Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
27 Kwi 2008, 16:41
I zadziałał mi DSS 
Wyczyścił folder Temporary i chyba miałem go zapchanego, bo teraz komputer już lepiej chodzi
Ale przesyłam logi z DSS
Tylko , że teraz znowu mam czasem male problemy z zamykaniem systemu, pojawia się jakiś komunikat o błędzie i zabezpieczeniach
Wyczyścił folder Temporary i chyba miałem go zapchanego, bo teraz komputer już lepiej chodzi
Ale przesyłam logi z DSS
- Kod:
2008-02-28 18:46:18 0 --a------ C:\WINDOWS\system32\lich.dat
-- Registry Dump ---------------------------------------------------------------
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 11:09 C:\WINDOWS\SOUNDMAN.EXE]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
"ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 20:00]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50]
"Network Associates Error Reporting Service"="C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 18:14]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 11:22]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 11:22 C:\WINDOWS\system32\nvmctray.dll]
"MsgCenterExe"="C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe" []
"SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 14:25]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 14:45]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44]
"Zinio DLM"="C:\Program Files\Zinio\ZinioDeliveryManager.exe" []
"BlazeServoTool"="C:\Program Files\BlazeVideo\BlazeDVD 5 Standard\MediaDetector.exe" []
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Status Monitor.lnk - C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe [2007-10-10 15:09:32]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"disableregistrytools"=0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiskSpaceChecks"=1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinNt32]
WinNt32.dll 2008-04-27 08:04 10240 C:\WINDOWS\system32\WinNt32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
WLCtrl32.dll 2008-04-27 08:04 12288 C:\WINDOWS\system32\WLCtrl32.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fnt30.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tag52.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RunDLL32.exe NvMCTray.dll,NvTaskbarInit
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install
-- End of Deckard's System Scanner: finished at 2008-04-27 08:27:14 ------------
Tylko , że teraz znowu mam czasem male problemy z zamykaniem systemu, pojawia się jakiś komunikat o błędzie i zabezpieczeniach
27 Kwi 2008, 16:50
To jest urywek loga ale do niego podam ci rozwiazanie a następnie podasz mi cały log
otwórz notatnik i wklej
Z menu Notatnika
Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg
Pobierz Avenger
wklej do niego ten tekst:
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Uruchom ten plik, uruchom ponownie komputer
otwórz notatnik i wklej
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
Z menu Notatnika
Plik Zapisz jako Zmień rozszerzenie z .txt na wszystkie pliki zapisz pod nazwą Fix.reg Pobierz Avenger
wklej do niego ten tekst:
- Kod:
Files to delete:
C:\WINDOWS\SYSTEM32\WinNt32.dll
C:\WINDOWS\SYSTEM32\WLCtrl32.dll
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Uruchom ten plik, uruchom ponownie komputer
27 Kwi 2008, 17:05
- Kod:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\SYSTEM32\WinNt32.dll" deleted successfully.
File "C:\WINDOWS\SYSTEM32\WLCtrl32.dll" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
27 Kwi 2008, 17:08
Wszsytko się powiodło te pliki co usunołes wysyłały miliony spamu dziennie z twojego komputera, daj nowy log z dss
27 Kwi 2008, 17:15
- Kod:
Deckard's System Scanner v20071014.68
Run by Emilia on 2008-04-27 17:13:33
Computer is in Normal Mode.
--------------------------------------------------------------------------------
[color=red]Percentage of Memory in Use: 96% (more than 75%).[/color]
-- HijackThis (run as Emilia.exe) ----------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13, on 2008-04-27
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe
C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Java\jre1.5.0_05\bin\jucheck.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\K-Meleon\K-Meleon.exe
C:\Documents and Settings\Emilia\Pulpit\Capsy\dss.exe
C:\DOCUME~1\Emilia\MOJEDO~1\NEOSTR~1.PL\Emilia.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MsgCenterExe] "C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Zinio DLM] C:\Program Files\Zinio\ZinioDeliveryManager.exe /autostart
O4 - HKCU\..\Run: [BlazeServoTool] "C:\Program Files\BlazeVideo\BlazeDVD 5 Standard\MediaDetector.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Serwis struktury programu McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
--
End of file - 6132 bytes
-- Files created between 2008-03-27 and 2008-04-27 -----------------------------
2008-04-26 17:05:27 0 d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-26 16:49:46 68096 --a------ C:\WINDOWS\zip.exe
2008-04-26 16:49:46 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-04-26 16:49:46 98816 --a------ C:\WINDOWS\sed.exe
2008-04-26 16:49:46 80412 --a------ C:\WINDOWS\grep.exe
2008-04-26 16:49:46 73728 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-04-26 16:49:45 49152 --a------ C:\WINDOWS\VFind.exe
2008-04-26 16:49:45 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-04-26 16:49:45 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-04-26 15:35:33 53248 --a------ C:\WINDOWS\PSEXESVC.EXE <Not Verified; Sysinternals; Sysinternals PsExec>
2008-04-25 20:50:41 10240 --a------ C:\WINDOWS\system32\WinNt32.dll
2008-04-25 20:50:41 14976 --a------ C:\WINDOWS\system32\drivers\Fnt30.sys
2008-04-25 15:00:34 27008 --a------ C:\WINDOWS\system32\drivers\Tag52.sys
2008-04-25 15:00:33 12288 --a------ C:\WINDOWS\system32\WLCtrl32.dll
2008-04-24 19:25:46 0 d-------- C:\Program Files\DVD Flick
2008-04-20 16:52:21 0 d-------- C:\Program Files\WMV9_VCM
2008-04-20 11:01:54 0 d-------- C:\Program Files\Xvid
2008-04-20 10:53:15 0 d-------- C:\Program Files\AC3Filter
2008-04-20 10:48:21 164352 --a------ C:\WINDOWS\system32\unrar.dll
2008-04-20 10:48:12 217088 --a------ C:\WINDOWS\system32\yv12vfw.dll <Not Verified; www.helixcommunity.org; Helix YV12 YUV Codec>
2008-04-20 10:48:12 180224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-04-20 10:48:12 765952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-04-20 10:48:11 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-04-20 10:48:11 81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100>
2008-04-20 10:48:09 7680 --a------ C:\WINDOWS\system32\ff_vfw.dll
2008-04-20 10:48:07 0 d-------- C:\Program Files\K-Lite Codec Pack
2008-04-20 10:40:59 14523983 --a------ C:\WINDOWS\klcodec385f.exe <Not Verified; ; K-Lite Codec Pack>
2008-04-10 19:09:56 0 d-------- C:\Program Files\FreshDevices
2008-04-08 10:43:04 0 d-------- C:\soft
-- Find3M Report ---------------------------------------------------------------
2008-04-26 14:18:59 8192 --a------ C:\lich.sys
2008-04-26 10:01:49 0 d-------- C:\Program Files\Google
2008-04-26 09:56:44 0 d-------- C:\Program Files\CamStudio
2008-04-24 19:29:40 0 d-------- C:\Documents and Settings\Emilia\Dane aplikacji\DVD Flick
2008-04-19 18:28:13 0 d-------- C:\Program Files\eMule
2008-04-17 18:41:17 0 d-------- C:\Program Files\AVSMedia
2008-04-17 18:17:05 0 d-------- C:\Program Files\AviSynth 2.5
2008-04-17 18:16:46 0 d-------- C:\Program Files\YouTube Video Downloader
2008-04-17 13:14:54 0 d-------- C:\Documents and Settings\Emilia\Dane aplikacji\gtk-2.0
2008-04-14 12:55:29 817 --a------ C:\Documents and Settings\Emilia\Dane aplikacji\AutoGK.ini
2008-04-10 18:02:24 75 --a------ C:\Documents and Settings\Emilia\Dane aplikacji\AVSDVDPlayer.m3u
2008-03-30 09:12:49 436322 --a------ C:\WINDOWS\system32\perfh015.dat
2008-03-30 09:12:49 67298 --a------ C:\WINDOWS\system32\perfc015.dat
2008-03-17 00:12:31 0 d-------- C:\Documents and Settings\Emilia\Dane aplikacji\Adobe
2008-02-28 18:46:18 0 --a------ C:\WINDOWS\system32\lich.dat
-- Registry Dump ---------------------------------------------------------------
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 11:09 C:\WINDOWS\SOUNDMAN.EXE]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]
"ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 20:00]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50]
"Network Associates Error Reporting Service"="C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 18:14]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 11:22]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 11:22 C:\WINDOWS\system32\nvmctray.dll]
"MsgCenterExe"="C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe" []
"SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 14:25]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 14:45]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44]
"Zinio DLM"="C:\Program Files\Zinio\ZinioDeliveryManager.exe" []
"BlazeServoTool"="C:\Program Files\BlazeVideo\BlazeDVD 5 Standard\MediaDetector.exe" []
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Status Monitor.lnk - C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe [2007-10-10 15:09:32]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"disableregistrytools"=0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiskSpaceChecks"=1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinNt32]
WinNt32.dll 2008-04-27 17:06 10240 C:\WINDOWS\system32\WinNt32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
WLCtrl32.dll 2008-04-27 17:06 12288 C:\WINDOWS\system32\WLCtrl32.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fnt30.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Tag52.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
RunDLL32.exe NvMCTray.dll,NvTaskbarInit
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install
*Newly Created Service* - ENTDRV51
-- End of Deckard's System Scanner: finished at 2008-04-27 17:14:40 ------------
27 Kwi 2008, 17:23
fix w HijackThis
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\SYSTEM32\WinNt32.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
- Kod:
File::
C:\WINDOWS\zip.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\fdsv.exe
C:\WINDOWS\VFind.exe
C:\WINDOWS\swxcacls.exe
C:\WINDOWS\swsc.exe
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\drivers\Fnt30.sys
C:\WINDOWS\system32\drivers\Tag52.sys
C:\WINDOWS\system32\WLCtrl32.dll
C:\lich.sys
C:\WINDOWS\system32\lich.dat
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinNt32]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
27 Kwi 2008, 17:38
- Kod:
ComboFix 08-04-24.1 - Emilia 2008-04-27 17:27:38.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.8 [GMT 2:00]
Running from: C:\Documents and Settings\Emilia\Pulpit\Capsy\ComboFix.exe
Command switches used :: C:\Documents and Settings\Emilia\Pulpit\Capsy\CFScript.txt
* Created a new restore point
* Resident AV is active
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
FILE ::
C:\lich.sys
C:\WINDOWS\fdsv.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\swsc.exe
C:\WINDOWS\swxcacls.exe
C:\WINDOWS\system32\drivers\Fnt30.sys
C:\WINDOWS\system32\drivers\Tag52.sys
C:\WINDOWS\system32\lich.dat
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\VFind.exe
C:\WINDOWS\zip.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\lich.sys
C:\WINDOWS\fdsv.exe
C:\WINDOWS\grep.exe
C:\WINDOWS\sed.exe
C:\WINDOWS\swsc.exe
C:\WINDOWS\swxcacls.exe
C:\WINDOWS\system32\3_exception.nls
C:\WINDOWS\system32\drivers\Fnt30.sys
C:\WINDOWS\system32\drivers\ip6fw.sys
C:\WINDOWS\system32\drivers\Tag52.sys
C:\WINDOWS\system32\kmd.exe
C:\WINDOWS\system32\lich.dat
C:\WINDOWS\system32\WinNt32.dll
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\VFind.exe
C:\WINDOWS\zip.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_RUNTIME
-------\Legacy_TAG52
-------\Legacy_ZZZDRV_LICH
-------\Service_runtime
-------\Service_Tag52
-------\Service_ZZZdrv_lich
-------\Legacy_Fnt30
-------\Legacy_Ip6Fw
-------\Service_Fnt30
-------\Service_Ip6Fw
((((((((((((((((((((((((( Files Created from 2008-03-27 to 2008-04-27 )))))))))))))))))))))))))))))))
.
2008-04-26 19:39 . 2008-04-26 19:39 30,720 --a------ C:\Documents and Settings\Emilia\95097.exe
2008-04-26 19:39 . 2008-04-26 19:39 30,720 --a------ C:\Documents and Settings\Emilia\68195.exe
2008-04-26 17:05 . 2008-04-26 17:05 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-26 17:05 . 2008-04-26 17:05 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-04-26 16:15 . 2008-04-26 16:15 <DIR> d-------- C:\Deckard
2008-04-25 20:52 . 2008-04-27 17:06 10,240 --a------ C:\WINDOWS\system32\WinData.cab
2008-04-25 15:00 . 2008-04-25 15:00 30,720 --a------ C:\Documents and Settings\Emilia\78640.exe
2008-04-25 15:00 . 2008-04-25 15:00 30,720 --a------ C:\Documents and Settings\Emilia\19998.exe
2008-04-24 19:26 . 2008-04-24 19:29 <DIR> d-------- C:\Documents and Settings\Emilia\Dane aplikacji\DVD Flick
2008-04-24 19:25 . 2008-04-27 08:09 <DIR> d-------- C:\Program Files\DVD Flick
2008-04-24 19:25 . 2004-03-09 00:00 662,288 --a------ C:\WINDOWS\system32\mscomct2.ocx
2008-04-24 19:25 . 2004-03-09 00:00 212,240 --a------ C:\WINDOWS\system32\richtx32.ocx
2008-04-24 19:25 . 2000-11-05 15:27 36,864 --a------ C:\WINDOWS\system32\trayicon.ocx
2008-04-20 16:52 . 2008-04-20 16:52 <DIR> d-------- C:\Program Files\WMV9_VCM
2008-04-20 16:52 . 2008-04-20 16:52 693,840 --a------ C:\wmv9VCMsetup.exe
2008-04-20 11:01 . 2008-04-20 11:01 <DIR> d-------- C:\Program Files\Xvid
2008-04-20 11:01 . 2008-04-20 11:01 642,685 --a------ C:\Xvid-1.1.3-12042008.exe
2008-04-20 11:01 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-04-20 10:55 . 2008-04-20 10:55 60,866 --a------ C:\AC3ACM.zip
2008-04-20 10:53 . 2008-04-20 10:53 <DIR> d-------- C:\Program Files\AC3Filter
2008-04-20 10:53 . 2007-08-18 09:54 380,928 --a------ C:\WINDOWS\system32\ac3filter.acm
2008-04-20 10:52 . 2008-04-20 10:53 2,392,722 --a------ C:\ac3filter_1_46_[shp.net.pl].exe
2008-04-20 10:50 . 2008-04-20 10:50 977,000 --a------ C:\VirtualDub-MPEG2.zip
2008-04-20 10:49 . 2008-04-20 10:49 977,000 --a------ C:\WINDOWS\VirtualDub-MPEG2.zip
2008-04-20 10:49 . 2008-04-20 10:49 60,866 --a------ C:\WINDOWS\AC3ACM.zip
2008-04-20 10:48 . 2008-04-20 10:48 <DIR> d-------- C:\Program Files\K-Lite Codec Pack
2008-04-20 10:48 . 2007-11-29 23:30 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-04-20 10:48 . 2008-04-12 07:30 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-04-20 10:48 . 2006-09-24 16:11 389,120 --a------ C:\WINDOWS\system32\lameACM.acm
2008-04-20 10:48 . 2004-01-25 17:18 217,088 --a------ C:\WINDOWS\system32\yv12vfw.dll
2008-04-20 10:48 . 2008-04-12 07:41 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-04-20 10:48 . 2007-09-04 17:56 164,352 --a------ C:\WINDOWS\system32\unrar.dll
2008-04-20 10:48 . 2007-11-29 23:28 81,920 --a------ C:\WINDOWS\system32\dpl100.dll
2008-04-20 10:48 . 2008-03-04 12:33 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll
2008-04-20 10:48 . 2007-07-10 17:10 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest
2008-04-20 10:48 . 2007-10-03 16:03 414 --a------ C:\WINDOWS\system32\lame_acm.xml
2008-04-20 10:40 . 2008-04-20 10:47 14,523,983 --a------ C:\WINDOWS\klcodec385f.exe
2008-04-10 19:09 . 2008-04-10 19:09 <DIR> d-------- C:\Program Files\FreshDevices
2008-04-08 10:43 . 2008-04-08 10:43 <DIR> d-------- C:\soft
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-26 08:01 --------- d-----w C:\Program Files\Google
2008-04-26 07:56 --------- d-----w C:\Program Files\CamStudio
2008-04-19 16:28 --------- d-----w C:\Program Files\eMule
2008-04-17 16:41 --------- d-----w C:\Program Files\AVSMedia
2008-04-17 16:17 --------- d-----w C:\Program Files\AviSynth 2.5
2008-04-17 16:16 --------- d-----w C:\Program Files\YouTube Video Downloader
2008-04-17 11:14 --------- d-----w C:\Documents and Settings\Emilia\Dane aplikacji\gtk-2.0
2008-03-20 08:48 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2007-01-01 11:27 7,425,209 ----a-w C:\Program Files\Polyphonic_Wizard_4.02_by_fluid23.rar
2006-11-02 13:35 1,088,862 ----a-w C:\Program Files\rzeznia.exe
2004-09-14 04:06 1,597,440 ----a-w C:\Documents and Settings\Emilia\Dane aplikacji\SecureTraveler.exe
2001-11-15 18:13 120 ----a-w C:\Program Files\hpsfx.ini
2007-07-10 12:47 220 --sh--w C:\WINDOWS\dwin.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]
"Zinio DLM"="C:\Program Files\Zinio\ZinioDeliveryManager.exe" [ ]
"BlazeServoTool"="C:\Program Files\BlazeVideo\BlazeDVD 5 Standard\MediaDetector.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 11:09 77824 C:\WINDOWS\SOUNDMAN.EXE]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 20:00 94208]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50 139320]
"Network Associates Error Reporting Service"="C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48 147514]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 18:14 36975]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 11:22 7618560]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 11:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"MsgCenterExe"="C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe" [ ]
"SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 14:25 57393]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 14:45 40960]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Status Monitor.lnk - C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe [2007-10-10 15:09:32 802816]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i263_32.drv
"VIDC.JPEG"= JPEGCODE.DLL
"VIDC.MPEG"= JPEGCODE.DLL
"msacm.scg726"= scg726.acm
"msacm.alf2cd"= alf2cd.acm
"vidc.dvsd"= mcdvd_32.dll
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fnt30.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-06-01 11:22 7618560 C:\WINDOWS\system32\NvCpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-06-01 11:22 86016 C:\WINDOWS\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-06-01 11:22 1519616 C:\WINDOWS\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50]
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-27 17:34:00
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\brss01a.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Program Files\Java\jre1.5.0_05\bin\jucheck.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Brother\Brmfcmon\BrMfcMon.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-04-27 17:36:44 - machine was rebooted [Emilia]
ComboFix-quarantined-files.txt 2008-04-27 15:36:37
ComboFix2.txt 2008-02-14 07:54:17
Pre-Run: 21,551,697,920 bajtów wolnych
Post-Run: 21,629,521,920 bajt˘w wolnych
204 --- E O F --- 2008-01-17 10:21:03
27 Kwi 2008, 17:46
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
Wiesz co to za plik, jeśli nie to go usuń
Wklej do notatnika:
- Kod:
File::
C:\Documents and Settings\Emilia\95097.exe
C:\Documents and Settings\Emilia\68195.exe
C:\Documents and Settings\Emilia\78640.exe
C:\Documents and Settings\Emilia\19998.exe
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.
Wiesz co to za plik, jeśli nie to go usuń
C:\wmv9VCMsetup.exe
27 Kwi 2008, 17:56
- Kod:
ComboFix 08-04-24.1 - Emilia 2008-04-27 17:52:15.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.106 [GMT 2:00]
Running from: C:\Documents and Settings\Emilia\Pulpit\Capsy\ComboFix.exe
Command switches used :: C:\Documents and Settings\Emilia\Pulpit\Capsy\CFScript.txt
* Created a new restore point
* Resident AV is active
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
FILE ::
C:\Documents and Settings\Emilia\19998.exe
C:\Documents and Settings\Emilia\68195.exe
C:\Documents and Settings\Emilia\78640.exe
C:\Documents and Settings\Emilia\95097.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Emilia\19998.exe
C:\Documents and Settings\Emilia\68195.exe
C:\Documents and Settings\Emilia\78640.exe
C:\Documents and Settings\Emilia\95097.exe
.
((((((((((((((((((((((((( Files Created from 2008-03-27 to 2008-04-27 )))))))))))))))))))))))))))))))
.
2008-04-26 17:05 . 2008-04-26 17:05 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-26 17:05 . 2008-04-26 17:05 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-04-26 16:15 . 2008-04-26 16:15 <DIR> d-------- C:\Deckard
2008-04-25 20:52 . 2008-04-27 17:06 10,240 --a------ C:\WINDOWS\system32\WinData.cab
2008-04-24 19:26 . 2008-04-24 19:29 <DIR> d-------- C:\Documents and Settings\Emilia\Dane aplikacji\DVD Flick
2008-04-24 19:25 . 2008-04-27 08:09 <DIR> d-------- C:\Program Files\DVD Flick
2008-04-24 19:25 . 2004-03-09 00:00 662,288 --a------ C:\WINDOWS\system32\mscomct2.ocx
2008-04-24 19:25 . 2004-03-09 00:00 212,240 --a------ C:\WINDOWS\system32\richtx32.ocx
2008-04-24 19:25 . 2000-11-05 15:27 36,864 --a------ C:\WINDOWS\system32\trayicon.ocx
2008-04-20 16:52 . 2008-04-20 16:52 <DIR> d-------- C:\Program Files\WMV9_VCM
2008-04-20 16:52 . 2008-04-20 16:52 693,840 --a------ C:\wmv9VCMsetup.exe
2008-04-20 11:01 . 2008-04-20 11:01 <DIR> d-------- C:\Program Files\Xvid
2008-04-20 11:01 . 2008-04-20 11:01 642,685 --a------ C:\Xvid-1.1.3-12042008.exe
2008-04-20 11:01 . 2007-06-28 18:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-04-20 10:55 . 2008-04-20 10:55 60,866 --a------ C:\AC3ACM.zip
2008-04-20 10:53 . 2008-04-20 10:53 <DIR> d-------- C:\Program Files\AC3Filter
2008-04-20 10:53 . 2007-08-18 09:54 380,928 --a------ C:\WINDOWS\system32\ac3filter.acm
2008-04-20 10:52 . 2008-04-20 10:53 2,392,722 --a------ C:\ac3filter_1_46_[shp.net.pl].exe
2008-04-20 10:50 . 2008-04-20 10:50 977,000 --a------ C:\VirtualDub-MPEG2.zip
2008-04-20 10:49 . 2008-04-20 10:49 977,000 --a------ C:\WINDOWS\VirtualDub-MPEG2.zip
2008-04-20 10:49 . 2008-04-20 10:49 60,866 --a------ C:\WINDOWS\AC3ACM.zip
2008-04-20 10:48 . 2008-04-20 10:48 <DIR> d-------- C:\Program Files\K-Lite Codec Pack
2008-04-20 10:48 . 2007-11-29 23:30 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-04-20 10:48 . 2008-04-12 07:30 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-04-20 10:48 . 2006-09-24 16:11 389,120 --a------ C:\WINDOWS\system32\lameACM.acm
2008-04-20 10:48 . 2004-01-25 17:18 217,088 --a------ C:\WINDOWS\system32\yv12vfw.dll
2008-04-20 10:48 . 2008-04-12 07:41 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-04-20 10:48 . 2007-09-04 17:56 164,352 --a------ C:\WINDOWS\system32\unrar.dll
2008-04-20 10:48 . 2007-11-29 23:28 81,920 --a------ C:\WINDOWS\system32\dpl100.dll
2008-04-20 10:48 . 2008-03-04 12:33 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll
2008-04-20 10:48 . 2007-07-10 17:10 547 --a------ C:\WINDOWS\system32\ff_vfw.dll.manifest
2008-04-20 10:48 . 2007-10-03 16:03 414 --a------ C:\WINDOWS\system32\lame_acm.xml
2008-04-20 10:40 . 2008-04-20 10:47 14,523,983 --a------ C:\WINDOWS\klcodec385f.exe
2008-04-10 19:09 . 2008-04-10 19:09 <DIR> d-------- C:\Program Files\FreshDevices
2008-04-08 10:43 . 2008-04-08 10:43 <DIR> d-------- C:\soft
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-26 08:01 --------- d-----w C:\Program Files\Google
2008-04-26 07:56 --------- d-----w C:\Program Files\CamStudio
2008-04-19 16:28 --------- d-----w C:\Program Files\eMule
2008-04-17 16:41 --------- d-----w C:\Program Files\AVSMedia
2008-04-17 16:17 --------- d-----w C:\Program Files\AviSynth 2.5
2008-04-17 16:16 --------- d-----w C:\Program Files\YouTube Video Downloader
2008-04-17 11:14 --------- d-----w C:\Documents and Settings\Emilia\Dane aplikacji\gtk-2.0
2008-03-20 08:48 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2007-01-01 11:27 7,425,209 ----a-w C:\Program Files\Polyphonic_Wizard_4.02_by_fluid23.rar
2006-11-02 13:35 1,088,862 ----a-w C:\Program Files\rzeznia.exe
2004-09-14 04:06 1,597,440 ----a-w C:\Documents and Settings\Emilia\Dane aplikacji\SecureTraveler.exe
2001-11-15 18:13 120 ----a-w C:\Program Files\hpsfx.ini
2007-07-10 12:47 220 --sh--w C:\WINDOWS\dwin.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]
"Zinio DLM"="C:\Program Files\Zinio\ZinioDeliveryManager.exe" [ ]
"BlazeServoTool"="C:\Program Files\BlazeVideo\BlazeDVD 5 Standard\MediaDetector.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 11:09 77824 C:\WINDOWS\SOUNDMAN.EXE]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"ShStatEXE"="C:\Program Files\Network Associates\VirusScan\SHSTAT.exe" [2004-09-22 20:00 94208]
"McAfeeUpdaterUI"="C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50 139320]
"Network Associates Error Reporting Service"="C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe" [2003-10-07 09:48 147514]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 18:14 36975]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 11:22 7618560]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 11:22 86016 C:\WINDOWS\system32\nvmctray.dll]
"MsgCenterExe"="C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe" [ ]
"SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 14:25 57393]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 14:45 40960]
"SetDefPrt"="C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
"ControlCenter2.0"="C:\Program Files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Status Monitor.lnk - C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe [2007-10-10 15:09:32 802816]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i263_32.drv
"VIDC.JPEG"= JPEGCODE.DLL
"VIDC.MPEG"= JPEGCODE.DLL
"msacm.scg726"= scg726.acm
"msacm.alf2cd"= alf2cd.acm
"vidc.dvsd"= mcdvd_32.dll
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Fnt30.sys]
@="Driver"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2006-06-01 11:22 7618560 C:\WINDOWS\system32\NvCpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-06-01 11:22 86016 C:\WINDOWS\system32\nvmctray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-06-01 11:22 1519616 C:\WINDOWS\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50]
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-27 17:54:19
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-04-27 17:55:18
ComboFix-quarantined-files.txt 2008-04-27 15:55:12
ComboFix2.txt 2008-04-27 15:36:47
ComboFix3.txt 2008-02-14 07:54:17
Pre-Run: 21,613,142,016 bajtów wolnych
Post-Run: 21,604,700,160 bajtów wolnych
150 --- E O F --- 2008-01-17 10:21:03
nie mam pojęcia co to?huber2t napisał(a):
Wiesz co to za plik, jeśli nie to go usuńC:\wmv9VCMsetup.exe
27 Kwi 2008, 18:00
Przeskanuj ten plik
Log wyglada na czysty
Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
na http://virusscan.jotti.org/ Daj raport na forumC:\wmv9VCMsetup.exe
Log wyglada na czysty
Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
27 Kwi 2008, 18:09
pojawiło się, że nie ma niczego skażonegohuber2t napisał(a):Przeskanuj ten plikna http://virusscan.jotti.org/ Daj raport na forumC:\wmv9VCMsetup.exe
Log wyglada na czysty
Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
jeśli mogę prosić o cierpliwość, to jutro
bo to trochę trwa, a dziś muszę już niestety pożegnać mój wyczyszczony komp
na razie bardzo, ale to bardzo dziękuję ci za skuteczną pomoc i wskazówki
27 Kwi 2008, 18:22
Dobrze poczekam do jutra tylko podczas skanowania wybierz aby skanowało cały obszar komputera
28 Kwi 2008, 09:34
- Kod:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
28 kwiecień 2008 09:32:56
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus28/04/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus728406
-------------------------------------------------------------------------------
Ustawienia skanowania:
Skanowanie przy użyciu następujących baz danych: rozszerzone
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak
Obszar skanowania - Mój komputer:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
Statystyki skanowania:
Liczba skanowanych obiektów: 63445
Liczba wykrytych wirusów: 9
Liczba zainfekowanych obiektów: 77
Liczba podejrzanych obiektów: 0
Czas trwania skanowania: 01:14:57
Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie
C:\Deckard\System Scanner\20080427171322\backup\WINDOWS\temp\BN1.tmp Zainfekowanych: Email-Worm.Win32.Agent.ev pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Network Associates\BOPDATA\_Date-20080428_Time-081325296_EnterceptExceptions.dat Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Network Associates\BOPDATA\_Date-20080428_Time-081325296_EnterceptRules.dat Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Network Associates\Common Framework\Db\Agent_KOMOROWS-7ACD0D.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Network Associates\Common Framework\Db\PrdMgr_KOMOROWS-7ACD0D.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Network Associates\VirusScan\AccessProtectionLog.txt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Network Associates\VirusScan\BufferOverflowProtectionLog.txt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Network Associates\VirusScan\OnAccessScanLog.txt Object is locked pominięty
C:\Documents and Settings\Emilia\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\Emilia\Dane aplikacji\Mozilla\Firefox\Profiles\0ocdyzw8.default\cert8.db Object is locked pominięty
C:\Documents and Settings\Emilia\Dane aplikacji\Mozilla\Firefox\Profiles\0ocdyzw8.default\formhistory.dat Object is locked pominięty
C:\Documents and Settings\Emilia\Dane aplikacji\Mozilla\Firefox\Profiles\0ocdyzw8.default\history.dat Object is locked pominięty
C:\Documents and Settings\Emilia\Dane aplikacji\Mozilla\Firefox\Profiles\0ocdyzw8.default\key3.db Object is locked pominięty
C:\Documents and Settings\Emilia\Dane aplikacji\Mozilla\Firefox\Profiles\0ocdyzw8.default\parent.lock Object is locked pominięty
C:\Documents and Settings\Emilia\Dane aplikacji\Mozilla\Firefox\Profiles\0ocdyzw8.default\search.sqlite Object is locked pominięty
C:\Documents and Settings\Emilia\Dane aplikacji\Mozilla\Firefox\Profiles\0ocdyzw8.default\urlclassifier2.sqlite Object is locked pominięty
C:\Documents and Settings\Emilia\Moje dokumenty\@neostrada.pl\SecuredeMule_0108_EN_FF.EXE/WISE0015.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Shopper.r pominięty
C:\Documents and Settings\Emilia\Moje dokumenty\@neostrada.pl\SecuredeMule_0108_EN_FF.EXE WiseSFX: zainfekowany - 1 pominięty
C:\Documents and Settings\Emilia\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\Emilia\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\Emilia\UserData\index.dat Object is locked pominięty
C:\Documents and Settings\Emilia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\Emilia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\Emilia\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\0ocdyzw8.default\Cache\_CACHE_001_ Object is locked pominięty
C:\Documents and Settings\Emilia\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\0ocdyzw8.default\Cache\_CACHE_002_ Object is locked pominięty
C:\Documents and Settings\Emilia\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\0ocdyzw8.default\Cache\_CACHE_003_ Object is locked pominięty
C:\Documents and Settings\Emilia\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\0ocdyzw8.default\Cache\_CACHE_MAP_ Object is locked pominięty
C:\Documents and Settings\Emilia\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\Emilia\Ustawienia lokalne\Historia\History.IE5\MSHist012008042820080429\index.dat Object is locked pominięty
C:\Documents and Settings\Emilia\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-04-28.08-12-48.log Object is locked pominięty
C:\Program Files\Mozilla Firefox\plugins\NPMyGlSh.dll Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.i pominięty
C:\QooBox\Quarantine\C\lich.sys.vir Zainfekowanych: Rootkit.Win32.Agent.xm pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\cssrss.exe.vir Zainfekowanych: Backdoor.Win32.Agent.eis pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\WinNt32.dll.vir Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\WLCtrl32.dll.vir Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\QooBox\Quarantine\catchme2008-04-27_173121.20.zip/Tag52.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.lxa pominięty
C:\QooBox\Quarantine\catchme2008-04-27_173121.20.zip/Fnt30.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\QooBox\Quarantine\catchme2008-04-27_173121.20.zip ZIP: zainfekowany - 2 pominięty
C:\quarantine\14459.exe.Vir Object is locked pominięty
C:\quarantine\77636.exe.Vir Object is locked pominięty
C:\quarantine\Av-test.txt.Vir Object is locked pominięty
C:\quarantine\Av-test.txt.Vir.0 Object is locked pominięty
C:\quarantine\index[11].htm.Vir Object is locked pominięty
C:\quarantine\index[11].htm.Vir.0 Object is locked pominięty
C:\quarantine\index[12].htm.Vir Object is locked pominięty
C:\quarantine\index[13].htm.Vir Object is locked pominięty
C:\quarantine\index[13].htm.Vir.0 Object is locked pominięty
C:\quarantine\index[16].htm.Vir Object is locked pominięty
C:\quarantine\index[1].htm.Vir Object is locked pominięty
C:\quarantine\index[1].htm.Vir.0 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.1 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.10 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.11 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.12 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.13 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.2 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.3 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.4 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.5 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.6 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.7 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.8 Object is locked pominięty
C:\quarantine\index[1].htm.Vir.9 Object is locked pominięty
C:\quarantine\index[2].htm.Vir Object is locked pominięty
C:\quarantine\index[2].htm.Vir.0 Object is locked pominięty
C:\quarantine\index[2].htm.Vir.1 Object is locked pominięty
C:\quarantine\index[2].htm.Vir.2 Object is locked pominięty
C:\quarantine\index[3].htm.Vir Object is locked pominięty
C:\quarantine\index[3].htm.Vir.0 Object is locked pominięty
C:\quarantine\index[3].htm.Vir.1 Object is locked pominięty
C:\quarantine\index[3].htm.Vir.2 Object is locked pominięty
C:\quarantine\index[4].htm.Vir Object is locked pominięty
C:\quarantine\index[4].htm.Vir.0 Object is locked pominięty
C:\quarantine\index[5].htm.Vir Object is locked pominięty
C:\quarantine\index[5].htm.Vir.0 Object is locked pominięty
C:\quarantine\index[6].htm.Vir Object is locked pominięty
C:\quarantine\index[6].htm.Vir.0 Object is locked pominięty
C:\quarantine\index[7].htm.Vir Object is locked pominięty
C:\quarantine\index[7].htm.Vir.0 Object is locked pominięty
C:\quarantine\index[8].htm.Vir Object is locked pominięty
C:\quarantine\index[9].htm.Vir Object is locked pominięty
C:\quarantine\update[1].exe.Vir Object is locked pominięty
C:\quarantine\update[1].exe.Vir.0 Object is locked pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0158089.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0158090.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0158094.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0158098.sys Zainfekowanych: Rootkit.Win32.Agent.xm pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0159089.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0159090.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0159098.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0159099.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0159103.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0159107.sys Zainfekowanych: Rootkit.Win32.Agent.xm pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0159120.exe Zainfekowanych: Trojan-PSW.Win32.Agent.zr pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0159122.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0159123.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP93\A0159129.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0160116.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0160117.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0160122.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0160271.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0160272.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0160277.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0160283.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0160284.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0160289.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0161283.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0161284.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0161289.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0161293.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0161294.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0161300.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0162293.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0162294.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0162299.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0162304.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0162305.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0162309.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0163304.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0163305.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0163311.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0164304.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0164305.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0164310.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0164315.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0164316.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0164322.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0165315.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0165316.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0165320.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0165325.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0165326.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0165330.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0166325.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0166326.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0166331.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0167325.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0167326.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0167332.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0168329.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0168330.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0168335.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0169325.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0169326.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP94\A0169331.sys Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP95\A0169375.dll Zainfekowanych: Trojan-Downloader.Win32.Mutant.oo pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP95\A0169376.sys Zainfekowanych: Rootkit.Win32.Agent.xm pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP95\A0169382.dll Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\System Volume Information\_restore{C681A059-27C2-40B0-AFC9-B889C4EB3BBC}\RP96\change.log Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\Sti_Trace.log Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty
C:\WINDOWS\system32\drivers\sptd0317.sys Object is locked pominięty
C:\WINDOWS\system32\drivers\vaxscsi.sys Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\system32\WinData.cab Zainfekowanych: Trojan-Downloader.Win32.Agent.nsl pominięty
C:\WINDOWS\wiadebug.log Object is locked pominięty
C:\WINDOWS\wiaservc.log Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
Proces skanowania został zakończony.
28 Kwi 2008, 15:29
usuń ten folder z dysku:
usuń te pliki:
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
C:\Deckard
C:\QooBox
usuń te pliki:
C:\Documents and Settings\Emilia\Moje dokumenty\@neostrada.pl\SecuredeMule_0108_EN_FF.EXE
C:\Program Files\Mozilla Firefox\plugins\NPMyGlSh.dll
C:\WINDOWS\system32\WinData.cab
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
28 Kwi 2008, 17:41
Wszystko zrobione.
I zostawić w takiej postaci?
A co z tymi robakami? Są już usunięte?
I zostawić w takiej postaci?
A co z tymi robakami? Są już usunięte?