\nvsvc32.exe
          C:\WINDOWS\System32\svchost.exe
          C:\WINDOWS\Explorer.EXE
          D:\Bartek\Programy\AVG Anti-Spyware 7.5\avgas.exe
          C:\Program Files\Opera\Opera.exe
          C:\WINDOWS\system32\taskdir.exe
          C:\Documents and Settings\Bartek\Pulpit\HijackThis.exe

          R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.pl/
          R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.219.28.144:8080
          O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Bartek\Programy\AVG Anti-Spyware 7.5\avgas.exe" /minimized
          O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
          O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
          O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
          O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
          O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
          O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
          O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - downloads.ewido.net/ewidoOnlineScan.cab
          O17 - HKLM\System\CCS\Services\Tcpip\..\{0808617F-2A23-4454-8EF2-0ADBE36CE288}: NameServer = 195.101.37.141
          O17 - HKLM\System\CCS\Services\Tcpip\..\{19E88CCA-3A87-4669-B358-22F893FD92A6}: NameServer = 195.101.37.141
          O17 - HKLM\System\CCS\Services\Tcpip\..\{E8E52829-3BD9-478B-A139-C6F993843179}: NameServer = 195.101.37.141
          O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\AntiVir Workstation\avmailc.exe
          O23 - Service: AntiVir Windows Workstation Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir Workstation\sched.exe
          O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir Workstation\avguard.exe
          O23 - Service: AntiVir Windows Workstation MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\AntiVir Workstation\avesvc.exe
          O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Bartek\Programy\AVG Anti-Spyware 7.5\guard.exe
          O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
          O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file missing)
          O23 - Service: InstallDriver Table Manager (IDriverT) - Macr
          • Gość: +Immune+ Re: Proszę o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 23.02.07, 22:08
            To jest cały logfile HJT, nie wiem dlaczego nie załączył się cały. Brakuje również dalszej części mojego postu więc powiem w skrócie. Dziękuje za pomoc, zeskanowałem system przy pomocy sugerowanych programów, wyrzuciłem Killbox'em te dwa pliki .dll o które mi chodziło jednak mam kilka nowych pytań. Chodzi mi np o logi 017, wcześniej nie miałem ich w ogóle, a dosyć często robiłem skany. Powinienem je usunąć? Poza tym mam pewien problem, komputer wydaje się być już czysty(AntySpywary i AntyViry znalazły ponad 500 sztuk gówna na moich dyskach!!!), ale za każdym logowaniem na konto(przy włączaniu komputera) wyskakuje mi okienko, że aplikacja update.exe( swoją drogą to ta sama, którą zamknąłem w menedzerze zadan przed rozpoczeciem czyszczenia kompa)nie moze zostac otwarta(file missing). Zamykam okienko i jest ok. Nie wyskakuje znowu, ale dzieje sie tak ponownie przy nowym logowaniu.

            Dziekuje za pomoc i mam nadzieje, że znajdziesz równiez jakies rozwiazanie na ten nowy problem. Pozdrawiam i dzięki:)

            Logfile of HijackThis v1.99.1
            Scan saved at 21:47:28, on 2007-02-23
            Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
            MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

            Running processes:
            C:\WINDOWS\System32\smss.exe
            C:\WINDOWS\system32\winlogon.exe
            C:\WINDOWS\system32\services.exe
            C:\WINDOWS\system32\lsass.exe
            C:\WINDOWS\system32\svchost.exe
            C:\WINDOWS\System32\svchost.exe
            C:\Program Files\Ahead\InCD\InCDsrv.exe
            C:\WINDOWS\system32\LEXBCES.EXE
            C:\WINDOWS\system32\spoolsv.exe
            C:\WINDOWS\system32\LEXPPS.EXE
            C:\Program Files\AntiVir Workstation\sched.exe
            C:\Program Files\AntiVir Workstation\avguard.exe
            C:\Program Files\AntiVir Workstation\avesvc.exe
            D:\Bartek\Programy\AVG Anti-Spyware 7.5\guard.exe
            C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
            C:\Program Files\Norton AntiVirus\navapsvc.exe
            C:\WINDOWS\System32\nvsvc32.exe
            C:\WINDOWS\System32\svchost.exe
            C:\WINDOWS\Explorer.EXE
            D:\Bartek\Programy\AVG Anti-Spyware 7.5\avgas.exe
            C:\Program Files\Opera\Opera.exe
            C:\WINDOWS\system32\taskdir.exe
            C:\Documents and Settings\Bartek\Pulpit\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.pl/
            R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 193.219.28.144:8080
            O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Bartek\Programy\AVG Anti-Spyware 7.5\avgas.exe" /minimized
            O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
            O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
            O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
            O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll
            O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
            O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
            O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - downloads.ewido.net/ewidoOnlineScan.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{0808617F-2A23-4454-8EF2-0ADBE36CE288}: NameServer = 195.101.37.141
            O17 - HKLM\System\CCS\Services\Tcpip\..\{19E88CCA-3A87-4669-B358-22F893FD92A6}: NameServer = 195.101.37.141
            O17 - HKLM\System\CCS\Services\Tcpip\..\{E8E52829-3BD9-478B-A139-C6F993843179}: NameServer = 195.101.37.141
            O23 - Service: AntiVir Windows Workstation MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\AntiVir Workstation\avmailc.exe
            O23 - Service: AntiVir Windows Workstation Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir Workstation\sched.exe
            O23 - Service: AntiVir Windows Workstation Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir Workstation\avguard.exe
            O23 - Service: AntiVir Windows Workstation MailGuard helper service (AVEService) - Avira GmbH - C:\Program Files\AntiVir Workstation\avesvc.exe
            O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Bartek\Programy\AVG Anti-Spyware 7.5\guard.exe
            O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
            O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file missing)
            O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
            O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
            O23 - Service: iPodService - Apple Computer, Inc. - D:\Bartek\Programy\iPod\bin\iPodService.exe
            O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
            O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
            O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

            • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.escom.net.pl 23.02.07, 23:45
              W SmitfraudFix miales zrobic CLEAN, a nie SCAN.

              Miales usunac te dwie uslugi tak jak napisalem, wiec zrob to.
              > O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program
              > O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Unknown

              O17 zostaw w spokoju.

              W lspfix usun jeszcze avsda.dll

              W menadzerze zakoncz:
              C:\WINDOWS\system32\taskdir.exe
              Plik usun z dysku.
      • Gość: +Immune+ Re: Proszę o sprawdzenie loga IP: *.neoplus.adsl.tpnet.pl 24.02.07, 10:49
        Raport ze SmitFraud po przeprowadzonym Cleanie:

        SmitFraudFix v2.126

        Scan done at 10:24:11,56, 2007-02-24
        Run from D:\Bartek\Damage Tools\SmitfraudFix
        OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
        Fix run in safe mode

        »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
        !!!Attention, following keys are not inevitably infected!!!

        SrchSTS.exe by S!Ri
        Search SharedTaskScheduler's .dll

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
        "{2C1CD3D7-86AC-4068-93BC-A02304B60787}"="DCOM Server 60787"


        »»»»»»»»»»»»»»»»»»»»»»»» Killing process


        »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

        GenericRenosFix by S!Ri


        »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

        C:\WINDOWS\system32\zlbw.dll Deleted

        »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


        »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

        Registry Cleaning done.

        »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
        !!!Attention, following keys are not inevitably infected!!!

        SrchSTS.exe by S!Ri
        Search SharedTaskScheduler's .dll

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
        "{2C1CD3D7-86AC-4068-93BC-A02304B60787}"="DCOM Server 60787"



        »»»»»»»»»»»»»»»»»»»»»»»» End

        Co do pozycji
        O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program
        > Files\Common Files\Symantec Shared\ccEvtMgr.exe (file missing)
        > O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Unknown
        > owner - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe (file
        > missing)

        oraz
        O23 - Service: Usługa Auto-Protect w programie Norton AntiVirus (navapsvc) - Unknown owner - C:\Program Files\Norton AntiVirus\navapsvc.exe (file missing)

        Nie da się ich usunąć za pomocą HJT, próbowałem nawet w Safe Mode!
        Ta aplikacja Update.exe wciąż wyskakuje za każdym razem przy logowaniu. Poza tym uważam, że jakiś syf wciąż gdzieś musi siedzieć bo nie mogę ustawić tła pulpitu(po ustawieniu bieżącego, zmienia się ono przy następnym logowaniu). W dodatku AVG AntiSpyware za każdym razem informuje mnie o znalezieniu jakiegos Worm'a w pliku adir.dll. Za każdym razem usuwam ten plik, więc coś musi go tworzyć na nowo.

        Dzięki w każdym razie za pomoc, mam nadzięję że nie zabieram zbyt dużo czasu..
        • Gość: Kolobos Re: Proszę o sprawdzenie loga IP: *.escom.net.pl 24.02.07, 13:36
          Gdzie ja napisalem, ze masz usuwac te uslugi w hijackthis? Przeciez podalem co dokladnie i gdzie masz wpisac!
          Po uzyciu smit juz nic nie powinno wyskakiwac. Jezeli dalej bedzie to wyslij mi na mial'a (kolobos (at) gazeta.pl) logi z gmera z zakladki rootkit + comobofix oraz Silent Runners.
    Inne wątki na temat:

    Najnowsze z forum Wirusy, trojany, spyware

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.
    Wybrane treści z serwisu Sport.pl są dostępne po wykupieniu płatnej subskrypcji