Jak usunąć Backdoor.IRCBot.fpm ?

[kokaz]

Czy ktoś zna i wie jak usunąć takie g., które wykryłem za pomocą "skanera on line mks vir", ale skaner wykrył, a nie chce usunąć lub naprawić. Co mam zrobić? może ktoś wie? I co to jest za g.?
wykryło tak:WINDOWS/system32/adptifo.dll Backdoor.IRCBot.fpm

Dzięki z góry za pomoc lub poradę

[huber2t]

Podaj log z Combofix

[kokaz]

Poniżej podaję wygenerowany log i proszę o informacje co do dalszego postępowania, dzięki:

ComboFix 08-10-16.08 - Administrator 2008-10-17 9:25:40.1 - NTFSx86
Użyto następujących komend :: C:\Documents and Settings\Administrator\Pulpit\WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
* Utworzono nowy punkt przywracania
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\3.exe
C:\WINDOWS\system32\appendt.exe

.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AVPX32
-------\Legacy_AVPX64
-------\Legacy_NETMANHELPSVC
-------\Service_Netmanhelpsvc


((((((((((((((((((((((((( Pliki utworzone od 2008-09-17 do 2008-10-17 )))))))))))))))))))))))))))))))
.

2009-07-17 19:23 . 2008-10-17 09:36 <DIR> d-------- C:\Program Files\PestPatrol
2009-07-17 19:23 . 2005-10-18 00:17 100,482 --a------ C:\WINDOWS\UninstallFirefox.exe
2009-07-17 19:23 . 2008-04-28 23:08 8,472 --a------ C:\WINDOWS\mozver.dat
2009-07-17 19:23 . 2009-07-17 19:23 1,737 --a------ C:\WINDOWS\SetupPestPatrolCorporate.mif
2009-07-17 19:22 . 2008-02-08 14:22 <DIR> d-------- C:\Program Files\ESET
2009-07-17 19:22 . 2009-07-17 19:22 245,760 --a------ C:\WINDOWS\system32\imon.dll
2009-07-17 19:22 . 2009-07-17 19:22 114,688 --a------ C:\WINDOWS\system32\nms32.dll
2009-07-17 19:22 . 2009-07-17 19:22 442 --a------ C:\WINDOWS\system32\mapisvc.inf
2008-10-06 23:13 . 2008-10-06 23:13 18,944 --ahs---- C:\WINDOWS\system32\adptifo.dll
2008-10-06 21:04 . 2008-10-15 09:03 176 --a-s---- C:\WINDOWS\system32\3704250193.dat
2008-09-17 20:59 . 2008-09-17 20:59 364 --a------ C:\drmHeader.bin
2008-09-17 14:22 . 2008-09-17 14:22 <DIR> d-------- C:\Program Files\bioVirtual

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-17 17:22 300,048 ----a-w C:\WINDOWS\system32\drivers\amon.sys
2008-10-15 11:00 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-10-14 13:49 --------- d-----w C:\Program Files\PWN
2008-10-02 10:52 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Skype
2008-09-15 15:40 1,846,272 ----a-w C:\WINDOWS\system32\win32k.sys
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-20 05:38 662,016 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-19 16:16 --------- d-----w C:\Program Files\Sun
2008-08-19 16:15 --------- d-----w C:\Program Files\Java
2008-08-14 13:46 2,181,632 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:46 2,059,008 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-03-21 19:29 92,064 ----a-w C:\Documents and Settings\Administrator\mqdmmdm.sys
2008-03-21 19:29 9,232 ----a-w C:\Documents and Settings\Administrator\mqdmmdfl.sys
2008-03-21 19:29 79,328 ----a-w C:\Documents and Settings\Administrator\mqdmserd.sys
2008-03-21 19:29 66,656 ----a-w C:\Documents and Settings\Administrator\mqdmbus.sys
2008-03-21 19:29 6,208 ----a-w C:\Documents and Settings\Administrator\mqdmcmnt.sys
2008-03-21 19:29 5,936 ----a-w C:\Documents and Settings\Administrator\mqdmwhnt.sys
2008-03-21 19:29 4,048 ----a-w C:\Documents and Settings\Administrator\mqdmcr.sys
2008-03-21 19:29 25,600 ----a-w C:\Documents and Settings\Administrator\usbsermptxp.sys
2008-03-21 19:29 22,768 ----a-w C:\Documents and Settings\Administrator\usbsermpt.sys
2007-09-27 15:02 2,510,070 ----a-w C:\WINDOWS\inf\SET1C1.tmp
2005-01-24 08:42 1,601,536 ----a-w C:\Documents and Settings\Administrator\Dane aplikacji\SecureTraveler.exe
.

------- Sigcheck -------

2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2007-10-30 18:53 360832 64798ecfa43d78c7178375fcdd16d8c8 C:\WINDOWS\$hf_mig$\KB941644\SP2QFE\tcpip.sys
2008-06-20 12:44 360960 744e57c99232201ae98c49168b918f48 C:\WINDOWS\$hf_mig$\KB951748\SP2QFE\tcpip.sys
2008-06-20 13:51 361600 9aefa14bd6b182d61e3119fa5f436d3d C:\WINDOWS\$hf_mig$\KB951748\SP3GDR\tcpip.sys
2008-06-20 13:59 361600 ad978a1b783b5719720cff204b666c8e C:\WINDOWS\$hf_mig$\KB951748\SP3QFE\tcpip.sys
2002-09-29 00:00 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys
2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\$NtUninstallKB941644$\tcpip.sys
2007-10-30 19:20 360064 90caff4b094573449a0872a0f919b178 C:\WINDOWS\$NtUninstallKB951748$\tcpip.sys
2004-08-03 23:14 359040 1745b00fc1141404b28f4b94f69a8871 C:\WINDOWS\ServicePackFiles\i386\tcpip.sys
2008-04-13 21:20 361344 93ea8d04ec73a85db02eb8805988f733 C:\WINDOWS\SoftwareDistribution\Download\85612d9569f9a4d033130e1ccf6503f1\tcpip.sys
2008-06-20 12:45 360320 1cc09561e21a48a7f649a40f18235860 C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 12:45 360320 1cc09561e21a48a7f649a40f18235860 C:\WINDOWS\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mRouterConfig"="C:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe" [2006-03-02 290816]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2006-09-15 2048000]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PestPatrol Control Center"="C:\PROGRA~1\PESTPA~1\PPControl.exe" [2004-11-15 98304]
"CookiePatrol"="C:\PROGRA~1\PESTPA~1\CookiePatrol.exe" [2005-01-10 73728]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 155648]
"PPMemCheck"="C:\PROGRA~1\PESTPA~1\PPMemCheck.exe" [2003-04-19 148480]
"SansaDispatch"="C:\Program Files\SanDisk\Sansa Updater\SansaDispatch.exe" [2007-10-22 75584]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-02-13 35328]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-02-16 282624]
"PC Suite for Smartphones"="C:\Program Files\Sony Ericsson\Mobile4\Application Launcher\Application Launcher.exe" [2007-05-28 528384]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
WinCinema Manager.lnk - C:\Program Files\Sandisk\Common\Bin\WinCinemaMgr.exe [2007-12-26 303104]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
"vidc.mpng"= C:\Program Files\t@b\0.958\686\tabdec.dll
"vidc.mvjp"= C:\Program Files\t@b\0.958\686\tabdec.dll
"vidc.444p"= C:\Program Files\t@b\0.958\686\tabdec.dll
"vidc.VP40"= vp4vfw.dll
"vidc.VP50"= vp5vfw.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microtek Scanner Finder.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microtek Scanner Finder.lnk
backup=C:\WINDOWS\pss\Microtek Scanner Finder.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiS KHooker]
--a------ 2003-02-13 22:29 286720 C:\WINDOWS\system32\Khooker.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Program Files\\Intuwave\\Shared\\mRouterRuntime\\mRouterRuntime.exe"=

R1 SiSEsc;SISLIB_ESC;C:\WINDOWS\system32\sisesc.sys [2003-02-24 23552]
R3 zebrceb;Sony Ericsson Cable Emulation Bus (WDM);C:\WINDOWS\system32\DRIVERS\zebrceb.sys [2007-04-13 62984]
S2 PGPmemlock;PGP secure memory driver;C:\WINDOWS\system32\drivers\PGPmemlock.sys [ ]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
S3 FTLUND;Lundinova Filter Driver;C:\WINDOWS\system32\drivers\ftlund.sys [2003-02-24 6828]
S3 iMSPCLOj;iMSPCLOj;C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\iMSPCLOj.sys [ ]
S3 soft Xpansion MSO2PDF;soft Xpansion MSO2PDF;C:\Program Files\soft Xpansion\Office to PDF\mso2pdf-serv.exe [2007-02-09 294912]
S3 WPEServ;WPEServ;C:\Program Files\Common Files\WPE\wpeserv.exe [2006-12-21 323584]
S3 zebrbus;Sony Ericsson Composite Device driver;C:\WINDOWS\system32\DRIVERS\zebrbus.sys [2007-04-13 83080]
S3 zebrmdfl;Sony Ericsson Modem Filter;C:\WINDOWS\system32\DRIVERS\zebrmdfl.sys [2007-04-13 15112]
S3 zebrmdm;Sony Ericsson Port (WDM);C:\WINDOWS\system32\DRIVERS\zebrmdm.sys [2007-04-13 108296]
S3 zebrmdmc;Sony Ericsson mRouter Port (WDM);C:\WINDOWS\system32\DRIVERS\zebrmdmc.sys [2007-04-13 108424]
S3 zebrsce;Sony Ericsson PC-Connect Port;C:\WINDOWS\system32\DRIVERS\zebrsce.sys [2007-04-13 90888]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8CBE177B-6D5E-2D5E-3B2D-25D8A434E8A7}]
C:\WINDOWS\windis.exe 2
.
Zawartość folderu 'Zaplanowane zadania'

2008-10-03 C:\WINDOWS\Tasks\1-Click Maintenance.job
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe []
.
- - - - USUNIĘTO PUSTE WPISY - - - -

SharedTaskScheduler-{429F4BB8-7BF7-4152-8011-3C6F9EB7E892} - (no file)
SharedTaskScheduler-{e5b1e382-817e-4b74-8a96-ec78751e6acf} - (no file)
Notify-WgaLogon - (no file)


.
------- Skan uzupełniający -------
.
FireFox -: Profile - C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.maria.przyjezierze.pl/o_osrodku.htm
FF -: plugin - C:\Program Files\DivX\DivX Content Uploader\npUpload.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-17 09:36:35
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

PROCES: C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\imon.dll
C:\Program Files\Eset\pr_imon.dll

PROCES: C:\WINDOWS\explorer.exe
C:\Program Files\ArcSoft\PhotoImpression 5\share\pihook.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\ESET\nod32krn.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Czas ukończenia: 2008-10-17 9:43:07 - komputer został uruchomiony ponownie [Administrator]
ComboFix-quarantined-files.txt 2008-10-17 07:42:47

Przed: 758 390 784 bajtów wolnych
Po: 686,821,376 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

194 --- E O F --- 2008-10-15 15:18:35

[huber2t]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

Driver::
PGPmemlock
iMSPCLOj

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PestPatrol Control Center"=-
"NeroFilterCheck"=-
"WinampAgent"=-
"QuickTime Task"=-
"PC Suite for Smartphones"=-
"Adobe Photo Downloader"=-
"Adobe Reader Speed Launcher"=-


Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://www.wklej.eu a w poście dajesz tylko link

[kokaz]

Zrobiłem wszystko zgodnie z Twoimi instrukcjami i poniżej wklejam adres do loga, ale podczas wykonywania tych czynności zdarzyły się rzecz, które nie wiem, czy powinny sie zdarzyć, a mianowicie
1. program nie zrestartował komputera sam, lecz ja musiałem go zresetować, a przed zresetowaniem pojawiła się na niebieskim tle informacja, że jest jakiś błąd, a na dole było napisane chyba "zrzucanie pamięci fizycznej" ?
2. po zrestartowaniu w trakcie dalszej pracy programu pojawiła się klepsydra informująca, że wystąpił błąd aplikacji i podany jakiś numer, czy coś takiego.
w każdym razie dzięki i czekam na dalsze instrukcje, jeżeli są potrzebne i co mam dalej zrobić.
http://www.wklej.eu/index.php?id=7f04862952

[huber2t]

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

[kokaz]

chyba wynik skanowania nie może zachwycić?! Poniżej go wklejam i co mam z tym zrobić?
18 październik 2008 22:14:20
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.1
Ostatnia aktualizacja Kaspersky Anti-Virus18/10/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus1320761
Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych rozszerzone
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Mój komputer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
Statystyki skanowania
Liczba skanowanych obiektów 77175
Liczba wykrytych wirusów 15
Liczba zainfekowanych obiektów 39
Liczba podejrzanych obiektów 0
Czas trwania skanowania 02:16:09

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie
C:\Documents and Settings\Administrator\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\cert8.db Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\content-prefs.sqlite Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\cookies.sqlite Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\downloads.sqlite Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\formhistory.sqlite Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\key3.db Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\parent.lock Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\permissions.sqlite Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\places.sqlite Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\places.sqlite-journal Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\search.sqlite Object is locked pominięty
C:\Documents and Settings\Administrator\Dane aplikacji\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\FM_log.txt Object is locked pominięty
C:\Documents and Settings\Administrator\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\Administrator\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Identities\{633803A4-4071-465A-AFAB-A09517180FD5}\Microsoft\Outlook Express\Folders.dbx Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Identities\{633803A4-4071-465A-AFAB-A09517180FD5}\Microsoft\Outlook Express\Offline.dbx Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Identities\{633803A4-4071-465A-AFAB-A09517180FD5}\Microsoft\Outlook Express\Pop3uidl.dbx Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Identities\{633803A4-4071-465A-AFAB-A09517180FD5}\Microsoft\Outlook Express\Skrzynka odbiorcza.dbx Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\Cache\_CACHE_001_ Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\Cache\_CACHE_002_ Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\Cache\_CACHE_003_ Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\Cache\_CACHE_MAP_ Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\l3q6zhrm.default\urlclassifier3.sqlite Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\etilqs_5GhtQcCg4aFq9emEkEWc Object is locked pominięty
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\kazik\ntuser.dat Object is locked pominięty
C:\Documents and Settings\kazik\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\kazik\ntuser.ini Object is locked pominięty
C:\Documents and Settings\kazik\Recent\Desktop.ini Object is locked pominięty
C:\Documents and Settings\kazik\Szablony\ACCESS9.MDB Object is locked pominięty
C:\Documents and Settings\kazik\Szablony\EXCEL9.XLS Object is locked pominięty
C:\Documents and Settings\kazik\Szablony\MSPUB.PUB Object is locked pominięty
C:\Documents and Settings\kazik\Szablony\PWRPNT11.POT Object is locked pominięty
C:\Documents and Settings\kazik\Szablony\WINWORD8.DOC Object is locked pominięty
C:\Documents and Settings\kazik\Ulubione\Desktop.ini Object is locked pominięty
C:\Documents and Settings\kazik\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT Object is locked pominięty
C:\Documents and Settings\kazik\Ustawienia lokalne\Dane aplikacji\Microsoft\Internet Explorer\MSIMGSIZ.DAT Object is locked pominięty
C:\Documents and Settings\kazik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\kazik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\kazik\Ustawienia lokalne\Historia\desktop.ini Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Program Files\ESET\infected\GW1XVDAA.NQF Zainfekowanych: Trojan.Win32.Agent.gk pominięty
C:\Program Files\ESET\infected\KH04AHBA.NQF Zainfekowanych: Trojan-Downloader.Win32.Agent.rc pominięty
C:\Program Files\ESET\infected\R5SDPBAA.NQF Zainfekowanych: Trojan.Win32.Agent.gk pominięty
C:\Program Files\ESET\logs\virlog.dat Object is locked pominięty
C:\Program Files\ESET\logs\warnlog.dat Object is locked pominięty
C:\Program Files\PestPatrol\Quarantine\20051018000001.zip/WINDOWS/NDNuninstall6_38.exe Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet pominięty
C:\Program Files\PestPatrol\Quarantine\20051018000001.zip/WINDOWS/NDNuninstall6_90.exe Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet.e pominięty
C:\Program Files\PestPatrol\Quarantine\20051018000001.zip/Program Files/newdotnet/uninstall6_38.exe Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet pominięty
C:\Program Files\PestPatrol\Quarantine\20051018000001.zip/Program Files/newdotnet/newdotnet6_90.dll Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet.e pominięty
C:\Program Files\PestPatrol\Quarantine\20051018000001.zip/Program Files/newdotnet/uninstall6_90.exe Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet.e pominięty
C:\Program Files\PestPatrol\Quarantine\20051018000001.zip/Program Files/newdotnet/newdotnet6_90.to_be_deleted Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet.e pominięty
C:\Program Files\PestPatrol\Quarantine\20051018000001.zip/Program Files/newdotnet/newdotnet6_90.to_be_deleted_x Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet.e pominięty
C:\Program Files\PestPatrol\Quarantine\20051018000001.zip ZIP: zainfekowany - 7 pominięty
C:\Program Files\PestPatrol\Quarantine\20051102234706.zip/WINDOWS/system32/child.dll Zainfekowanych: Trojan-Downloader.Win32.Small.bug pominięty
C:\Program Files\PestPatrol\Quarantine\20051102234706.zip ZIP: zainfekowany - 1 pominięty
C:\Program Files\PestPatrol\Quarantine\20060612231553.zip/WINDOWS/system32/1024/ld4035.tmp Zainfekowanych: Trojan-Downloader.Win32.Zlob.zk pominięty
C:\Program Files\PestPatrol\Quarantine\20060612231553.zip/WINDOWS/system32/1024/ld4DB2.tmp Zainfekowanych: Hoax.Win32.Renos.dv pominięty
C:\Program Files\PestPatrol\Quarantine\20060612231553.zip ZIP: zainfekowany - 2 pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\System Volume Information\_restore{568A0090-D089-4209-AAF4-6156DCAB2FB3}\RP1\change.log Object is locked pominięty
C:\WINDOWS\CSC\00000001 Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SchedLgU.Txt Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\Sti_Trace.log Object is locked pominięty
C:\WINDOWS\syscab\unicodbag.txt Zainfekowanych: Exploit.Win32.WebDir pominięty
C:\WINDOWS\syscab\unicod_ready Zainfekowanych: Exploit.Win32.WebDir pominięty
C:\WINDOWS\syscab\vrcab.dll Zainfekowanych: Backdoor.IRC.Ataka.i pominięty
C:\WINDOWS\system32\adptifo.dll Zainfekowanych: Backdoor.Win32.IRCBot.fpm pominięty
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\wiadebug.log Object is locked pominięty
C:\WINDOWS\wiaservc.log Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
D:\System Volume Information\_restore{568A0090-D089-4209-AAF4-6156DCAB2FB3}\RP1\change.log Object is locked pominięty
F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
F:\System Volume Information\_restore{568A0090-D089-4209-AAF4-6156DCAB2FB3}\RP1\change.log Object is locked pominięty
H:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
H:\System Volume Information\_restore{568A0090-D089-4209-AAF4-6156DCAB2FB3}\RP1\change.log Object is locked pominięty
I:\programy\fg140.exe/WISE0016.BIN/cd_clint.dll Zainfekowanych: not-a-virus:AdWare.Win32.Cydoor pominięty
I:\programy\fg140.exe/WISE0016.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Cydoor pominięty
I:\programy\fg140.exe WiseSFX: zainfekowany - 2 pominięty
I:\programy\Fgf096a.zip/setup.exe/WISE0075.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Aureate.a pominięty
I:\programy\Fgf096a.zip/setup.exe/WISE0076.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Aureate.a pominięty
I:\programy\Fgf096a.zip/setup.exe/WISE0077.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Aureate.a pominięty
I:\programy\Fgf096a.zip/setup.exe/WISE0078.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Aureate.a pominięty
I:\programy\Fgf096a.zip/setup.exe/WISE0079.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Aureate.a pominięty
I:\programy\Fgf096a.zip/setup.exe Zainfekowanych: not-a-virus:AdWare.Win32.Aureate.a pominięty
I:\programy\Fgf096a.zip ZIP: zainfekowany - 6 pominięty
I:\programy\getright45beta7.exe/WISE0092.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Gator.1050 pominięty
I:\programy\getright45beta7.exe WiseSFX: zainfekowany - 1 pominięty
I:\programy\PogoAuto401pw\PogoAuto401.msi/pogo_au1.CAB/Crappy.exe Zainfekowanych: Packed.Win32.Black.a pominięty
I:\programy\PogoAuto401pw\PogoAuto401.msi/pogo_au1.CAB/Madness.exe Zainfekowanych: Packed.Win32.Black.a pominięty
I:\programy\PogoAuto401pw\PogoAuto401.msi/pogo_au1.CAB Zainfekowanych: Packed.Win32.Black.a pominięty
I:\programy\PogoAuto401pw\PogoAuto401.msi Embedded: zainfekowany - 3 pominięty
I:\programy\SyxarVideoRndmzr.zip\SyxarVideoRndmzr.zip/Styxar Video Randomizer v1.0-Crk.exe/run.exe Zainfekowanych: Trojan-Downloader.Win32.IstBar.is pominięty
I:\programy\SyxarVideoRndmzr.zip\SyxarVideoRndmzr.zip/Styxar Video Randomizer v1.0-Crk.exe Zainfekowanych: Trojan-Downloader.Win32.IstBar.is pominięty
I:\programy\SyxarVideoRndmzr.zip\SyxarVideoRndmzr.zip ZIP: zainfekowany - 2 pominięty
I:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
I:\System Volume Information\_restore{568A0090-D089-4209-AAF4-6156DCAB2FB3}\RP1\change.log Object is locked pominięty
Proces skanowania został zakończony.

[huber2t]

Pobierz The Avenger

wklej do niego ten tekst:

Kod: Zaznacz wszystko

Files to delete:
C:\Program Files\ESET\infected\GW1XVDAA.NQF
C:\Program Files\ESET\infected\KH04AHBA.NQF
C:\Program Files\ESET\infected\R5SDPBAA.NQF
C:\Program Files\PestPatrol\Quarantine\20051018000001.zip
C:\Program Files\PestPatrol\Quarantine\20051102234706.zip
C:\Program Files\PestPatrol\Quarantine\20060612231553.zip
I:\programy\fg140.exe
I:\programy\Fgf096a.zip
I:\programy\getright45beta7.exe
I:\programy\PogoAuto401pw\PogoAuto401.msi
I:\programy\SyxarVideoRndmzr.zip\SyxarVideoRndmzr.zip/Styxar Video Randomizer v1.0-Crk.exe


kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

[kokaz]

zrobiłem jak napisałeś zgodnie z instrukcją krok po kroku, komp się zrestartował, ale tych plików nie ma na kompie: C:\Avenger\backup.zip, C:\avenger.txt !?

[kokaz]

sorki,jest ten plik i wklejam go poniżej
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Program Files\ESET\infected\GW1XVDAA.NQF" deleted successfully.
File "C:\Program Files\ESET\infected\KH04AHBA.NQF" deleted successfully.
File "C:\Program Files\ESET\infected\R5SDPBAA.NQF" deleted successfully.
File "C:\Program Files\PestPatrol\Quarantine\20051018000001.zip" deleted successfully.
File "C:\Program Files\PestPatrol\Quarantine\20051102234706.zip" deleted successfully.
File "C:\Program Files\PestPatrol\Quarantine\20060612231553.zip" deleted successfully.

Error: could not open file "I:\programy\fg140.exe"
Deletion of file "I:\programy\fg140.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "I:\programy\Fgf096a.zip"
Deletion of file "I:\programy\Fgf096a.zip" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "I:\programy\getright45beta7.exe"
Deletion of file "I:\programy\getright45beta7.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "I:\programy\PogoAuto401pw\PogoAuto401.msi"
Deletion of file "I:\programy\PogoAuto401pw\PogoAuto401.msi" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "I:\programy\SyxarVideoRndmzr.zip\SyxarVideoRndmzr.zip/Styxar Video Randomizer v1.0-Crk.exe"
Deletion of file "I:\programy\SyxarVideoRndmzr.zip\SyxarVideoRndmzr.zip/Styxar Video Randomizer v1.0-Crk.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

[huber2t]

Pliki sie pousuwały

[kokaz]

Czyli koniec? Jak tak to dzięki serdeczne!

[huber2t]

Tak, to już wszystko, skanuj okresowo Ccleanerem

[kokaz]

Dzięki, CCleaner jest szybki, więc skanuję nim codzienne i mimo to tych g... było aż tyle.
Dzięki

[kokaz]

Przy okazji oczyszczania kompa z tych śmieci stało się dodatkowo coś czego się nie spodziewałem. Mianowicie od ponad roku miałem zablokowane ikony we właściwościach pulpitu (pulpit/tło). Zgłaszałem to na rożnych forach, znajomym informatykom i nikt nie umiał tego problemu rozwiązać, wszyscy radzili, że jak tak bardzo mi na tym zależy to tylko ponowne postawienie systemu może pomóc. Tak bardzo mi nie zależało więc od ponad roku miałem po prostu niebieski kolor pulpitu i tyle. Teraz po tych czyszczeniach zgodnych z Twoimi instrukcjami przez przypadek zauważyłem ze nie ma już tego problemu i znowu mogę sobie rożne obrazki na pulpit wklejać!!! Może na podstawie analizy tego, co miałem do usunięcia z kompa, dojdziesz do tego co blokowało mi pulpit? Wtedy można by było innym podać od razu rozwiązanie problemu, jak coś takiego im się zdarzy.
Jeszcze raz dziekuję