Bardzo wolna praca komputera

**Posty:** 188 · przez **D3N** 17 Paź 2008, 19:48

Czołem, zwracam się z prośbą o przejrzenie logów. Powód? Wręcz slimacza szybkość otwierania/zamykania aplikacji. Podejrzewam infekcję, a raczej jest to wręcz pewne. Wrzucam logi z HJ. Log generowany jest z awaryjnego, gdybym próbował normalnie odpalić komputer zajęłoby mi to do jutra jak nie lepiej. Pozdrawiam i czekam na pomoc.

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:45:53, on 2008-10-18 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode with network support Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Program Files\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Program Files\FlashGet\getflash.dll O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" O4 - HKLM\..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: ATI Tray Tools.lnk = C:\Program Files\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe O8 - Extra context menu item: &Download All with FlashGet - D:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: &Download with FlashGet - D:\Program Files\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Program Files\FlashGet\FlashGet.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing) O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe -- End of file - 4499 bytes

**Posty:** 1340 · przez **eSpEY** 17 Paź 2008, 19:59

Kod: Zaznacz wszystko: O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)

Fix
daj log z combofixa
Odkurzacz posprząta dysk

**Posty:** 188 · przez **D3N** 17 Paź 2008, 20:13

Tego podanego przez ciebie wpisu po prostu nie da się usunąć. Wraca za każdym razem gdy wicksam Fix. Tymczasem log z combofixa:

Kod: Zaznacz wszystko: wComboFix 08-10-16.08 - Stv 2008-10-18 20:10:35.17 - NTFSx86 NETWORK Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1790 [GMT 2:00] Uruchomiony z: C:\Documents and Settings\Stv\Pulpit\ComboFix.exe . ((((((((((((((((((((((((( Pliki utworzone od 2008-09-18 do 2008-10-18 ))))))))))))))))))))))))))))))) . 2008-10-18 20:11 . 2008-10-18 20:11 53,248 --a------ C:\temp\catchme.dll 2008-10-16 14:56 . 2008-10-16 14:58 <DIR> d-------- C:\Program Files\SystemRequirementsLab 2008-10-16 14:55 . 2008-10-16 14:56 <DIR> d-------- C:\Documents and Settings\Stv\SystemRequirementsLab 2008-10-09 20:10 . 2006-02-04 03:50 5,174 --a------ C:\WINDOWS\system32\nppt9x.vxd 2008-10-09 20:10 . 2006-02-04 03:50 4,682 --a------ C:\WINDOWS\system32\npptNT2.sys 2008-10-08 22:43 . 2008-10-08 22:51 <DIR> d-------- C:\Documents and Settings\Stv\Dane aplikacji\GetRightToGo 2008-09-29 22:27 . 2008-09-29 22:33 <DIR> d-------- C:\Program Files\Curse . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-18 17:51 --------- d-----w C:\Documents and Settings\Stv\Dane aplikacji\mIRC 2008-10-18 17:35 --------- d-----w C:\Documents and Settings\Stv\Dane aplikacji\foobar2000 2008-10-18 17:32 368,564 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err 2008-10-17 18:10 --------- d-----w C:\Documents and Settings\Stv\Dane aplikacji\uTorrent 2008-10-09 18:03 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-10-03 16:44 137,480 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-10-03 16:43 183,120 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-10-01 17:35 --------- d-----w C:\Documents and Settings\Stv\Dane aplikacji\Skype 2008-10-01 16:45 --------- d-----w C:\Documents and Settings\Stv\Dane aplikacji\skypePM 2008-08-23 19:04 --------- d-----w C:\Documents and Settings\Stv\Dane aplikacji\TeamViewer 2008-08-16 22:16 22,328 ----a-w C:\Documents and Settings\Stv\Dane aplikacji\PnkBstrK.sys 2008-07-19 09:55 0 ----a-r C:\logwmemory.bin 2008-04-09 18:09 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat . ------- Sigcheck ------- 2002-08-29 02:58 332928 244a2f9816bc9b593957281ef577d976 C:\WINDOWS\$NtServicePackUninstall$\tcpip.sys 2004-08-03 23:14 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\ServicePackFiles\i386\tcpip.sys 2004-08-03 23:14 359040 6a603809f598332dbedd535bdbce313e C:\WINDOWS\system32\drivers\tcpip.sys . ((((((((((((((((((((((((((((( snapshot_2008-10-10_ 0.07.56.73 ))))))))))))))))))))))))))))))))))))))))) . + 2004-08-03 22:44:14 20,480 ----a-w C:\WINDOWS\system32\mssockyj.dll + 2004-08-03 22:44:14 6,903 ----a-w C:\WINDOWS\system32\wgfccnt.dll + 2004-08-03 22:44:14 65,536 ----a-w C:\WINDOWS\system32\winshl.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784] "DrvIcon"="C:\Program Files\Vista Drive Icon\DrvIcon.exe" [2008-04-13 49152] "AtiPTA"="atiptaxx.exe" [2006-02-22 C:\WINDOWS\system32\atiptaxx.exe] "RTHDCPL"="RTHDCPL.EXE" [2007-02-26 C:\WINDOWS\RTHDCPL.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360] C:\Documents and Settings\Stv\Menu Start\Programy\Autostart\ ATI Tray Tools.lnk - C:\Program Files\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.exe [2007-12-31 570528] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=wbsys.dll [HKLM\~\startupfolder\C:^Documents and Settings^Stv^Menu Start^Programy^Autostart^hamachi.lnk] path=C:\Documents and Settings\Stv\Menu Start\Programy\Autostart\hamachi.lnk backup=C:\WINDOWS\pss\hamachi.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE] --a------ 2008-03-15 01:50 233472 C:\Program Files\PowerISO\PWRISOVM.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] -ra------ 2008-02-06 18:21 21898024 C:\Program Files\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel] -r------- 2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Program Files\\uTorrent\\uTorrent.exe"= "C:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"= "D:\\Soldat\\Soldat.exe"= "D:\\Program Files\\Konnekt\\konnekt.exe"= "D:\\Program Files\\EA Games\\Battlefield 2\\BF2.exe"= "D:\\Program Files\\LimeWire\\LimeWire.exe"= "D:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"= "D:\\Program Files\\FlashGet\\flashget.exe"= "C:\\Program Files\\Skype\\Phone\\Skype.exe"= "D:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"= R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys [2007-04-26 302000] S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 75856] S1 atitray;atitray;C:\Program Files\Radeon Omega Drivers\v4.8.442\ATI Tray Tools\atitray.sys [2007-11-05 17952] S1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys [2007-04-26 72624] S2 SPF4;Sunbelt Personal Firewall 4;C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe [2007-04-26 1234480] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F] \Shell\AutoRun\command - F:\autorun.exe . . ------- Skan uzupełniający ------- . FireFox -: Profile - C:\Documents and Settings\Stv\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://onet.pl/ . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-18 20:11:20 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... C:\Documents and Settings\Stv\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\Cache.Trash C:\Documents and Settings\Stv\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\Cache.Trash\Trash C:\Documents and Settings\Stv\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\Cache.Trash\Trash\Cache skanowanie pomyślnie ukończone ukryte pliki: 3 ************************************************************************** . Czas ukończenia: 2008-10-18 20:12:02 ComboFix-quarantined-files.txt 2008-10-18 18:11:58 ComboFix2.txt 2008-10-18 18:00:17 ComboFix3.txt 2008-10-18 14:50:28 ComboFix4.txt 2008-10-17 19:10:27 ComboFix5.txt 2008-10-18 18:09:07 Przed: 24 121 483 264 bajtów wolnych Po: 24,113,557,504 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /usepmtimer /NoExecute=OptIn 125

**Posty:** 1340 · przez **eSpEY** 17 Paź 2008, 20:24

1. Ściągnij OTMoveIti go uruchom - odpal go jako CleanUp
Optymalizuj windowsa - [xxx]

**Posty:** 188 · przez **D3N** 17 Paź 2008, 22:12

Zrobiłem co napisałeś, nic. Zero zmian. System zamyka sie godzinę (dokładnie, troja zaczęła się o 20.00 poszedłem sprawdzić o 21.00 co z komputerem, on dalej probowal sie zamknąć skończył na zapisywaniu ustawień).

Zauważyłem, że winny może byc firewall... to właśnie na nim, gdy próbuje sie wczytać staje cały system. Nie mogę go usunąć, nawet w awaryjnym. Proszę o pomoc.

http://img293.imageshack.us/my.php?image=bladua8.jpg

**Posty:** 1340 · przez **eSpEY** 17 Paź 2008, 22:31

Wyłącz autorun firewalla i spróbuj wtedy go usunąć... (domyślam się że Personal Firewall)
Jeżeli nadal nie będzie chciał się odinstalować spróbuj go przeinstalować/naprawić

**Posty:** 188 · przez **D3N** 17 Paź 2008, 23:00

Firewall wywalony, komputer znacznie uległ polepszeniu... ale jest jedno ale :lol:

Dalej czekam z pol godziny, żeby sie zamknął.

**Posty:** 18165 · przez **wojtas** 18 Paź 2008, 12:23

Otworz notatnik i wklej w nim to:

Folder::
C:\temp

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

te plik/i :

C:\WINDOWS\system32\mssockyj.dll
C:\WINDOWS\system32\wgfccnt.dll
C:\WINDOWS\system32\winshl.dll

przesaknuj tu

http://virusscan.jotti.org/
http://www.virustotal.com/

i daj raporty ze skanow

**Posty:** 188 · przez **D3N** 18 Paź 2008, 13:37

Już myślałem że zostałem olany. Przeprowadziłem ten zabieg, który podałeś z combofixem. Problem polega w tym, że on wywalił cały temp, ale logu poprostu na dysku nie ma. Szukalem długo, loga nie ma.

Nie chce robić formatu komputera, mam bardzo dużo potrzebnych mi plików i wgrywanie tego od początku byłoby prawdziwą masakrą.

Skan 3 plików zakończył się w jednym pliku pozytywnie, winshl.dll jest trojanem, daje log.

Kod: Zaznacz wszystko: A-Squared Found Virus.Win32.VunDrop!IK AntiVir Found TR/Crypt.XPACK.Gen ArcaVir Found nothing Avast Found Win32:VunDrop AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing CPsecure Found nothing Dr.Web Found nothing F-Prot Antivirus Found W32/STZ_like!Generic (probable variant) F-Secure Anti-Virus Found nothing G DATA Found Win32:VunDrop Ikarus Found Virus.Win32.VunDrop Kaspersky Anti-Virus Found nothing NOD32 Found a variant of Win32/Agent.THO Norman Virus Control Found nothing Panda Antivirus Found nothing Sophos Antivirus Found Mal/Behav-204 VirusBuster Found nothing VBA32 Found nothing

Log tego samego pliku w innym scanerze.

Kod: Zaznacz wszystko: AhnLab-V3 2008.10.18.0 2008.10.17 - AntiVir 7.9.0.5 2008.10.17 TR/Crypt.XPACK.Gen Authentium 5.1.0.4 2008.10.18 W32/STZ_like!Generic Avast 4.8.1248.0 2008.10.15 Win32:VunDrop AVG 8.0.0.161 2008.10.17 Win32/Heur BitDefender 7.2 2008.10.18 - CAT-QuickHeal 9.50 2008.10.18 - ClamAV 0.93.1 2008.10.18 - DrWeb 4.44.0.09170 2008.10.18 - eSafe 7.0.17.0 2008.10.16 Suspicious File eTrust-Vet 31.6.6154 2008.10.17 - Ewido 4.0 2008.10.17 - F-Prot 4.4.4.56 2008.10.17 W32/STZ_like!Generic F-Secure 8.0.14332.0 2008.10.18 - Fortinet 3.113.0.0 2008.10.17 - GData 19 2008.10.18 Win32:VunDrop Ikarus T3.1.1.44.0 2008.10.18 Virus.Win32.VunDrop K7AntiVirus 7.10.498 2008.10.17 - Kaspersky 7.0.0.125 2008.10.18 - McAfee 5408 2008.10.17 - Microsoft 1.4005 2008.10.18 Trojan:Win32/Mesoum.A NOD32 3533 2008.10.17 a variant of Win32/Agent.THO Norman 5.80.02 2008.10.17 - Panda 9.0.0.4 2008.10.17 Suspicious file PCTools 4.4.2.0 2008.10.17 - Prevx1 V2 2008.10.18 Cloaked Malware Rising 20.66.51.00 2008.10.18 - SecureWeb-Gateway 6.7.6 2008.10.18 Trojan.Crypt.XPACK.Gen Sophos 4.34.0 2008.10.18 Mal/Behav-204 Sunbelt 3.1.1732.1 2008.10.18 - Symantec 10 2008.10.18 - TheHacker 6.3.1.0.118 2008.10.17 - TrendMicro 8.700.0.1004 2008.10.17 - VBA32 3.12.8.7 2008.10.17 - ViRobot 2008.10.18.1426 2008.10.18 - VirusBuster 4.5.11.0 2008.10.17 -

+ taka ciekawostka od avasta, która sygnalizuje, że tego w komputerze może być o wiele więcej.
http://img375.imageshack.us/my.php?image=zakraplaczss2.jpg

No prosze... a jednak... C:\WINDOWS\system32\mssockyj.dll

Kod: Zaznacz wszystko: SecureWeb-Gateway 6.7.6 2008.10.18 Win32.Malware.dam (suspicious)

Ostatni plik C:\WINDOWS\system32\wgfccnt.dll jest calkowicie czysty, sprawdzany w obu skanerach.

**Posty:** 18165 · przez **wojtas** 18 Paź 2008, 17:06

Otworz notatnik i wklej w nim to:

Kod: Zaznacz wszystko: File:: C:\WINDOWS\system32\mssockyj.dll C:\WINDOWS\system32\winshl.dll

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
oraz Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

**Posty:** 188 · przez **D3N** 18 Paź 2008, 19:32

Kod: Zaznacz wszystko: ------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT 19 październik 2008 19:13:53 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.1 Ostatnia aktualizacja Kaspersky Anti-Virus18/10/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus1320761 ------------------------------------------------------------------------------- Ustawienia skanowania: Skanowanie przy użyciu następujących baz danych: rozszerzone Skanuj archiwa: tak Skanuj pocztowe bazy danych: tak Obszar skanowania - Mój komputer: A:\ C:\ D:\ E:\ Statystyki skanowania: Liczba skanowanych obiektów: 93215 Liczba wykrytych wirusów: 9 Liczba zainfekowanych obiektów: 22 Liczba podejrzanych obiektów: 0 Czas trwania skanowania: 01:07:32 Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\cert8.db Object is locked pominięty C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\content-prefs.sqlite Object is locked pominięty C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\cookies.sqlite Object is locked pominięty C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\downloads.sqlite Object is locked pominięty C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\formhistory.sqlite Object is locked pominięty C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\key3.db Object is locked pominięty C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\parent.lock Object is locked pominięty C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\permissions.sqlite Object is locked pominięty C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\places.sqlite Object is locked pominięty C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\places.sqlite-journal Object is locked pominięty C:\Documents and Settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\search.sqlite Object is locked pominięty C:\Documents and Settings\x\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\x\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\x\Pulpit\Security\SmitfraudFix\Reboot.exe Zainfekowanych: not-a-virus:RiskTool.Win32.Reboot.f pominięty C:\Documents and Settings\x\Pulpit\Security\SmitfraudFix.exe/SmitfraudFix/Reboot.exe Zainfekowanych: not-a-virus:RiskTool.Win32.Reboot.f pominięty C:\Documents and Settings\x\Pulpit\Security\SmitfraudFix.exe RAR: zainfekowany - 1 pominięty C:\Documents and Settings\x\Pulpit\superfast\setup.exe/file1 Zainfekowanych: not-a-virus:RiskTool.Win32.Shutdown.c pominięty C:\Documents and Settings\x\Pulpit\superfast\setup.exe Inno: zainfekowany - 1 pominięty C:\Documents and Settings\x\Pulpit\superfast.zip/setup.exe/file1 Zainfekowanych: not-a-virus:RiskTool.Win32.Shutdown.c pominięty C:\Documents and Settings\x\Pulpit\superfast.zip/setup.exe Zainfekowanych: not-a-virus:RiskTool.Win32.Shutdown.c pominięty C:\Documents and Settings\x\Pulpit\superfast.zip ZIP: zainfekowany - 2 pominięty C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\Cache\_CACHE_001_ Object is locked pominięty C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\Cache\_CACHE_002_ Object is locked pominięty C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\Cache\_CACHE_003_ Object is locked pominięty C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\Cache\_CACHE_MAP_ Object is locked pominięty C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\vatfmz3e.default\urlclassifier3.sqlite Object is locked pominięty C:\Documents and Settings\x\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\x\Ustawienia lokalne\Historia\History.IE5\MSHist012008101920081020\index.dat Object is locked pominięty C:\Documents and Settings\x\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt Object is locked pominięty C:\Program Files\Super Fast Shutdown\shutdown.exe Zainfekowanych: not-a-virus:RiskTool.Win32.Shutdown.c pominięty C:\Program Files\Trend Micro\HijackThis\backups\backup-20070606-160938-319.dll Zainfekowanych: Trojan.Win32.Monder.gen pominięty C:\Program Files\Trend Micro\HijackThis\backups\backup-20080522-004234-591.dll Zainfekowanych: Trojan.Win32.Monder.gen pominięty C:\Program Files\Trend Micro\HijackThis\backups\backup-20080522-004249-722.dll Zainfekowanych: Trojan.Win32.Monder.gen pominięty C:\Program Files\Trend Micro\HijackThis\backups\backup-20080522-010021-569.dll Zainfekowanych: Trojan.Win32.Monder.gen pominięty C:\Program Files\Trend Micro\HijackThis\backups\backup-20080522-040227-114.dll Zainfekowanych: Trojan.Win32.Monder.gen pominięty C:\Program Files\Trend Micro\HijackThis\backups\backup-20080522-040446-545.dll Zainfekowanych: Trojan.Win32.Monder.gen pominięty C:\Program Files\Trend Micro\HijackThis\backups\backup-20080522-040929-419.dll Zainfekowanych: Trojan.Win32.Monder.gen pominięty C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty C:\System Volume Information\_restore{6B26E701-D71B-4E2F-A8F2-7D99E54FFF7F}\RP35\A0015587.exe Zainfekowanych: not-virus:Hoax.Win32.Renos.cvz pominięty C:\System Volume Information\_restore{6B26E701-D71B-4E2F-A8F2-7D99E54FFF7F}\RP56\A0049525.exe Zainfekowanych: Trojan.Win32.LowZones.gb pominięty C:\System Volume Information\_restore{6B26E701-D71B-4E2F-A8F2-7D99E54FFF7F}\RP56\A0049526.exe Zainfekowanych: Trojan-Downloader.Win32.Small.buy pominięty C:\System Volume Information\_restore{6B26E701-D71B-4E2F-A8F2-7D99E54FFF7F}\RP56\A0049527.exe Zainfekowanych: Trojan-Downloader.Win32.VB.epp pominięty C:\System Volume Information\_restore{6B26E701-D71B-4E2F-A8F2-7D99E54FFF7F}\RP56\A0049528.exe Zainfekowanych: Trojan-Downloader.Win32.Small.wfv pominięty C:\System Volume Information\_restore{6B26E701-D71B-4E2F-A8F2-7D99E54FFF7F}\RP56\change.log Object is locked pominięty C:\TMP\etilqs_1etkNYCE0czzmV9RJkC3 Object is locked pominięty C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty C:\WINDOWS\system32\config\ACEEvent.evt Object is locked pominięty C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\default Object is locked pominięty C:\WINDOWS\system32\config\default.LOG Object is locked pominięty C:\WINDOWS\system32\config\SAM Object is locked pominięty C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SECURITY Object is locked pominięty C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty C:\WINDOWS\system32\config\software Object is locked pominięty C:\WINDOWS\system32\config\software.LOG Object is locked pominięty C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\system Object is locked pominięty C:\WINDOWS\system32\config\system.LOG Object is locked pominięty C:\WINDOWS\system32\h323log.txt Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty C:\WINDOWS\temp\Perflib_Perfdata_640.dat Object is locked pominięty C:\WINDOWS\temp\_avast4_\Webshlock.txt Object is locked pominięty C:\WINDOWS\WindowsUpdate.log Object is locked pominięty D:\Program Files\mIRC\mirc.exe Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.632 pominięty D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty D:\System Volume Information\_restore{6B26E701-D71B-4E2F-A8F2-7D99E54FFF7F}\RP56\change.log Object is locked pominięty Proces skanowania został zakończony.

Przepraszam ze tak dlugo, troche to trwało. Problem jest w tym, że combofix nie zapisuje mi logów... szukałem dokładnie i poprostu logów nie ma. (ale pliki wywalil)

Kto jest na forum