Komputer zamula i pracuje tylko w trybie awaryjnym

przez **protective** » 15 Lip 2008, 22:12

Prosze o sprawdzenie log'a

ComboFix 08-07-14.2 - JUSTYNA 2008-07-15 15:51:15.2 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1033.18.353 [GMT -4:00]
Running from: C:\Documents and Settings\JUSTYNA\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\cookies.ini
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\ebxq.exe
C:\WINDOWS\system32\byXQKeCU.dll
C:\WINDOWS\system32\eijucjly.ini
C:\WINDOWS\system32\fccbYpOF.dll
C:\WINDOWS\system32\FOpYbccf.ini
C:\WINDOWS\system32\FOpYbccf.ini2
C:\WINDOWS\system32\guhquxmj.ini
C:\WINDOWS\system32\hbwuuqcp.ini
C:\WINDOWS\system32\hlyfzc.dll
C:\WINDOWS\system32\hsgmnovl.ini
C:\WINDOWS\system32\hwhtfn.dll
C:\WINDOWS\system32\kejbreid.ini
C:\WINDOWS\system32\kslpvs.dll
C:\WINDOWS\system32\lvbdyhwm.ini
C:\WINDOWS\system32\lwjiimrs.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nktqddya.ini
C:\WINDOWS\system32\nnckbxel.ini
C:\WINDOWS\system32\oosbdyyt.dll
C:\WINDOWS\system32\pkuixr.dll
C:\WINDOWS\system32\prgffbpp.ini
C:\WINDOWS\system32\svpxluap.dll
C:\WINDOWS\system32\tnhfdble.ini
C:\WINDOWS\system32\tyydbsoo.ini
C:\WINDOWS\system32\uitvlhpe.dll
C:\WINDOWS\system32\ukbsxdab.dll
C:\WINDOWS\system32\uqcjhrcd.ini
C:\WINDOWS\system32\usjtneig.dll
C:\WINDOWS\system32\wxvlhisl.dll
C:\WINDOWS\system32\xqejlz.dll
C:\WINDOWS\system32\yotukrue.ini

.
((((((((((((((((((((((((( Files Created from 2008-06-15 to 2008-07-15 )))))))))))))))))))))))))))))))
.

2008-07-14 18:59 . 2008-07-14 18:59 <DIR> d-------- C:\Program Files\Alwil Software
2008-06-30 09:53 . 2008-06-30 09:53 <DIR> d-------- C:\FR6CEWEB
2008-06-27 22:01 . 2008-06-27 22:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Comodo
2008-06-27 22:01 . 2008-06-27 21:28 102,400 --a------ C:\WINDOWS\system32\drivers\cavasm.sys
2008-06-27 22:01 . 2008-06-27 21:28 73,728 --a------ C:\WINDOWS\system32\CavEmLSP.dll
2008-06-27 21:28 . 2008-06-27 21:28 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-06-27 21:28 . 2008-06-27 21:28 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-06-27 21:28 . 2008-06-27 21:28 434,252 --a------ C:\WINDOWS\system32\MSVCRTD.DLL
2008-06-27 21:28 . 2008-06-27 21:28 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-06-27 21:28 . 2008-06-27 21:28 216,576 --a------ C:\WINDOWS\system32\monln.dll
2008-06-27 21:10 . 2008-06-27 22:01 <DIR> d-------- C:\Program Files\Comodo
2008-06-27 21:10 . 2008-06-27 21:10 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\BOC426
2008-06-27 21:10 . 2008-03-28 09:17 212,728 --a------ C:\WINDOWS\CMDLIC.DLL
2008-06-27 21:10 . 2008-03-28 09:16 205,560 --a------ C:\WINDOWS\UNBOC.EXE
2008-06-27 21:10 . 2004-08-04 03:56 22,528 --a------ C:\WINDOWS\system32\wsock32.dlb
2008-06-27 21:10 . 2008-07-02 15:37 7,943 --a------ C:\WINDOWS\BOC426.INI
2008-06-27 19:24 . 2008-06-30 10:13 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-06-27 19:24 . 2008-06-27 19:24 <DIR> d-------- C:\Documents and Settings\JUSTYNA\Application Data\Malwarebytes
2008-06-27 19:24 . 2008-06-27 19:24 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-27 19:24 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-27 19:24 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-27 19:04 . 2008-06-27 19:04 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-06-27 18:57 . 2008-06-27 19:11 3,002 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-27 18:48 . 2008-06-27 18:48 <DIR> d-------- C:\Program Files\Citrix

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 19:37 --------- d-----w C:\Program Files\eMule
2008-06-28 01:23 --------- d-----w C:\Program Files\FlashGet
2008-06-27 18:41 --------- d-----w C:\Program Files\SkanerOnline
2008-06-13 13:10 272,128 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 13:10 272,128 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-12 20:11 --------- d-----w C:\Documents and Settings\JUSTYNA\Application Data\Move Networks
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:18 1,287,680 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:18 1,287,680 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-24 02:16 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:40 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-22 07:39 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-20 05:07 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2005-08-15 00:01 32 -c--a-r C:\Documents and Settings\All Users\hash.dat
.

------- Sigcheck -------

2001-08-18 01:36 12800 0f7d9c87b0ce1fa520473119752c6f79 C:\WINDOWS\$NtServicePackUninstall$\svchost.exe
2004-08-04 03:56 14336 8f078ae4ed187aaabc0a305146de6716 C:\WINDOWS\ServicePackFiles\i386\svchost.exe
2004-08-04 03:56 17408 1210bc18bbce51140c67482c3854bf7e C:\WINDOWS\system32\svchost.exe

2002-08-29 06:41 516608 2246d8d8f4714a2cedb21ab9b1849abb C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
2004-08-04 03:56 502272 01c3346c241652f43aed8e2149881bfe C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2004-08-04 03:56 506368 758acccb093fde97bb18fb1126a01db5 C:\WINDOWS\system32\winlogon.exe

2007-06-13 06:23 1035776 f0fc8794dd502f2500b367c7259cce35 C:\WINDOWS\explorer.exe
2007-06-13 07:26 1033216 7712df0cdde3a5ac89843e61cd5b3658 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2002-08-29 06:41 1004032 a82b28bfc2e4455fe43022a498c0ef0a C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2004-08-04 03:56 1032192 a0732187050030ae399b241436565e64 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2004-08-04 03:56 1032192 a0732187050030ae399b241436565e64 C:\WINDOWS\ServicePackFiles\i386\explorer.exe

2001-08-18 01:36 101376 e3df4a0252d287c44606ee55355e1623 C:\WINDOWS\$NtServicePackUninstall$\services.exe
2004-08-04 03:56 108032 c6ce6eec82f187615d1002bb3bb50ed4 C:\WINDOWS\ServicePackFiles\i386\services.exe
2004-08-04 03:56 110592 ea55c86c5bac1e0d0553281590cf0388 C:\WINDOWS\system32\services.exe

2002-08-29 06:41 11776 b2b6ba905d0e3f8a32a0eb3b4051807b C:\WINDOWS\$NtServicePackUninstall$\lsass.exe
2004-08-04 03:56 13312 84885f9b82f4d55c6146ebf6065d75d2 C:\WINDOWS\ServicePackFiles\i386\lsass.exe
2004-08-04 03:56 14848 f675bb085825770748ff0d99c423dae2 C:\WINDOWS\system32\lsass.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Creative Detector"="C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 18:23 102400]
"Zinio DLM"="C:\Program Files\Zinio\ZinioDeliveryManager.exe" [2006-02-15 13:47 1003590]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 17:22 1916928]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 03:56 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ulead AutoDetector"="C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2003-02-27 21:48 45056]
"RoxioEngineUtility"="C:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe" [2003-05-01 21:44 65536]
"RoxioDragToDisc"="C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" [2004-01-09 19:01 868352]
"cnfgCav"="C:\Program Files\Comodo\Comodo AntiVirus\CMain.exe" [2008-06-27 21:28 110592]
"cavUPSDBMaker"="C:\Program Files\Comodo\Comodo AntiVirus\UPSDBMaker.exe" [2008-06-27 21:28 307200]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-07-16 17:20 98304]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-15 19:19 79224]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Microtek Scanner Finder.lnk - C:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe [2006-10-27 10:56:41 335872]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\monln]
2008-06-27 21:28 216576 C:\WINDOWS\system32\monln.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Program Files\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"29872:TCP"= 29872:TCP:PORT_29872
"64519:TCP"= 64519:TCP:PORT_64519
"37149:TCP"= 37149:TCP:PORT_37149
"5375:TCP"= 5375:TCP:PORT_5375
"10610:TCP"= 10610:TCP:PORT_10610
"12993:TCP"= 12993:TCP:PORT_12993
"40720:TCP"= 40720:TCP:PORT_40720
"36383:TCP"= 36383:TCP:PORT_36383
"36016:TCP"= 36016:TCP:PORT_36016
"50938:TCP"= 50938:TCP:PORT_50938
"44657:TCP"= 44657:TCP:PORT_44657
"52718:TCP"= 52718:TCP:PORT_52718
"19460:TCP"= 19460:TCP:PORT_19460
"10018:TCP"= 10018:TCP:PORT_10018
"55258:TCP"= 55258:TCP:PORT_55258
"11589:TCP"= 11589:TCP:PORT_11589
"52348:TCP"= 52348:TCP:PORT_52348
"25955:TCP"= 25955:TCP:PORT_25955
"34824:TCP"= 34824:TCP:PORT_34824
"38446:TCP"= 38446:TCP:PORT_38446
"39604:TCP"= 39604:TCP:PORT_39604
"20067:TCP"= 20067:TCP:PORT_20067
"29402:TCP"= 29402:TCP:PORT_29402
"63395:TCP"= 63395:TCP:PORT_63395
"29224:TCP"= 29224:TCP:PORT_29224
"15474:TCP"= 15474:TCP:PORT_15474
"64938:TCP"= 64938:TCP:PORT_64938
"17526:TCP"= 17526:TCP:PORT_17526
"55655:TCP"= 55655:TCP:PORT_55655
"26113:TCP"= 26113:TCP:PORT_26113
"13066:TCP"= 13066:TCP:PORT_13066
"27363:TCP"= 27363:TCP:PORT_27363
"20018:TCP"= 20018:TCP:PORT_20018
"21254:TCP"= 21254:TCP:PORT_21254
"30640:TCP"= 30640:TCP:PORT_30640
"60860:TCP"= 60860:TCP:PORT_60860
"63886:TCP"= 63886:TCP:PORT_63886
"65293:TCP"= 65293:TCP:PORT_65293
"12705:TCP"= 12705:TCP:PORT_12705
"38695:TCP"= 38695:TCP:PORT_38695
"44336:TCP"= 44336:TCP:PORT_44336
"7270:TCP"= 7270:TCP:PORT_7270
"13242:TCP"= 13242:TCP:PORT_13242
"35169:TCP"= 35169:TCP:PORT_35169
"52176:TCP"= 52176:TCP:PORT_52176
"21703:TCP"= 21703:TCP:PORT_21703
"17058:TCP"= 17058:TCP:PORT_17058
"6094:TCP"= 6094:TCP:PORT_6094
"20976:TCP"= 20976:TCP:PORT_20976
"13648:TCP"= 13648:TCP:PORT_13648
"21379:TCP"= 21379:TCP:PORT_21379
"53165:TCP"= 53165:TCP:PORT_53165
"63876:TCP"= 63876:TCP:PORT_63876
"32227:TCP"= 32227:TCP:PORT_32227
"58402:TCP"= 58402:TCP:PORT_58402
"26945:TCP"= 26945:TCP:PORT_26945
"23613:TCP"= 23613:TCP:PORT_23613
"42190:TCP"= 42190:TCP:PORT_42190
"46273:TCP"= 46273:TCP:PORT_46273
"5129:TCP"= 5129:TCP:PORT_5129
"17441:TCP"= 17441:TCP:PORT_17441
"11358:TCP"= 11358:TCP:PORT_11358
"47945:TCP"= 47945:TCP:PORT_47945
"62504:TCP"= 62504:TCP:PORT_62504
"29207:TCP"= 29207:TCP:PORT_29207
"63868:TCP"= 63868:TCP:PORT_63868
"19056:TCP"= 19056:TCP:PORT_19056
"19508:TCP"= 19508:TCP:PORT_19508
"20289:TCP"= 20289:TCP:PORT_20289
"41976:TCP"= 41976:TCP:PORT_41976
"42636:TCP"= 42636:TCP:PORT_42636
"56367:TCP"= 56367:TCP:PORT_56367
"6601:TCP"= 6601:TCP:PORT_6601
"5832:TCP"= 5832:TCP:PORT_5832
"64568:TCP"= 64568:TCP:PORT_64568
"47795:TCP"= 47795:TCP:PORT_47795
"15321:TCP"= 15321:TCP:PORT_15321
"52648:TCP"= 52648:TCP:PORT_52648
"34274:TCP"= 34274:TCP:PORT_34274
"42426:TCP"= 42426:TCP:PORT_42426
"25760:TCP"= 25760:TCP:PORT_25760
"6367:TCP"= 6367:TCP:PORT_6367
"21659:TCP"= 21659:TCP:PORT_21659
"50116:TCP"= 50116:TCP:PORT_50116
"31822:TCP"= 31822:TCP:PORT_31822
"35973:TCP"= 35973:TCP:PORT_35973
"27235:TCP"= 27235:TCP:PORT_27235
"10653:TCP"= 10653:TCP:PORT_10653
"65523:TCP"= 65523:TCP:PORT_65523
"61189:TCP"= 61189:TCP:PORT_61189
"15683:TCP"= 15683:TCP:PORT_15683
"15001:TCP"= 15001:TCP:PORT_15001
"56200:TCP"= 56200:TCP:PORT_56200
"54282:TCP"= 54282:TCP:PORT_54282
"31973:TCP"= 31973:TCP:PORT_31973
"63728:TCP"= 63728:TCP:PORT_63728
"53331:TCP"= 53331:TCP:PORT_53331
"57925:TCP"= 57925:TCP:PORT_57925
"21450:TCP"= 21450:TCP:PORT_21450
"37000:TCP"= 37000:TCP:PORT_37000
"7388:TCP"= 7388:TCP:PORT_7388
"46756:TCP"= 46756:TCP:PORT_46756
"61819:TCP"= 61819:TCP:PORT_61819
"48043:TCP"= 48043:TCP:PORT_48043
"33961:TCP"= 33961:TCP:PORT_33961
"30461:TCP"= 30461:TCP:PORT_30461
"60512:TCP"= 60512:TCP:PORT_60512
"38488:TCP"= 38488:TCP:PORT_38488
"11901:TCP"= 11901:TCP:PORT_11901
"13450:TCP"= 13450:TCP:PORT_13450
"64902:TCP"= 64902:TCP:PORT_64902
"53879:TCP"= 53879:TCP:PORT_53879
"30481:TCP"= 30481:TCP:PORT_30481

S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-15 19:20]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-15 19:16]
S3 GoToAssist Express Customer;GoToAssist Express Customer;C:\Program Files\Citrix\GoToAssist Express Customer\86\g2ax_service.exe Start=service []

.
Contents of the 'Scheduled Tasks' folder
"2008-07-14 20:14:12 C:\WINDOWS\Tasks\At1.job"
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-AQ3HelperStartUp - C:\PROGRA~1\AQUATI~1\AQ3HEL~1.EXE
HKLM-Run-84b7c042 - C:\WINDOWS\system32\oosbdyyt.dll
Notify-GoToAssist Express Customer - C:\Program Files\Citrix\GoToAssist Express Customer\86\g2ax_winlogon.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 15:52:59
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-07-15 15:58:29
ComboFix-quarantined-files.txt 2008-07-15 19:58:18

Pre-Run: 39,302,778,880 bytes free
Post-Run: 39,296,135,168 bytes free

277 --- E O F --- 2008-06-20 15:01:50

przez **huber2t** » 16 Lip 2008, 03:08

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko: File:: C:\WINDOWS\system32\monln.dll C:\WINDOWS\Tasks\At1.job Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\monln]

Plik

zapisz jako

CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu/ a w poście dajesz tylko link

przez **protective** » 17 Lip 2008, 00:18

nastepny log. nie wiem czy dobrze wklejony na wklejto.pl ale nigdy nie korzystalam z tego serwisu.

prosze o sprawdze loga

http://wklejto.pl/5956

przez **huber2t** » 17 Lip 2008, 05:42

otwórz notatnik i wklej

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"84b7c042"=-

Z menu Notatnika

Plik

Zapisz jako

Zmień rozszerzenie z .txt na wszystkie pliki

zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

przez **protective** » 19 Lip 2008, 10:27

raport z Kaspersky'ego

KASPERSKY ONLINE SCANNER REPORT
19 lipiec 2008 04:21:16
System operacyjny: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus19/07/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus970804

Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych rozszerzone
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer
A:\
C:\
D:\
O:\
X:\

Statystyki skanowania
Liczba skanowanych obiektów 173654
Liczba wykrytych wirusów 11
Liczba zainfekowanych obiektów 34
Liczba podejrzanych obiektów 3
Czas trwania skanowania 02:26:04

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Outlook\outlook.pst/Foldery osobiste/Skrzynka odbiorcza/09 Jul 2008 19:50 from Chase Online:[*****SPAM*****] urgent secu/09 Jul 2008 19:50 to Redakcja:urgent security notification..html Podejrzanych: Trojan-Spy.HTML.Fraud.gen pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Outlook\outlook.pst/Foldery osobiste/Skrzynka odbiorcza/15 Jul 2008 14:16 from Chase:[*****SPAM*****] Account notificati/15 Jul 2008 14:16 to Redakcja:Account notification! (Tue, 15 Jul.html Podejrzanych: Trojan-Spy.HTML.Fraud.gen pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Outlook\outlook.pst MailMSMaill: podejrzany - 2 pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\History\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\JUSTYNA\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\JUSTYNA\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197\A0158447.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197\A0158454.exe Zainfekowanych: Trojan.Win32.Vapsup.hgn pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197\A0158455.dll Zainfekowanych: Trojan.Win32.Vapsup.hfx pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197\A0158456.dll Zainfekowanych: Trojan.Win32.Vapsup.hgn pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1200\A0160602.exe Zainfekowanych: not-a-virus:RiskTool.Win32.Reboot.f pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1200\A0160752.dll Zainfekowanych: not-a-virus:AdWare.Win32.Virtumonde.zvs pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1201\A0161808.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1202\A0165977.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1202\A0165978.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1203\A0166086.dll Zainfekowanych: Trojan.Win32.Monder.alm pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1204\A0167086.dll Zainfekowanych: Trojan.Win32.Monder.alh pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1204\A0169086.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1205\A0171138.dll Zainfekowanych: Trojan.Win32.Monder.als pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1206\A0172138.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1208\A0178223.dll Zainfekowanych: Trojan.Win32.Monder.alx pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0179315.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184381.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184382.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184383.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184384.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184385.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184386.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184387.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184388.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184389.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184390.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184391.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184392.dll Zainfekowanych: Trojan.Win32.Monderb.gen pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209\A0184407.exe Zainfekowanych: Trojan.Win32.Vapsup.hgn pominięty

C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1212\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\explorer.exe Zainfekowanych: Trojan.Win32.Patched.aa pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\lsass.exe Zainfekowanych: Trojan.Win32.Patched.aa pominięty

C:\WINDOWS\system32\services.exe Zainfekowanych: Trojan.Win32.Patched.aa pominięty

C:\WINDOWS\system32\svchost.exe Zainfekowanych: Trojan.Win32.Patched.aa pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\system32\winlogon.exe Zainfekowanych: Trojan.Win32.Patched.aa pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

Proces skanowania został zakończony.

przez **huber2t** » 19 Lip 2008, 10:33

Pobierz The Avenger

wklej do niego ten tekst:

Kod: Zaznacz wszystko: Files to delete: C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Outlook\outlook.pst Folders to delete: C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197 C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1200 C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1201 C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1202 C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1203 C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1204 C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1205 C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1206 C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1208 C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Najpierw wykonaj to, masz zainfekowane pliki systemowe któe będzie trzeba naprawić, ale najpierw to zrób

przez **protective** » 20 Lip 2008, 22:41

raport:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Documents and Settings\JUSTYNA\Local Settings\Application Data\Microsoft\Outlook\outlook.pst" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1197" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1200" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1201" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1202" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1203" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1204" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1205" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1206" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1208" deleted successfully.
Folder "C:\System Volume Information\_restore{4E4ECD0F-3EF2-446D-9329-2A24EB5506A6}\RP1209" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

przez **huber2t** » 21 Lip 2008, 05:39

Wszystko się pousuwało

Powinno być ok

przez **protective** » 22 Lip 2008, 02:44

ok

dziekuje w takim razie bardzo

Komputer zamula i pracuje tylko w trybie awaryjnym

Komputer zamula i pracuje tylko w trybie awaryjnym

Kto jest na forum