Amvo.exe -log do sprawdzenia

Cześć!

Dopiero założyłem tu konto i nie bardzo wiem czy można się tak dopisać więc wybaczcie.

Mam problem z amvo.exe i nie bardzo wiem jak się używa tego ComboFix. Już sobie go ściągnąłem, ale narazie nic z tym nie robiłem. Tego wirusa najprawdopodobniej już usunąłem przy pomocy Kaspersky’ego ale mimo to system i tak nie działa jak powinien

  1. Po wejściu w mój komputer i kliknięciu na jakikolwiek dysk (żeby otworzyć) wyskakuje okienko z wyborem programu do jego uruchomienia.

  2. Można wejść na dyski przez eksploratora.

  3. Nie można włączyć opcji - pokaż ukryte pliki.

Tu dołączam lod do sprawdzenia:

ComboFix 08-05-09.1 - Dawid & Aldonka 2008-05-11 13:39:15.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1033.18.2048 [GMT 2:00]

Running from: C:\Documents and Settings\Dawid & Aldonka\Desktop\ComboFix.exe

Command switches used :: C:\Documents and Settings\Dawid & Aldonka\Desktop\CFScript.txt

* Created a new restore point

* Resident AV is active

FILE ::

C:\WINDOWS\system32\amvo.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

C:\v.exe

C:\WINDOWS\system32_000003_.tmp.dll

C:\WINDOWS\system32_000004_.tmp.dll

C:\WINDOWS\system32_000005_.tmp.dll

C:\WINDOWS\system32_000006_.tmp.dll

C:\WINDOWS\system32_000007_.tmp.dll

C:\WINDOWS\system32_000008_.tmp.dll

C:\WINDOWS\system32_000009_.tmp.dll

C:\WINDOWS\system32_000010_.tmp.dll

C:\WINDOWS\system32_000011_.tmp.dll

C:\WINDOWS\system32_000012_.tmp.dll

C:\WINDOWS\system32_000013_.tmp.dll

C:\WINDOWS\system32_000014_.tmp.dll

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll

D:\Autorun.inf

E:\Autorun.inf

.

((((((((((((((((((((((((( Files Created from 2008-04-11 to 2008-05-11 )))))))))))))))))))))))))))))))

.

2008-05-11 13:43 . 2008-05-11 13:43 53,248 --a------ C:\Temp\catchme.dll

2008-05-11 11:24 . 2008-05-11 11:24

2008-05-11 11:04 . 2008-05-11 11:04

2008-05-10 23:08 . 2008-05-10 23:08

2008-05-10 20:34 . 2008-05-10 20:34

2008-05-10 20:33 . 2008-05-10 20:33

2008-05-08 22:34 . 2004-08-10 15:00 488,724 -ra------ C:\txtsetup.sif

2008-05-08 22:34 . 2004-08-10 15:00 260,272 -ra------ C:$LDR$

2008-05-08 19:46 . 2008-05-08 19:46

2008-05-08 19:16 . 2008-05-08 19:16 45,768 --a------ C:\WINDOWS\system32\drivers\MiniIcpt.sys

2008-05-08 19:16 . 2008-05-08 19:46 105 --a------ C:\WINDOWS\Backup.INI

2008-05-08 18:46 . 2008-05-08 18:46

2008-05-08 11:08 . 2008-05-11 11:27

2008-05-08 11:08 . 2008-05-11 12:03

2008-05-08 11:08 . 2008-05-11 12:03

2008-05-08 11:08 . 2008-05-11 11:27

2008-05-08 11:04 . 2007-08-10 20:46 33,656 --a------ C:\WINDOWS\system32\sprecovr.exe

2008-05-08 10:57 . 2006-12-28 21:01 19,569 --a------ C:\WINDOWS\003579_.tmp

2008-05-08 10:57 . 2008-04-14 02:12 7,680 --a------ C:\WINDOWS\system32\spdwnwxp.exe

2008-05-08 10:18 . 2008-05-08 15:48

2008-04-23 20:16 . 2008-04-23 20:16 98,927 --a------ C:\WINDOWS\hpqins16.dat

2008-04-21 21:06 . 2008-05-08 18:48

2008-04-20 19:52 . 2008-04-20 19:53 38 --a------ C:\WINDOWS\avisplitter.INI

2008-04-19 13:36 . 2008-04-19 13:36

2008-04-18 00:17 . 2008-05-06 16:01 24 --a------ C:\WINDOWS\sys.dat

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-08 17:14 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-05-08 16:48 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-05-08 16:46 --------- d-----w C:\Program Files\Symantec

2008-05-08 16:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2008-04-28 14:33 --------- d-----w C:\Documents and Settings\Dawid & Aldonka\Application Data\Bioshock

2008-04-19 11:39 --------- d-----w C:\Documents and Settings\Dawid & Aldonka\Application Data\Corel

2008-04-19 11:37 --------- d-----w C:\Program Files\Common Files\Corel

2008-04-14 16:55 --------- d-----w C:\Documents and Settings\Dawid & Aldonka\Application Data\Image Zone Express

2008-04-11 00:35 --------- d-----w C:\Program Files\Opera

2008-04-09 11:45 --------- d-----w C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage

2008-04-09 07:22 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help

2008-04-08 18:32 --------- d-----w C:\Program Files\Google

2008-03-29 20:00 --------- d-----w C:\Program Files\K-Lite Codec Pack

2008-03-29 19:56 --------- d-----w C:\Program Files\DivX

2008-03-28 18:48 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-03-28 18:46 --------- d-----w C:\Program Files\Windows Media Connect

2008-03-27 15:53 --------- d-----w C:\Program Files\Common Files\Real

2008-03-18 21:13 --------- d-----w C:\Program Files\Avant Browser

2008-03-16 19:36 --------- d-----w C:\Documents and Settings\Dawid & Aldonka\Application Data\Printer Info Cache

2008-03-15 17:23 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys

2008-03-15 17:23 22,328 ----a-w C:\Documents and Settings\Dawid & Aldonka\Application Data\PnkBstrK.sys

2008-03-15 17:10 --------- d-----w C:\Program Files\Electronic Arts

2008-03-13 14:52 33,800 ----a-w C:\WINDOWS\system32\drivers\epfwtdir.sys

2008-03-13 14:44 29,704 ----a-w C:\WINDOWS\system32\drivers\easdrv.sys

2008-03-13 14:43 40,456 ----a-w C:\WINDOWS\system32\drivers\eamon.sys

2008-03-11 11:31 --------- d-----w C:\Program Files\Total Video Converter

2008-03-02 14:48 127,034 ------r C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe

2007-11-09 19:48 476,752 ----a-w C:\Documents and Settings\All Users\Application Data\pswi_preloaded.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-10 15:00 15360]

“RocketDock”=“C:\Program Files\RocketDock\RocketDock.exe” [2007-09-02 14:58 495616]

“MsnMsgr”=“C:\Program Files\Windows Live\Messenger\MsnMsgr.exe” [2007-10-18 12:34 5724184]

“NVIDIA nTune”=“C:\Program Files\NVIDIA Corporation\nTune\nTuneCmd.exe” [2007-09-04 20:25 81920]

“WMPNSCFG”=“C:\Program Files\Windows Media Player\WMPNSCFG.exe” [2006-12-01 12:46 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ehTray”=“C:\WINDOWS\ehome\ehtray.exe” [2005-08-05 13:56 64512]

“High Definition Audio Property Page Shortcut”=“HDAShCut.exe” [2005-01-08 02:07 61952 C:\WINDOWS\system32\HdAShCut.exe]

“SoundMAXPnP”=“C:\Program Files\Analog Devices\Core\smax4pnp.exe” [2005-05-20 11:11 925696]

“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2006-01-12 16:40 155648]

“HP Software Update”=“C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2006-02-19 02:41 49152]

“Logitech Hardware Abstraction Layer”=“KHALMNPR.EXE” [2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe]

“ISUSPM Startup”=“C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe” []

“ISUSScheduler”=“C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” [2005-08-11 10:30 81920]

“CoolSwitch”=“C:\WINDOWS\system32\taskswitch.exe” [2002-03-19 18:30 45632]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-10-04 17:14 8491008]

“nwiz”=“nwiz.exe” [2007-10-04 17:14 1626112 C:\WINDOWS\system32\nwiz.exe]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-10-04 17:14 81920]

“Corel File Shell Monitor”=“C:\Program Files\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe” [2008-01-15 15:18 16200]

“Symantec PIF AlertEng”=“C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifSvc.exe” [2007-03-12 11:22 517768]

“egui”=“C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” [2008-03-13 16:48 1443072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

“spuninst”=“C:\WINDOWS$NtServicePackUninstall$\spuninst\spuninst.exe” [2007-08-10 20:46 231288]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-10 15:00 15360]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22 288472]

Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-03-02 16:48:37 67128]

Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-03-02 16:52:45 784912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

“InstallVisualStyle”= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

“InstallTheme”= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

c:\program files\common files\logitech\bluetooth\LBTWlgn.dll 2007-11-15 11:10 72208 c:\Program Files\Common Files\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“VIDC.YV12”= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ scecli scecli

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]

–a------ 2007-07-09 09:39 2119104 C:\Program Files\Gadu-Gadu\gg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JMB36X Configure]

-r------- 2006-04-25 04:52 385024 C:\WINDOWS\system32\JMRaidTool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusDisableNotify”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE”=

“C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hposid01.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe”=

“C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe”=

“C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe”=

“C:\WINDOWS\system32\PnkBstrA.exe”=

“C:\WINDOWS\system32\PnkBstrB.exe”=

“C:\Program Files\KONAMI\Pro Evolution Soccer 2008\PES2008.exe”=

“C:\Program Files\Messenger\msmsgs.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“C:\Program Files\Windows Live\Messenger\msnmsgr.exe”=

“C:\Program Files\Windows Live\Messenger\livecall.exe”=

“D:\Gra\THQ\Gas Powered Games\Supreme Commander\bin\SupremeCommander.exe”=

“D:\Gra\THQ\Gas Powered Games\GPGNet\GPG.Multiplayer.Client.exe”=

“C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“C:\Program Files\Opera\Opera.exe”=

“C:\Program Files\Half Life 2\root\hl2.exe”=

“D:\Gra\Soldat\Soldat.exe”=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]

R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39]

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-03-13 16:52]

S2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;“C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe” [2008-02-10 02:06]

S3 cpuz129;cpuz129;C:\Temp\cpuz_x32.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{4b64503a-9d1d-11dc-a4dc-001731143542}]

\Shell\AutoRun\command - N:\oufddh.exe

\Shell\explore\Command - N:\oufddh.exe

\Shell\open\Command - N:\oufddh.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{85ea213e-93b9-11dc-a4bd-001731143542}]

\Shell\AutoRun\command - L:\v.exe

\Shell\explore\Command - L:\v.exe

\Shell\open\Command - L:\v.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{94671d49-eacc-11dc-a5c8-001731143542}]

\Shell\AutoRun\command - K:\m9j.com

\Shell\explore\Command - K:\m9j.com

\Shell\open\Command - K:\m9j.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{997babb2-c05e-11dc-a537-001731143542}]

\Shell\AutoRun\command - M:\juok3st.bat

\Shell\explore\Command - M:\juok3st.bat

\Shell\open\Command - M:\juok3st.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c42c3b56-711a-11dc-a44c-001731143542}]

\Shell\AutoRun\command - K:\jfvkcsy.bat

\Shell\explore\Command - K:\jfvkcsy.bat

\Shell\open\Command - K:\jfvkcsy.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{c5949bca-f01b-11dc-a5e7-001731143542}]

\Shell\AutoRun\command - K:\jfvkcsy.bat

\Shell\explore\Command - K:\jfvkcsy.bat

\Shell\open\Command - K:\jfvkcsy.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{ccb99f78-f5b5-11dc-a5f5-001731143542}]

\Shell\AutoRun\command - K:\EXPLORER.EXE

\Shell\explore\Command - K:\EXPLORER.EXE

\Shell\open\Command - K:\EXPLORER.EXE

*Newly Created Service* - NVR0DEV

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-11 13:43:33

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe

-> C:\Program Files\RocketDock\RocketDock.dll

-> ?:\WINDOWS\system32\MLANG.dll

-> ?:\WINDOWS\system32\MLANG.dll

-> ?:\WINDOWS\system32\MLANG.dll

-> ?:\WINDOWS\system32\MLANG.dll

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\WINDOWS\ehome\ehrecvr.exe

C:\WINDOWS\ehome\ehSched.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PSIService.exe

C:\WINDOWS\system32\UTSCSI.EXE

C:\WINDOWS\ehome\mcrdsvc.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\ehome\ehmsas.exe

C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.exe

C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe

C:\Program Files\Windows Live\Messenger\usnsvc.exe

.

**************************************************************************

.

Completion time: 2008-05-11 13:45:32 - machine was rebooted

ComboFix-quarantined-files.txt 2008-05-11 11:45:26

Pre-Run: 29,375,426,560 bytes free

Post-Run: 32,111,915,008 bytes free

258 — E O F — 2008-04-09 07:22:24

Będę wdzięczny za pomoc!

Do wyleczenia pendrive z wirusów użyj tego lub format

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

Włącz przywracanie systemu.

Tu jest raport po skanowaniu:

KASPERSKY ONLINE SCANNER REPORT

11 maj 2008 16:32:43

System operacyjny: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus11/05/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus756163

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

A:\

C:\

D:\

E:\

F:\

G:\

H:\

I:\

J:\

Statystyki skanowania

Liczba skanowanych obiektów 136842

Liczba wykrytych wirusów 1

Liczba zainfekowanych obiektów 5

Liczba podejrzanych obiektów 0

Czas trwania skanowania 01:24:05

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked pominięty

C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked pominięty

C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked pominięty

C:\Documents and Settings\All Users\Application Data\Microsoft\eHome\logs\ehRecvr.log Object is locked pominięty

C:\Documents and Settings\All Users\Application Data\Symantec\LiveUpdate\2008-05-11_Log.ALUSchedulerSvc.LiveUpdate Object is locked pominięty

C:\Documents and Settings\All Users\Application Data\Symantec\SRTSP\LightningSand.CFD Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Application Data\Opera\Opera\mail\indexer\indexer.dat Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Application Data\Opera\Opera\mail\lexicon\lexicon.dat Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Application Data\Opera\Opera\mail\mailbase.dat Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Local Settings\Application Data\Microsoft\Messenger\dawid24@orange.pl\SharingMetadata\Logs\Dfsr00005.log Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Local Settings\Application Data\Microsoft\Messenger\dawid24@orange.pl\SharingMetadata\pending.dat Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Local Settings\Application Data\Microsoft\Messenger\dawid24@orange.pl\SharingMetadata\Working\database_50A0_BF55_A0BF_3FF0\dfsr.db Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Local Settings\Application Data\Microsoft\Messenger\dawid24@orange.pl\SharingMetadata\Working\database_50A0_BF55_A0BF_3FF0\fsr.log Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Local Settings\Application Data\Microsoft\Messenger\dawid24@orange.pl\SharingMetadata\Working\database_50A0_BF55_A0BF_3FF0\fsrtmp.log Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Local Settings\Application Data\Microsoft\Messenger\dawid24@orange.pl\SharingMetadata\Working\database_50A0_BF55_A0BF_3FF0\tmp.edb Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Local Settings\Application Data\Microsoft\Windows Live Contacts\dawid24@orange.pl\real\members.stg Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Local Settings\History\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\Local Settings\History\History.IE5\MSHist012008051120080512\index.dat Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Dawid & Aldonka\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\chandir.dat Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\chandir.idx Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\chn.dat Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\chn.idx Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\D0000000.FCS Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\inuse.txt Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\L0000005.FCS Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\main.log Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\prs.dat Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\prs.idx Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\prs_die.dat Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\prs_die.idx Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\prs_dnd.dat Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\prs_dnd.idx Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\prs_ext.dat Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\prs_ext.idx Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\prs_rcv.dat Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\prs_rcv.idx Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\storydb.dat Object is locked pominięty

C:\Program Files\Logitech\Desktop Messenger\8876480\Users\Dawid & Aldonka\Data\storydb.idx Object is locked pominięty

C:\QooBox\Quarantine\C\v.exe.vir Zainfekowanych: Worm.Win32.AutoRun.dpg pominięty

C:\QooBox\Quarantine\C\WINDOWS\system32\amvo.exe.vir Zainfekowanych: Worm.Win32.AutoRun.dpg pominięty

C:\QooBox\Quarantine\C\WINDOWS\system32\amvo0.dll.vir Zainfekowanych: Worm.Win32.AutoRun.dpg pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\Temp\hpodvd09.log Object is locked pominięty

C:\Temp\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty

C:\Temp\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Temp~DF4330.tmp Object is locked pominięty

C:\Temp~DF4337.tmp Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\Registration{02D4B3F1-FD88-11D1-960D-00805FC79235}.{86AD7F29-8B55-44C0-A234-EAB88D4498C4}.crmlog Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\EventCache{60B39F03-3C83-4834-8C5C-E11B5F1B8EE6}.bin Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\Media Ce.evt Object is locked pominięty

C:\WINDOWS\system32\config\ODiag.evt Object is locked pominięty

C:\WINDOWS\system32\config\OSession.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_1d4.dat Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

D:\v.exe Zainfekowanych: Worm.Win32.AutoRun.dpg pominięty

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

E:\v.exe Zainfekowanych: Worm.Win32.AutoRun.dpg pominięty

Proces skanowania został zakończony.

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

b57f17008275c957m.jpg

powstanie plik o takiej ikonie

062aec4c9b51c033m.jpg

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj klikasz na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

:slight_smile:

Dzięki !!

Wygląda na to, że wszystko już okej.

Przeskanowałem jeszcze system przy pomocy Kaspersky’ego i nic już nie znalazł :slight_smile: