Pelno wirusow ktorych nie ma....

**Posty:** 720 · przez **Devilek** 21 Wrz 2008, 18:47

Postanowilem sobie zrobic skana calego kompa (przy uzyciu pandy online) i pojawil sie problem bo jest pelno wirusow ktorych nie ma (nie ma takiego pliku zadnego nigdzie).... wie ktos jak temu zaradzic ?

Skan z Pandy

Kod: Zaznacz wszystko: 00097560 HackTool/PassRead.A HackTools No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Gadu-Gadu\backup\Devil\gpr.exe 00119206 Trj/Antinap.A Virus/Trojan No 0 Yes No E:\folder.htt 00119206 Trj/Antinap.A Virus/Trojan No 0 Yes No F:\folder.htt 00120941 W32/Hoodtray.A.worm Virus/Worm No 0 Yes No C:\Documents and Settings\Damian\Recent\Recent.exe 00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.doubleclick.net/] 00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.tradedoubler.com/] 00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.tradedoubler.com/] 00167744 Cookie/GoStats TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.gostats.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00167753 Cookie/Statcounter TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.statcounter.com/] 00194327 Cookie/Go TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.go.com/] 00194327 Cookie/Go TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.go.com/] 00194327 Cookie/Go TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.go.com/] 00194327 Cookie/Go TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.go.com/] 00194327 Cookie/Go TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.go.com/] 00194327 Cookie/Go TrackingCookie No 0 Yes No C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cookies.txt[.go.com/] 00282813 W32/Perlovga.A.worm Virus/Worm No 0 Yes No C:\copy.exe 00282813 W32/Perlovga.A.worm Virus/Worm No 0 Yes No F:\copy.exe 00282813 W32/Perlovga.A.worm Virus/Worm No 0 Yes No E:\copy.exe 00282813 W32/Perlovga.A.worm Virus/Worm No 0 Yes No C:\WINDOWS\xcopy.exe 00291864 Trj/Dropper.UN Virus/Trojan No 1 Yes No F:\host.exe 00291864 Trj/Dropper.UN Virus/Trojan No 1 Yes No C:\host.exe 00291864 Trj/Dropper.UN Virus/Trojan No 1 Yes No E:\host.exe 00291864 Trj/Dropper.UN Virus/Trojan No 1 Yes No C:\WINDOWS\svchost.exe 00292040 W32/Nethood.B.worm Virus No 0 Yes No C:\Program Files\NetMeeting\folder.htt 00292040 W32/Nethood.B.worm Virus No 0 Yes No C:\Documents and Settings\Damian\PrintHood\folder.htt 00292040 W32/Nethood.B.worm Virus No 0 Yes No E:\Gry\folder.htt 00292040 W32/Nethood.B.worm Virus No 0 Yes No F:\Filmy\The Mist\folder.htt 00292040 W32/Nethood.B.worm Virus No 0 Yes No C:\Documents and Settings\folder.htt 00292040 W32/Nethood.B.worm Virus No 0 Yes No E:\Programy\folder.htt 00292040 W32/Nethood.B.worm Virus No 0 Yes No E:\Programy\Alcohol120\folder.htt 00296652 Trj/Perlovga.B Virus/Trojan No 0 Yes No C:\WINDOWS\system32\temp1.exe 00364849 Adware/SaveNow Adware No 0 Yes No C:\Program Files\DAEMON Tools\SetupDTSB.exe 00364850 Adware/SaveNow Adware No 0 No No C:\Program Files\DAEMON Tools\SetupDTSB.exe[C:\Program Files\DAEMON Tools\SetupDTSB.exe][DaemonTools_WhenUSave_Installer.exe] 01076997 Generic Trojan Virus/Trojan No 0 Yes No C:\Gry\Gothic III\Gothic3.exe 01076997 Generic Trojan Virus/Trojan No 0 No No E:\Gry\Gothic\Gothic III\Gothic3v1.12NoDVDFixedexeEuro.rar[Gothic3.exe] 02414229 Bck/Agent.GTC Virus/Trojan No 1 Yes No C:\WINDOWS\system32\temp2.exe 02884116 W32/Perlovga.A.worm Virus/Worm No 0 Yes No F:\autorun.inf 02884116 W32/Perlovga.A.worm Virus/Worm No 0 Yes No C:\WINDOWS\autorun.inf 02884116 W32/Perlovga.A.worm Virus/Worm No 0 Yes No C:\autorun.inf 02884116 W32/Perlovga.A.worm Virus/Worm No 0 Yes No E:\autorun.inf 03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Program Files\mIRC\authpatch.exe

Hijack

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:45:19, on 2008-09-21 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\mIRC\mirc.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Damian\Pulpit\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe O1 - Hosts: 217.79.177.181 uni1.en.x-wars.net O1 - Hosts: 217.79.177.181 en.x-wars.net O1 - Hosts: 217.79.177.181 pt.x-wars.net O1 - Hosts: 217.79.177.181 uni1.pt.x-wars.net O1 - Hosts: 217.79.177.181 fr.x-wars.net O1 - Hosts: 217.79.177.181 uni2.fr.x-wars.net O1 - Hosts: 217.79.177.181 uni1.pl.x-wars.net O1 - Hosts: 217.79.177.181 pl.x-wars.net O1 - Hosts: 217.79.177.181 images.x-wars.net O1 - Hosts: 217.79.177.181 uni1.en.x-wars.net O1 - Hosts: 217.79.177.181 en.x-wars.net O1 - Hosts: 217.79.177.181 uni1.en.x-wars.net O1 - Hosts: 217.79.177.181 graphicpacks.x-wars.net O1 - Hosts: 217.79.177.181 www.x-wars.net O1 - Hosts: 85.232.232.39 www.dadxwars.cba.pl O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [TempCom] C:\WINDOWS\FONTS\201C9.com O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe" clear O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe" O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4446591F-3BB0-4C06-9140-D52388D66918}: NameServer = 83.142.120.242 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 6111 bytes

**Posty:** 18165 · przez **wojtas** 21 Wrz 2008, 18:54

są wirusy

Wykonaj to co jest podane w tym temacie

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz daj loga z hijacka

**Posty:** 720 · przez **Devilek** 21 Wrz 2008, 19:17

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:15:51, on 2008-09-21 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Damian\Pulpit\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4446591F-3BB0-4C06-9140-D52388D66918}: NameServer = 83.142.120.242 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- End of file - 5107 bytes

Kod: Zaznacz wszystko: [b]SDFix: Version 1.227 [/b] Run by Administrator on 2008-09-21 at 19:06 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix [b]Checking Services [/b]: Restoring Default Security Values Restoring Default Hosts File Rebooting [b]Checking Files [/b]: No Trojan Files Found Removing Temp Files [b]ADS Check [/b]: [b]Final Check [/b]: catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-21 19:11:09 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s1"=dword:2df9c43f "s2"=dword:110480d0 "h0"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="C:\Program Files\Alcohol Soft\Alcohol 120\" "h0"=dword:00000001 "ujdew"=hex:16,84,66,18,28,2e,a7,9b,70,9f,f0,69,a3,73,43,79,7f,f8,d8,1f,36,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Program Files\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:81,f3,0d,d0,21,18,b3,fa,b4,bb,fa,dd,b4,52,bc,59,38,a8,48,4c,09,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,b1,27,cb,9b,fe,b2,d4,93,91,e2,fd,f7,ef,8f,6f,03,17,.. "khjeh"=hex:9a,de,c8,23,16,a8,0b,b7,bc,f6,b7,5e,79,a7,08,6f,aa,fb,49,eb,5d,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:8e,84,c2,b1,ff,cd,b9,f9,34,78,7b,05,fe,86,25,5d,5a,97,1b,bb,22,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:9c,a2,94,8f,3f,bf,4a,a0,81,92,0d,ac,ba,b7,09,72,e1,e9,96,72,40,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04] "p0"="C:\Program Files\Alcohol Soft\Alcohol 120\" "h0"=dword:00000001 "ujdew"=hex:16,84,66,18,28,2e,a7,9b,70,9f,f0,69,a3,73,43,79,7f,f8,d8,1f,36,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Program Files\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:81,f3,0d,d0,21,18,b3,fa,b4,bb,fa,dd,b4,52,bc,59,38,a8,48,4c,09,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,b1,27,cb,9b,fe,b2,d4,93,91,e2,fd,f7,ef,8f,6f,03,17,.. "khjeh"=hex:9a,de,c8,23,16,a8,0b,b7,bc,f6,b7,5e,79,a7,08,6f,aa,fb,49,eb,5d,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:8e,84,c2,b1,ff,cd,b9,f9,34,78,7b,05,fe,86,25,5d,5a,97,1b,bb,22,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:9c,a2,94,8f,3f,bf,4a,a0,81,92,0d,ac,ba,b7,09,72,e1,e9,96,72,40,.. scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 [b]Remaining Services [/b]: Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Documents and Settings\\Damian\\Dane aplikacji\\Microsoft\\Internet Explorer\\Quick Launch\\utorrent.exe"="C:\\Documents and Settings\\Damian\\Dane aplikacji\\Microsoft\\Internet Explorer\\Quick Launch\\utorrent.exe:*:Enabled:µTorrent" "C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program glowny" "C:\\Gry\\Settlers\\base\\bin\\Settlers6.exe"="C:\\Gry\\Settlers\\base\\bin\\Settlers6.exe:*:Enabled:THE SETTLERS - Narodziny Imperium" "C:\\Gry\\Settlers\\extra1\\bin\\Settlers6.exe"="C:\\Gry\\Settlers\\extra1\\bin\\Settlers6.exe:*:Enabled:THE SETTLERS - Rise of an Empire - The Eastern Realm" "C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [b]Remaining Files [/b]: [b]Files with Hidden Attributes [/b]: Thu 16 Aug 2007 2,380,800 ...H. --- "C:\Program Files\mIRC\mirc.exe" Mon 3 Mar 2008 53,248 ...H. --- "C:\Documents and Settings\Damian\Recent\Recent.exe" Wed 6 Feb 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT8.tmp" [b]Finished![/b]

Kod: Zaznacz wszystko: ComboFix 08-09-20.05 - Damian 2008-09-21 19:14:11.7 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1634 [GMT 2:00] Uruchomiony z: C:\Documents and Settings\Damian\Pulpit\HiJackThis\ComboFix.exe [color=red][b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b][/color] . ((((((((((((((((((((((((( Pliki utworzone od 2008-08-21 do 2008-09-21 ))))))))))))))))))))))))))))))) . 2008-09-21 19:04 . 2008-09-21 19:04 <DIR> d-------- C:\WINDOWS\ERUNT 2008-09-21 19:03 . 2008-09-21 19:04 <DIR> d-------- C:\Documents and Settings\Administrator 2008-09-21 19:00 . 2008-09-21 19:12 <DIR> d-------- C:\SDFix 2008-09-21 16:31 . 2008-09-21 16:31 <DIR> d-------- C:\Program Files\Panda Security 2008-09-21 16:31 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-09-20 15:26 . 2008-09-20 15:27 <DIR> d-------- C:\Program Files\NAPI-PROJEKT 2008-09-13 13:14 . 2008-09-13 13:14 <DIR> d-------- C:\Program Files\Guild Wars 2008-09-05 20:51 . 2008-09-05 20:51 <DIR> d-------- C:\Documents and Settings\Damian\Dane aplikacji\SPORE 2008-09-05 15:23 . 2008-09-05 15:23 <DIR> d-------- C:\Program Files\Electronic Arts . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-21 17:12 --------- d-----w C:\Program Files\Steam 2008-09-21 17:12 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\skypePM 2008-09-21 17:12 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\Skype 2008-09-21 17:01 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\mIRC 2008-09-21 13:21 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\Tlen.pl 2008-09-20 21:58 --------- d-----w C:\Program Files\oDC 2008-09-20 16:33 --------- d-----w C:\Program Files\SystemRequirementsLab 2008-09-20 13:17 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-20 13:17 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Codemasters 2008-09-19 04:00 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\uTorrent 2008-09-08 20:57 --------- d-----w C:\Program Files\Tlen.pl 2008-09-08 11:52 --------- d-----w C:\Program Files\mIRC 2008-08-18 18:18 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\Ventrilo 2008-08-18 18:14 --------- d-----w C:\Program Files\Ventrilo 2008-08-18 18:14 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard 2008-08-18 12:29 --------- d-----w C:\Program Files\Budzik 2008-08-13 11:11 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\EVEMon 2008-08-10 16:18 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\Vso 2008-08-06 20:33 --------- d-----w C:\Program Files\IKEA HomePlanner 2008-08-05 10:59 --------- d-----w C:\Program Files\Cheat Engine 2008-07-28 15:33 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\Pionek 2008-07-22 12:08 --------- d-----w C:\Program Files\Dobra Szkoła v211 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-17 11:17 47,360 ----a-w C:\Documents and Settings\Damian\Dane aplikacji\pcouffin.sys 2008-04-25 16:22 6,790,400 ----a-w C:\Program Files\Foxit Reader.exe 2001-07-21 22:36 2 --sh--w C:\Program Files\desktop.ini . ((((((((((((((((((((((((((((( snapshot@2008-09-21_18.57.07.10 ))))))))))))))))))))))))))))))))))))))))) . + 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE + 2008-09-21 17:04:51 376,832 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT + 2008-09-21 17:04:51 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat + 2008-08-07 14:27:04 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE + 2008-09-21 17:04:39 376,832 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\NTUSER.DAT + 2008-09-21 17:04:39 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat - 2007-07-30 18:18:40 33,624 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll + 2008-07-18 20:10:20 36,552 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 165784] "Steam"="C:\Program Files\Steam\Steam.exe" [2008-04-04 1271032] "Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2005-03-31 790528] "Komunikator"="C:\Program Files\Tlen.pl\tlen.exe" [2008-01-15 6290944] "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-05-30 21718312] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 49152] "Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-04 143872] "NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136] "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328] "RTHDCPL"="RTHDCPL.EXE" [2007-01-30 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe] "nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 282624] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.FFDS"= C:\Kodeki\COMBIN~1\Filters\FFDShow\ff_vfw.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Documents and Settings\\Damian\\Dane aplikacji\\Microsoft\\Internet Explorer\\Quick Launch\\utorrent.exe"= "C:\\Program Files\\Gadu-Gadu\\gg.exe"= "C:\\Gry\\Settlers\\base\\bin\\Settlers6.exe"= "C:\\Gry\\Settlers\\extra1\\bin\\Settlers6.exe"= "C:\\Program Files\\Skype\\Phone\\Skype.exe"= R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544] S3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-10-23 12416] S3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [ ] *Newly Created Service* - PAVBOOT . . ------- Skan uzupełniający ------- . FireFox -: Profile - C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\ FF -: plugin - C:\Kodeki\Real Alternative\browser\plugins\nppl3260.dll FF -: plugin - C:\Kodeki\Real Alternative\browser\plugins\nprpjplug.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-21 19:14:56 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . Czas ukończenia: 2008-09-21 19:15:30 ComboFix-quarantined-files.txt 2008-09-21 17:15:20 ComboFix2.txt 2008-09-21 16:57:26 Przed: 64˙954˙089˙472 bajt˘w wolnych Po: 64,943,124,480 bajt˘w wolnych 130 --- E O F --- 2008-07-12 12:26:12

**Posty:** 18165 · przez **wojtas** 21 Wrz 2008, 20:51

sprobuj:

Otworz notatnik i wklej w nim to:

File::
C:\Documents and Settings\Damian\Dane aplikacji\Gadu-Gadu\backup\Devil\gpr.exe
E:\folder.htt
F:\folder.htt
C:\Documents and Settings\Damian\Recent\Recent.exe
C:\copy.exe
F:\copy.exe
E:\copy.exe
C:\WINDOWS\xcopy.exe
F:\host.exe
C:\host.exe
E:\host.exe
C:\WINDOWS\svchost.exe
C:\Program Files\NetMeeting\folder.htt
C:\Documents and Settings\Damian\PrintHood\folder.htt
E:\Gry\folder.htt
F:\Filmy\The Mist\folder.htt
C:\Documents and Settings\folder.htt
E:\Programy\folder.htt
E:\Programy\Alcohol120\folder.htt
C:\WINDOWS\system32\temp1.exe
C:\Program Files\DAEMON Tools\SetupDTSB.exe
C:\Gry\Gothic III\Gothic3.exe
E:\Gry\Gothic\Gothic III\Gothic3v1.12NoDVDFixedexeEuro.rar[Gothic3.exe]
C:\WINDOWS\system32\temp2.exe
F:\autorun.inf
C:\WINDOWS\autorun.inf
C:\autorun.inf
E:\autorun.inf
C:\Program Files\mIRC\authpatch.exe

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

**Posty:** 720 · przez **Devilek** 21 Wrz 2008, 21:08

Kod: Zaznacz wszystko: ComboFix 08-09-20.05 - Damian 2008-09-21 21:06:46.9 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1636 [GMT 2:00] Uruchomiony z: C:\Documents and Settings\Damian\Pulpit\HiJackThis\ComboFix.exe Użyto następujących komend :: C:\Documents and Settings\Damian\Pulpit\HiJackThis\CFScript.txt * Utworzono nowy punkt przywracania [color=red][b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b][/color] FILE :: C:\WINDOWS\system32\temp2.exe C:\copy.exe C:\Documents and Settings\Damian\Dane aplikacji\Gadu-Gadu\backup\Devil\gpr.exe C:\Documents and Settings\Damian\PrintHood\folder.htt C:\Documents and Settings\Damian\Recent\Recent.exe C:\Documents and Settings\folder.htt C:\Gry\Gothic III\Gothic3.exe C:\host.exe C:\Program Files\DAEMON Tools\SetupDTSB.exe C:\Program Files\NetMeeting\folder.htt C:\WINDOWS\svchost.exe C:\WINDOWS\system32\temp1.exe C:\WINDOWS\xcopy.exe E:\copy.exe E:\folder.htt E:\Gry\folder.htt E:\Gry\Gothic\Gothic III\Gothic3v1.12NoDVDFixedexeEuro.rar[Gothic3.exe] E:\host.exe E:\Programy\Alcohol120\folder.htt E:\Programy\folder.htt F:\copy.exe F:\Filmy\The Mist\folder.htt F:\folder.htt F:\host.exe . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Documents and Settings\Damian\Dane aplikacji\Gadu-Gadu\backup\Devil\gpr.exe C:\Documents and Settings\Damian\PrintHood\folder.htt C:\Documents and Settings\Damian\Recent\Recent.exe C:\Documents and Settings\folder.htt C:\Gry\Gothic III\Gothic3.exe C:\Program Files\DAEMON Tools\SetupDTSB.exe C:\Program Files\NetMeeting\folder.htt E:\folder.htt E:\Gry\folder.htt E:\Programy\Alcohol120\folder.htt E:\Programy\folder.htt F:\Filmy\The Mist\folder.htt F:\folder.htt . ((((((((((((((((((((((((( Pliki utworzone od 2008-08-21 do 2008-09-21 ))))))))))))))))))))))))))))))) . 2008-09-21 19:04 . 2008-09-21 19:04 <DIR> d-------- C:\WINDOWS\ERUNT 2008-09-21 19:03 . 2008-09-21 21:07 <DIR> d--h----- C:\Documents and Settings\Administrator\Ustawienia lokalne 2008-09-21 19:03 . 2008-01-23 23:20 <DIR> d-------- C:\Documents and Settings\Administrator\Ulubione 2008-09-21 19:03 . 2008-01-23 22:30 <DIR> d--h----- C:\Documents and Settings\Administrator\Szablony 2008-09-21 19:03 . 2008-01-23 23:20 <DIR> d-------- C:\Documents and Settings\Administrator\Pulpit 2008-09-21 19:03 . 2008-01-23 23:20 <DIR> d-------- C:\Documents and Settings\Administrator\Moje dokumenty 2008-09-21 19:03 . 2008-01-23 23:20 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start 2008-09-21 19:03 . 2008-01-23 23:20 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dane aplikacji 2008-09-21 19:03 . 2008-09-21 19:04 <DIR> d-------- C:\Documents and Settings\Administrator 2008-09-21 19:00 . 2008-09-21 19:12 <DIR> d-------- C:\SDFix 2008-09-21 16:31 . 2008-09-21 16:31 <DIR> d-------- C:\Program Files\Panda Security 2008-09-21 16:31 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys 2008-09-20 15:26 . 2008-09-20 15:27 <DIR> d-------- C:\Program Files\NAPI-PROJEKT 2008-09-13 13:14 . 2008-09-13 13:14 <DIR> d-------- C:\Program Files\Guild Wars 2008-09-05 20:51 . 2008-09-05 20:51 <DIR> d-------- C:\Documents and Settings\Damian\Dane aplikacji\SPORE 2008-09-05 15:23 . 2008-09-05 15:23 <DIR> d-------- C:\Program Files\Electronic Arts . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-21 19:07 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\mIRC 2008-09-21 19:06 --------- d-----w C:\Program Files\DAEMON Tools 2008-09-21 17:52 --------- d-----w C:\Program Files\mIRC 2008-09-21 17:51 --------- d-----w C:\Program Files\Steam 2008-09-21 17:51 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\Skype 2008-09-21 17:12 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\skypePM 2008-09-21 13:21 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\Tlen.pl 2008-09-20 21:58 --------- d-----w C:\Program Files\oDC 2008-09-20 16:33 --------- d-----w C:\Program Files\SystemRequirementsLab 2008-09-20 13:17 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-09-20 13:17 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Codemasters 2008-09-19 04:00 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\uTorrent 2008-09-08 20:57 --------- d-----w C:\Program Files\Tlen.pl 2008-08-18 18:18 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\Ventrilo 2008-08-18 18:14 --------- d-----w C:\Program Files\Ventrilo 2008-08-18 18:14 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard 2008-08-18 12:29 --------- d-----w C:\Program Files\Budzik 2008-08-13 11:11 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\EVEMon 2008-08-10 16:18 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\Vso 2008-08-06 20:33 --------- d-----w C:\Program Files\IKEA HomePlanner 2008-08-05 10:59 --------- d-----w C:\Program Files\Cheat Engine 2008-07-28 15:33 --------- d-----w C:\Documents and Settings\Damian\Dane aplikacji\Pionek 2008-07-22 12:08 --------- d-----w C:\Program Files\Dobra Szkoła v211 2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll 2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe 2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll 2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll 2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll 2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll 2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll 2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll 2008-07-17 11:17 47,360 ----a-w C:\Documents and Settings\Damian\Dane aplikacji\pcouffin.sys 2008-04-25 16:22 6,790,400 ----a-w C:\Program Files\Foxit Reader.exe 2001-07-21 22:36 2 --sh--w C:\Program Files\desktop.ini . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360] "DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-04-04 165784] "Steam"="C:\Program Files\Steam\Steam.exe" [2008-04-04 1271032] "Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2005-03-31 790528] "Komunikator"="C:\Program Files\Tlen.pl\tlen.exe" [2008-01-15 6290944] "Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-05-30 21718312] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920] "HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-12 49152] "Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-04 143872] "NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136] "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328] "RTHDCPL"="RTHDCPL.EXE" [2007-01-30 C:\WINDOWS\RTHDCPL.exe] "SkyTel"="SkyTel.EXE" [2006-05-16 C:\WINDOWS\SkyTel.exe] "nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-12 282624] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.FFDS"= C:\Kodeki\COMBIN~1\Filters\FFDShow\ff_vfw.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Documents and Settings\\Damian\\Dane aplikacji\\Microsoft\\Internet Explorer\\Quick Launch\\utorrent.exe"= "C:\\Program Files\\Gadu-Gadu\\gg.exe"= "C:\\Gry\\Settlers\\base\\bin\\Settlers6.exe"= "C:\\Gry\\Settlers\\extra1\\bin\\Settlers6.exe"= "C:\\Program Files\\Skype\\Phone\\Skype.exe"= R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544] S3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-10-23 12416] S3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [ ] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-21 21:07:19 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . Czas ukończenia: 2008-09-21 21:07:55 ComboFix-quarantined-files.txt 2008-09-21 19:07:40 Przed: 55,481,704,448 bajt˘w wolnych Po: 55,469,248,512 bajt˘w wolnych 161 --- E O F --- 2008-07-12 12:26:12

**Posty:** 18165 · przez **wojtas** 21 Wrz 2008, 21:10

Czysto, wykonaj:

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp

2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5.Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

i tym:

FixIEDef.

**Posty:** 720 · przez **Devilek** 22 Wrz 2008, 15:50

Kod: Zaznacz wszystko: KASPERSKY ONLINE SCANNER REPORT 22 wrzesień 2008 06:02:53 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.1 Ostatnia aktualizacja Kaspersky Anti-Virus21/09/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus1248449 Ustawienia skanowania Skanowanie przy użyciu następujących baz danych rozszerzone Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Mój komputer C:\ D:\ E:\ F:\ G:\ H:\ Statystyki skanowania Liczba skanowanych obiektów 110509 Liczba wykrytych wirusów 7 Liczba zainfekowanych obiektów 14 Liczba podejrzanych obiektów 0 Czas trwania skanowania 02:24:41 Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie C:\Documents and Settings\Damian\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#event.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#gfof.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#ghost.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#IRSP.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#pwned.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#xwars.net.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#xwars.pl.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#xwars.pt.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\status.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cert8.db Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\formhistory.dat Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\history.dat Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\key3.db Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\parent.lock Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\search.sqlite Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\urlclassifier2.sqlite Object is locked pominięty C:\Documents and Settings\Damian\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\Damian\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\Cache\_CACHE_001_ Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\Cache\_CACHE_002_ Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\Cache\_CACHE_003_ Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\Cache\_CACHE_MAP_ Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Historia\History.IE5\MSHist012008092120080922\index.dat Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Program Files\mIRC\mirc.exe Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.63 pominięty C:\Program Files\mIRC\mirc.exe.bak Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.63 pominięty C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2\A0000006.exe Zainfekowanych: Trojan-Dropper.Win32.Small.apl pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2\A0000007.exe Zainfekowanych: Worm.Win32.Perlovga.a pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2\A0000011.exe Zainfekowanych: Worm.Win32.Perlovga.f pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2\A0000012.exe Zainfekowanych: Backdoor.Win32.Small.lo pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2\A0000014.exe Zainfekowanych: Worm.Win32.Perlovga.a pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2\A0000015.exe Zainfekowanych: Trojan-Dropper.Win32.Small.apl pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP5\A0000291.exe Zainfekowanych: Email-Worm.Win32.VB.bf pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP5\A0000293.exe Zainfekowanych: not-a-virus:AdTool.Win32.WhenU.a pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP5\change.log Object is locked pominięty C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty C:\WINDOWS\SchedLgU.Txt Object is locked pominięty C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty C:\WINDOWS\Sti_Trace.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\default Object is locked pominięty C:\WINDOWS\system32\config\default.LOG Object is locked pominięty C:\WINDOWS\system32\config\SAM Object is locked pominięty C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SECURITY Object is locked pominięty C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty C:\WINDOWS\system32\config\software Object is locked pominięty C:\WINDOWS\system32\config\software.LOG Object is locked pominięty C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\system Object is locked pominięty C:\WINDOWS\system32\config\system.LOG Object is locked pominięty C:\WINDOWS\system32\h323log.txt Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty C:\WINDOWS\wiadebug.log Object is locked pominięty C:\WINDOWS\wiaservc.log Object is locked pominięty C:\WINDOWS\WindowsUpdate.log Object is locked pominięty E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty E:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2\A0000016.exe Zainfekowanych: Worm.Win32.Perlovga.a pominięty E:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2\A0000017.exe Zainfekowanych: Trojan-Dropper.Win32.Small.apl pominięty E:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP5\change.log Object is locked pominięty F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty F:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2\A0000018.exe Zainfekowanych: Worm.Win32.Perlovga.a pominięty F:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2\A0000019.exe Zainfekowanych: Trojan-Dropper.Win32.Small.apl pominięty F:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP5\change.log Object is locked pominięty Proces skanowania został zakończony.

Kod: Zaznacz wszystko: ******************************************************************************** * * * FixIEDef Log * * Version 1.6.10.6162 * * * ******************************************************************************** Created at 15:48:57 on Monday, September 22, 2008 Time Zone : Logged On User : Damian Operating System : Microsoft Windows XP Professional Dodatek Service Pack 2 OS Version : 5.1.2600 System Langauge : Polish Keyboard Layout : Polish Processor : X86 Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz System Drive : C:\ Windows Directory : C:\WINDOWS System Directory : C:\WINDOWS\system32 System Drive Type : Fixed System Drive Status : READY System Drive Label : Win System Drive Size : 150 GB System Drive Free : 52.89 GB Total Physical Memory: 2046 MB Free Physical Memory : 1512 MB Total Page File : 2046 MB Free Page File : 3611 MB Total Virtual Memory : 2048 MB Free Virtual Memory : 1969 MB Boot State : Normal boot -------------------------------------------------------------------------------- !!! Files that have been deleted !!! No malicious files found -------------------------------------------------------------------------------- !!! Directories that have been removed !!! No malicious directories to be removed -------------------------------------------------------------------------------- !!! Registry entries that have been removed !!! No malicious Registry entries found ================================================================================ All Done :) ShadowPuterDude Safe Surfing!!!

**Posty:** 684 · przez **djarta** 22 Wrz 2008, 15:52

Pobierz ---> The Avenger

Wklej do niego ten tekst:

Kod: Zaznacz wszystko: Folders to delete: C:\Program Files\mIRC C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2 C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP5

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

==========================
K.

**Posty:** 720 · przez **Devilek** 22 Wrz 2008, 16:25

Usuniete i w sumie mIRC przestal dzialac... W sumie zaraz reinstall zrobie

Kod: Zaznacz wszystko: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Folder "C:\Program Files\mIRC" deleted successfully. Error: folder "C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2" not found! Deletion of folder "C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP2" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Error: folder "C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP5" not found! Deletion of folder "C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP5" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate.

**Posty:** 684 · przez **djarta** 22 Wrz 2008, 17:27

Wg Avengera - nie ma tych folderów.

Mirca usunąłem bo Kaspersky twierdził, że to trojan - zrób reinstalkę.

==========================
K.

**Posty:** 720 · przez **Devilek** 22 Wrz 2008, 21:14

No ale na skanie dalej pojawiaja sie te foldery

**Posty:** 18165 · przez **wojtas** 22 Wrz 2008, 21:16

daj go na forum nowy skan

**Posty:** 720 · przez **Devilek** 23 Wrz 2008, 15:36

o zniklo... zostaly jakies 2

Kod: Zaznacz wszystko: KASPERSKY ONLINE SCANNER REPORT 23 wrzesień 2008 15:29:13 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.1 Ostatnia aktualizacja Kaspersky Anti-Virus23/09/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus1249996 Ustawienia skanowania Skanowanie przy użyciu następujących baz danych rozszerzone Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Mój komputer C:\ D:\ E:\ F:\ G:\ H:\ Statystyki skanowania Liczba skanowanych obiektów 110644 Liczba wykrytych wirusów 2 Liczba zainfekowanych obiektów 2 Liczba podejrzanych obiektów 0 Czas trwania skanowania 02:19:22 Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie C:\Documents and Settings\All Users\Dane aplikacji\Nero\Nero8\Nero BackItUp\Cache\NeroBackItUpScheduler3.log Object is locked pominięty C:\Documents and Settings\Damian\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#event.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#gfof.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#ghost.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#pwned.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#xwars.net.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#xwars.pl.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\#xwars.pt.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\status.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\mIRC\logs\TrAvIkK.X-Wars.log Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\cert8.db Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\formhistory.dat Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\history.dat Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\key3.db Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\parent.lock Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\search.sqlite Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\urlclassifier2.sqlite Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\call256.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\callmember256.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\chat1024.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\chat256.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\chat512.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\chatmember256.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\chatmsg256.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\chatmsg512.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\chatsync\11\11ddec7adc32312d.dat Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\contactgroup256.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\dyncontent\bundle.dat Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\index2.dat Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\profile256.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\user1024.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\user16384.dbb Object is locked pominięty C:\Documents and Settings\Damian\Dane aplikacji\Skype\achzari\user256.dbb Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part01.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part04.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part06.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part07.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part08.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part11.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part13.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part15.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part17.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part18.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part19.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part21.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part22.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part23.rar Object is locked pominięty C:\Documents and Settings\Damian\Moje dokumenty\Downloads\Prison.Break.S04E05.HDTV.XviD-NoTV\pb405-notv.part24.rar Object is locked pominięty C:\Documents and Settings\Damian\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\Damian\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\Cache\_CACHE_001_ Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\Cache\_CACHE_002_ Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\Cache\_CACHE_003_ Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\leht39mo.default\Cache\_CACHE_MAP_ Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Historia\History.IE5\MSHist012008092320080924\index.dat Object is locked pominięty C:\Documents and Settings\Damian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\sw_ae-20080922-162255.log Object is locked pominięty C:\Program Files\Nero\Nero8\Nero BackItUp\BIU5.txt Object is locked pominięty C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP6\A0000440.sys Zainfekowanych: Hoax.Win32.Agent.fu pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP6\A0000450.exe Zainfekowanych: not-a-virus:Client-IRC.Win32.mIRC.63 pominięty C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP6\change.log Object is locked pominięty C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty C:\WINDOWS\SchedLgU.Txt Object is locked pominięty C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty C:\WINDOWS\Sti_Trace.log Object is locked pominięty C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\default Object is locked pominięty C:\WINDOWS\system32\config\default.LOG Object is locked pominięty C:\WINDOWS\system32\config\SAM Object is locked pominięty C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SECURITY Object is locked pominięty C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty C:\WINDOWS\system32\config\software Object is locked pominięty C:\WINDOWS\system32\config\software.LOG Object is locked pominięty C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\system Object is locked pominięty C:\WINDOWS\system32\config\system.LOG Object is locked pominięty C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty C:\WINDOWS\system32\h323log.txt Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty C:\WINDOWS\wiadebug.log Object is locked pominięty C:\WINDOWS\wiaservc.log Object is locked pominięty C:\WINDOWS\WindowsUpdate.log Object is locked pominięty E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty Proces skanowania został zakończony.

**Posty:** 684 · przez **djarta** 23 Wrz 2008, 16:33

Pobierz ---> [url="http://swandog46.geekstogo.com/avenger2/avenger.exe"]The Avenger[/url]

Wklej do niego ten tekst:

Kod: Zaznacz wszystko: Folders to delete: C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP6

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

=============================
K.

Autor postu otrzymał pochwałę

**Posty:** 720 · przez **Devilek** 23 Wrz 2008, 20:18

Juz czytsto teraz chyba bedzie

Kod: Zaznacz wszystko: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Folder "C:\System Volume Information\_restore{806004E8-0386-44F0-A90C-BA20EF326382}\RP6" deleted successfully. Completed script processing. ******************* Finished! Terminate.

**Posty:** 18165 · przez **wojtas** 23 Wrz 2008, 20:20

tak sądze ze tak

pozdro

Autor postu otrzymał pochwałę

**Posty:** 720 · przez **Devilek** 24 Wrz 2008, 00:12

Dzieki za pomoc chlopaki

Kto jest na forum