Poebot trojan

Dla specjalistów Bezpieczeństwo
#1

Witam! Zainfekował mi się system poebot trojenam. Wszystkie komunikaty Nod32 pokazują, że trojan siedzi w katalogu system32 w plikach o wolnym zlepku liter nazwy i rozszerzeniu exe. Raz na jakiś czas wyskakuje mi okienko o konieczności zapisania wszystkich moich działań bo komputer musi być wyłączony i zegar odliczający minutę do restartu.

Mój log z hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:09:33, on 2008-07-09

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\WINDOWS\System32\igfxpers.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM…\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM…\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM…\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe

O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM…\Run: [skyTel] SkyTel.EXE

O4 - HKLM…\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe”

O4 - HKLM…\Run: [egui] “C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” /hide /waitservice

O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”

O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [AlcoholAutomount] “d:\programy\Alcohol Soft\Alcohol 52\axcmd.exe” /automount

O4 - HKCU…\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Kolekcja wycinków HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Zaznaczanie HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

End of file - 5063 bytes

#2

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only >> w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix przeskanuj i daj log na forum

#3

ComboFix 08-07-08.5 - C 2008-07-09 8:41:55.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.1642 [GMT 2:00]

Running from: C:\Documents and Settings\C\Pulpit\Combo-Fix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\AutoRun.inf

C:\WINDOWS\system32\drivers\tcpsr.sys

C:\WINDOWS\system32\isass.exe

C:\WINDOWS\system32\logon.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_RUNTIME

((((((((((((((((((((((((( Files Created from 2008-06-09 to 2008-07-09 )))))))))))))))))))))))))))))))

.

2008-07-09 08:43 . 54,199 C:\WINDOWS\system32\cblun.exe

2008-07-09 08:09 . 2008-07-09 08:09

2008-07-08 23:29 . 2008-07-08 23:29

2008-07-08 21:57 . 2008-07-08 21:57

2008-07-08 21:56 . 2008-07-08 21:56

2008-07-08 21:09 . 2008-07-08 21:09

2008-07-08 21:09 . 2008-07-08 21:27

2008-07-08 20:51 . 2008-07-08 20:51

2008-07-08 19:47 . 2008-07-08 19:47 159,828 --a------ C:\WINDOWS\Marsu-Fix Uninstaller.exe

2008-07-08 19:39 . 2008-07-08 19:39

2008-07-08 19:39 . 2008-07-08 19:39

2008-07-08 18:58 . 2008-07-08 18:58

2008-07-08 18:55 . 2008-07-08 18:55 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-07-08 18:55 . 2008-07-08 18:55 129 --a------ C:\WINDOWS\system32\dszrfyn.bat

2008-07-08 15:49 . 2008-07-08 15:49

2008-07-08 11:05 . 2008-07-08 11:05 6,428 --ah----- C:\WINDOWS\system32\wjrqc.exe

2008-07-07 17:13 . 2008-07-07 17:13

2008-07-07 17:02 . 2008-07-08 20:24

2008-07-07 16:27 . 2008-07-07 19:23

2008-07-07 16:26 . 2008-07-08 19:39

2008-07-07 16:26 . 2008-07-07 16:27

2008-07-07 16:26 . 2008-07-07 16:26 316,640 --a------ C:\WINDOWS\WMSysPr9.prx

2008-07-07 16:24 . 2008-07-07 16:27

2008-07-07 16:18 . 2008-07-07 16:18

2008-07-07 16:18 . 2008-07-07 16:20

2008-07-07 15:59 . 2008-07-07 16:19

2008-07-07 15:59 . 2008-07-07 16:08 10,022 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys

2008-07-07 15:59 . 2008-07-07 16:08 56 -r-hs---- C:\WINDOWS\system32\ED849EBA68.sys

2008-07-07 15:22 . 2008-07-07 15:22 1,160 --a------ C:\WINDOWS\mozver.dat

2008-07-03 09:46 . 2008-07-03 09:46

2008-07-03 09:45 . 2008-07-03 09:45

2008-07-03 09:38 . 2008-07-03 09:38

2008-07-03 09:38 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-07-03 09:37 . 2008-07-03 09:37

2008-07-03 09:35 . 2008-07-03 09:35

2008-07-03 09:30 . 2008-07-03 09:30

2008-07-03 09:30 . 2008-07-03 09:30

2008-07-03 09:30 . 2008-07-03 09:30

2008-07-03 09:30 . 2008-07-03 09:30

2008-07-03 09:30 . 2008-07-03 09:30 0 --a------ C:\WINDOWS\nsreg.dat

2008-07-03 09:29 . 2008-07-03 09:29

2008-07-03 09:29 . 2008-07-03 09:29

2008-07-03 09:29 . 2008-07-03 09:29

2008-07-03 09:27 . 2008-07-03 09:27

2008-07-03 09:26 . 2008-07-03 09:30

2008-07-03 09:26 . 2008-07-03 09:45 153,548 --a------ C:\WINDOWS\hpoins14.dat

2008-07-03 09:26 . 2007-06-06 01:07 2,000 --------- C:\WINDOWS\hpomdl14.dat

2008-07-03 09:22 . 2008-07-03 09:35

2008-07-03 09:22 . 2008-07-03 09:22

2008-07-03 08:55 . 2008-07-03 08:55

2008-07-03 08:55 . 2008-07-03 08:55 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav

2008-07-03 08:55 . 2008-07-03 08:55 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav

2008-07-03 08:54 . 2005-11-03 09:26 143,360 -ra------ C:\WINDOWS\system32\igfxres.dll

2008-07-03 08:53 . 2007-02-06 18:43 90,880 -ra------ C:\WINDOWS\system32\drivers\Rtenicxp.sys

2008-07-03 08:51 . 2008-07-03 08:51

2008-07-03 08:51 . 2008-07-08 20:51

2008-07-03 08:51 . 2008-07-08 18:58

2008-07-03 08:51 . 2007-01-30 12:54 16,116,224 -r------- C:\WINDOWS\RTHDCPL.exe

2008-07-03 08:51 . 2006-05-04 10:26 2,808,832 -r------- C:\WINDOWS\alcwzrd.exe

2008-07-03 08:51 . 2006-10-11 11:42 2,157,568 -r------- C:\WINDOWS\MicCal.exe

2008-07-03 08:51 . 2007-01-12 10:54 520,192 -r------- C:\WINDOWS\RtlExUpd.dll

2008-07-03 08:51 . 2008-07-03 08:51 315,392 --a------ C:\WINDOWS\HideWin.exe

2008-07-03 08:51 . 2005-09-21 04:25 299,008 -r------- C:\WINDOWS\system32\ALSndMgr.cpl

2008-07-03 08:51 . 2005-05-03 12:43 69,632 -r------- C:\WINDOWS\Alcmtr.exe

2008-07-03 08:49 . 2002-08-29 01:32 21,760 --a–c— C:\WINDOWS\system32\dllcache\usbstor.sys

2008-06-30 23:46 . 2002-09-20 18:18 57,856 --a------ C:\WINDOWS\system32\drivers\redbook.sys

2008-06-30 23:46 . 2002-08-29 02:50 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2008-06-30 23:46 . 2001-08-17 22:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys

2008-06-30 23:44 . 2008-07-08 21:55

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 22:53

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-07-08 21:57

2008-06-30 23:44 . 2008-07-03 09:30

2008-06-30 23:44 . 2008-06-30 22:53

2008-06-30 23:44 . 2008-07-08 21:56

2008-06-30 23:23 . 2008-06-30 23:23

2008-06-30 23:22 . 2008-06-30 23:44

2008-06-30 23:22 . 2008-06-30 23:22

2008-06-30 23:22 . 2008-06-30 22:53

2008-06-30 23:22 . 2008-07-03 10:16

2008-06-30 23:22 . 2008-06-30 23:44

2008-06-30 23:22 . 2008-07-04 06:55

2008-06-30 23:22 . 2008-07-03 10:14

2008-06-18 20:31 . 2008-06-18 20:31 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-30 20:56 --------- d-----w C:\Program Files\microsoft frontpage

2008-06-30 20:55 558,142 ----a-w C:\WINDOWS\java\Packages\LJHF1R1N.ZIP

2008-06-30 20:55 155,995 ----a-w C:\WINDOWS\java\Packages\97BXFTZN.ZIP

2008-06-30 20:53 --------- d-----w C:\Program Files\Usługi online

2008-05-30 17:22 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys

2008-05-30 17:22 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys

2008-05-30 17:22 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe

2008-05-30 17:22 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys

2008-05-30 17:22 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2008-05-30 17:22 129,784 ------w C:\WINDOWS\system32\pxafs.dll

2008-05-30 17:22 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe

2008-05-30 17:22 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe

2008-05-30 17:19 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2008-05-30 17:19 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-09-29 00:00 13312]

“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-11-14 12:54 2131392]

“AlcoholAutomount”=“d:\programy\Alcohol Soft\Alcohol 52\axcmd.exe” [2008-03-20 18:39 216520]

“SpybotSD TeaTimer”=“C:\Program Files\Spybot - Search Destroy\TeaTimer.exe” [2008-07-07 09:42 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“igfxtray”=“C:\WINDOWS\System32\igfxtray.exe” [2005-11-03 09:25 98304]

“igfxhkcmd”=“C:\WINDOWS\System32\hkcmd.exe” [2005-11-03 09:22 77824]

“igfxpers”=“C:\WINDOWS\System32\igfxpers.exe” [2005-11-03 09:26 118784]

“HP Software Update”=“C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2007-03-11 21:34 49152]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe” [2008-03-25 04:28 144784]

“egui”=“C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” [2008-03-13 16:48 1443072]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” [2008-06-12 02:38 34672]

“Local Security Authority Service”=“C:\WINDOWS\System32\lssas.exe” [2002-09-29 00:00 54199]

“RTHDCPL”=“RTHDCPL.EXE” [2007-01-30 12:54 16116224 C:\WINDOWS\RTHDCPL.exe]

“SkyTel”=“SkyTel.EXE” [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2002-09-29 00:00 13312]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 21:26:24 210520]

R1 epfwtdir;epfwtdir;C:\WINDOWS\System32\DRIVERS\epfwtdir.sys [2008-03-13 16:52]

S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-09 08:43:25

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

C:\WINDOWS\system32\opelzqk.bat 120 bytes

C:\WINDOWS\system32\lssas.exe 54199 bytes executable

scan completed successfully

hidden files: 2

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe

.

**************************************************************************

.

Completion time: 2008-07-09 8:44:14 - machine was rebooted

ComboFix-quarantined-files.txt 2008-07-09 06:44:11

Pre-Run: 48,457,326,592 bajtów wolnych

Post-Run: 48,410,304,512 bajt˘w wolnych

183

#4

Pobierz Combofixale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

#5

ComboFix 08-07-08.5 - C 2008-07-09 8:54:28.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.1495 [GMT 2:00]

Running from: C:\Documents and Settings\C\Pulpit\Combo-Fix.exe

Command switches used :: C:\Documents and Settings\C\Pulpit\CFScript.txt

* Created a new restore point

* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\WINDOWS\system32\cblun.exe

C:\WINDOWS\system32\dszrfyn.bat

C:\WINDOWS\system32\wjrqc.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\dszrfyn.bat

C:\WINDOWS\system32\lssas.exe

C:\WINDOWS\system32\wjrqc.exe

.

((((((((((((((((((((((((( Files Created from 2008-06-09 to 2008-07-09 )))))))))))))))))))))))))))))))

.

2008-07-09 08:09 . 2008-07-09 08:09

2008-07-08 23:29 . 2008-07-08 23:29

2008-07-08 21:57 . 2008-07-08 21:57

2008-07-08 21:56 . 2008-07-08 21:56

2008-07-08 21:09 . 2008-07-08 21:09

2008-07-08 21:09 . 2008-07-08 21:27

2008-07-08 20:51 . 2008-07-08 20:51

2008-07-08 19:47 . 2008-07-08 19:47 159,828 --a------ C:\WINDOWS\Marsu-Fix Uninstaller.exe

2008-07-08 19:39 . 2008-07-08 19:39

2008-07-08 19:39 . 2008-07-08 19:39

2008-07-08 18:58 . 2008-07-08 18:58

2008-07-08 18:55 . 2008-07-08 18:55 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-07-08 15:49 . 2008-07-08 15:49

2008-07-07 17:13 . 2008-07-07 17:13

2008-07-07 17:02 . 2008-07-08 20:24

2008-07-07 16:27 . 2008-07-07 19:23

2008-07-07 16:26 . 2008-07-08 19:39

2008-07-07 16:26 . 2008-07-07 16:27

2008-07-07 16:26 . 2008-07-07 16:26 316,640 --a------ C:\WINDOWS\WMSysPr9.prx

2008-07-07 16:24 . 2008-07-07 16:27

2008-07-07 16:18 . 2008-07-07 16:18

2008-07-07 16:18 . 2008-07-07 16:20

2008-07-07 15:59 . 2008-07-07 16:19

2008-07-07 15:59 . 2008-07-07 16:08 10,022 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys

2008-07-07 15:59 . 2008-07-07 16:08 56 -r-hs---- C:\WINDOWS\system32\ED849EBA68.sys

2008-07-07 15:22 . 2008-07-07 15:22 1,160 --a------ C:\WINDOWS\mozver.dat

2008-07-03 09:46 . 2008-07-03 09:46

2008-07-03 09:45 . 2008-07-03 09:45

2008-07-03 09:38 . 2008-07-03 09:38

2008-07-03 09:38 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-07-03 09:37 . 2008-07-03 09:37

2008-07-03 09:35 . 2008-07-03 09:35

2008-07-03 09:30 . 2008-07-03 09:30

2008-07-03 09:30 . 2008-07-03 09:30

2008-07-03 09:30 . 2008-07-03 09:30

2008-07-03 09:30 . 2008-07-03 09:30

2008-07-03 09:30 . 2008-07-03 09:30 0 --a------ C:\WINDOWS\nsreg.dat

2008-07-03 09:29 . 2008-07-03 09:29

2008-07-03 09:29 . 2008-07-03 09:29

2008-07-03 09:29 . 2008-07-03 09:29

2008-07-03 09:27 . 2008-07-03 09:27

2008-07-03 09:26 . 2008-07-03 09:30

2008-07-03 09:26 . 2008-07-03 09:45 153,548 --a------ C:\WINDOWS\hpoins14.dat

2008-07-03 09:26 . 2007-06-06 01:07 2,000 --------- C:\WINDOWS\hpomdl14.dat

2008-07-03 09:22 . 2008-07-03 09:35

2008-07-03 09:22 . 2008-07-03 09:22

2008-07-03 08:55 . 2008-07-03 08:55

2008-07-03 08:55 . 2008-07-03 08:55 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav

2008-07-03 08:55 . 2008-07-03 08:55 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav

2008-07-03 08:54 . 2005-11-03 09:26 143,360 -ra------ C:\WINDOWS\system32\igfxres.dll

2008-07-03 08:53 . 2007-02-06 18:43 90,880 -ra------ C:\WINDOWS\system32\drivers\Rtenicxp.sys

2008-07-03 08:51 . 2008-07-03 08:51

2008-07-03 08:51 . 2008-07-08 20:51

2008-07-03 08:51 . 2008-07-08 18:58

2008-07-03 08:51 . 2007-01-30 12:54 16,116,224 -r------- C:\WINDOWS\RTHDCPL.exe

2008-07-03 08:51 . 2006-05-04 10:26 2,808,832 -r------- C:\WINDOWS\alcwzrd.exe

2008-07-03 08:51 . 2006-10-11 11:42 2,157,568 -r------- C:\WINDOWS\MicCal.exe

2008-07-03 08:51 . 2007-01-12 10:54 520,192 -r------- C:\WINDOWS\RtlExUpd.dll

2008-07-03 08:51 . 2008-07-03 08:51 315,392 --a------ C:\WINDOWS\HideWin.exe

2008-07-03 08:51 . 2005-09-21 04:25 299,008 -r------- C:\WINDOWS\system32\ALSndMgr.cpl

2008-07-03 08:51 . 2005-05-03 12:43 69,632 -r------- C:\WINDOWS\Alcmtr.exe

2008-07-03 08:49 . 2002-08-29 01:32 21,760 --a–c— C:\WINDOWS\system32\dllcache\usbstor.sys

2008-06-30 23:46 . 2002-09-20 18:18 57,856 --a------ C:\WINDOWS\system32\drivers\redbook.sys

2008-06-30 23:46 . 2002-08-29 02:50 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys

2008-06-30 23:46 . 2001-08-17 22:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys

2008-06-30 23:44 . 2008-07-09 08:45

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 22:53

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-06-30 23:44

2008-06-30 23:44 . 2008-07-08 21:57

2008-06-30 23:44 . 2008-07-03 09:30

2008-06-30 23:44 . 2008-06-30 22:53

2008-06-30 23:44 . 2008-07-08 21:56

2008-06-30 23:23 . 2008-06-30 23:23

2008-06-30 23:22 . 2008-07-09 08:44

2008-06-30 23:22 . 2008-06-30 23:22

2008-06-30 23:22 . 2008-06-30 22:53

2008-06-30 23:22 . 2008-07-03 10:16

2008-06-30 23:22 . 2008-06-30 23:44

2008-06-30 23:22 . 2008-07-04 06:55

2008-06-30 23:22 . 2008-07-03 10:14

2008-06-18 20:31 . 2008-06-18 20:31 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-30 20:56 --------- d-----w C:\Program Files\microsoft frontpage

2008-06-30 20:55 558,142 ----a-w C:\WINDOWS\java\Packages\LJHF1R1N.ZIP

2008-06-30 20:55 155,995 ----a-w C:\WINDOWS\java\Packages\97BXFTZN.ZIP

2008-06-30 20:53 --------- d-----w C:\Program Files\Usługi online

2008-05-30 17:22 9,464 ------w C:\WINDOWS\system32\drivers\cdralw2k.sys

2008-05-30 17:22 9,336 ------w C:\WINDOWS\system32\drivers\cdr4_xp.sys

2008-05-30 17:22 43,528 ------w C:\WINDOWS\system32\drivers\PxHelp20.sys

.

((((((((((((((((((((((((((((( snapshot@2008-07-09_ 8.44.02.81 )))))))))))))))))))))))))))))))))))))))))

.

  • 2008-07-09 06:43:11 2,048 --s-a-w C:\WINDOWS\bootstat.dat
  • 2008-07-09 06:56:16 2,048 --s-a-w C:\WINDOWS\bootstat.dat
  • 2008-07-09 06:04:39 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
  • 2008-07-09 06:43:12 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
  • 2008-07-09 06:04:39 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
  • 2008-07-09 06:43:12 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
  • 2008-07-09 06:04:39 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
  • 2008-07-09 06:44:32 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-09-29 00:00 13312]

“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-11-14 12:54 2131392]

“AlcoholAutomount”=“d:\programy\Alcohol Soft\Alcohol 52\axcmd.exe” [2008-03-20 18:39 216520]

“SpybotSD TeaTimer”=“C:\Program Files\Spybot - Search Destroy\TeaTimer.exe” [2008-07-07 09:42 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“igfxtray”=“C:\WINDOWS\System32\igfxtray.exe” [2005-11-03 09:25 98304]

“igfxhkcmd”=“C:\WINDOWS\System32\hkcmd.exe” [2005-11-03 09:22 77824]

“igfxpers”=“C:\WINDOWS\System32\igfxpers.exe” [2005-11-03 09:26 118784]

“HP Software Update”=“C:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2007-03-11 21:34 49152]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_06\bin\jusched.exe” [2008-03-25 04:28 144784]

“egui”=“C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” [2008-03-13 16:48 1443072]

“Adobe Reader Speed Launcher”=“C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” [2008-06-12 02:38 34672]

“RTHDCPL”=“RTHDCPL.EXE” [2007-01-30 12:54 16116224 C:\WINDOWS\RTHDCPL.exe]

“SkyTel”=“SkyTel.EXE” [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2002-09-29 00:00 13312]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 21:26:24 210520]

R1 epfwtdir;epfwtdir;C:\WINDOWS\System32\DRIVERS\epfwtdir.sys [2008-03-13 16:52]

S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-09 08:56:30

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe

.

**************************************************************************

.

Completion time: 2008-07-09 8:57:21 - machine was rebooted

ComboFix-quarantined-files.txt 2008-07-09 06:57:18

ComboFix2.txt 2008-07-09 06:44:15

Pre-Run: 48,360,517,632 bajtów wolnych

Post-Run: 48,349,663,232 bajt˘w wolnych

184

#6

Log wydaje się czysty!

  1. Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

  2. Przeskanuj obszar Mój Komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

#7

9 lipiec 2008 10:17:05

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack. 1 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus 9/07/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus930461

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

C:\

D:\

E:\

F:\

G:\

Statystyki skanowania

Liczba skanowanych obiektów 72396

Liczba wykrytych wirusów 3

Liczba zainfekowanych obiektów 5

Liczba podejrzanych obiektów 0

Czas trwania skanowania 00:56:21

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\All Users\Dane aplikacji\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked pominięty

C:\Documents and Settings\C\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\cert8.db Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\formhistory.dat Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\history.dat Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\key3.db Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\parent.lock Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\search.sqlite Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\urlclassifier2.sqlite Object is locked pominięty

C:\Documents and Settings\C\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\C\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\Cache_CACHE_001_ Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\Cache_CACHE_002_ Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\Cache_CACHE_003_ Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\Cache_CACHE_MAP_ Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Historia\History.IE5\MSHist012008070920080710\index.dat Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\RECYCLER\S-1-5-21-1202660629-1647877149-725345543-1003\Dc1\Quarantine\C\WINDOWS\system32\Isass.exe.vir Zainfekowanych: Trojan-Proxy.Win32.Slaper.n pominięty

C:\RECYCLER\S-1-5-21-1202660629-1647877149-725345543-1003\Dc1\Quarantine\C\WINDOWS\system32\logon.exe.vir Zainfekowanych: Trojan-Proxy.Win32.Slaper.n pominięty

C:\System Volume Information_restore{39A5E3DD-4714-4F63-94F0-A28FF4979C2A}\RP21\change.log Object is locked pominięty

C:\WINDOWS\Debug\oakley.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

D:\programy instalacyjne\klcodec385f.exe/file004 Zainfekowanych: Trojan-Downloader.Win32.Agent.vpx pominięty

D:\programy instalacyjne\klcodec385f.exe Inno: zainfekowany - 1 pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

E:\System Volume Information_restore{7C2B8C38-D305-4151-B017-60927362CEF8}\RP91\A0046223.exe Zainfekowanych: not-a-virus:AdWare.Win32.EShoper.j pominięty

Proces skanowania został zakończony.

#8

Usuń ten plik

Opróżnij kosz

Pobierz The Avengerzaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

#9

Wydaje mi się że Kaspersky pokazał ci ze NOD32 to Wirus.

#10

zluruwany napisał/a

Na jakiej podstawie taka opinia!

#11

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File “E:\System Volume Information_restore{7C2B8C38-D305-4151-B017-60927362CEF8}\RP91\A0046223.exe” deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#12

Raport OK Rozumie że opróżniłeś kosz oraz usunąłeś zainfekowany plik. Przeskanuj jeszcze raz kontrolnie powinno być dobrze!

#13

9 lipiec 2008 12:37:10

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack. 1 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus 9/07/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus930461

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

C:\

D:\

E:\

F:\

G:\

Statystyki skanowania

Liczba skanowanych obiektów 72451

Liczba wykrytych wirusów 1

Liczba zainfekowanych obiektów 2

Liczba podejrzanych obiektów 0

Czas trwania skanowania 00:53:44

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\All Users\Dane aplikacji\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked pominięty

C:\Documents and Settings\C\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\cert8.db Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\formhistory.dat Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\history.dat Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\key3.db Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\parent.lock Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\search.sqlite Object is locked pominięty

C:\Documents and Settings\C\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\urlclassifier2.sqlite Object is locked pominięty

C:\Documents and Settings\C\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\C\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\Cache\38BF989Fd01 Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\Cache_CACHE_001_ Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\Cache_CACHE_002_ Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\Cache_CACHE_003_ Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\r8um30h8.default\Cache_CACHE_MAP_ Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Historia\History.IE5\MSHist012008070920080710\index.dat Object is locked pominięty

C:\Documents and Settings\C\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\System Volume Information_restore{39A5E3DD-4714-4F63-94F0-A28FF4979C2A}\RP21\change.log Object is locked pominięty

C:\WINDOWS\Debug\oakley.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\TEMP\HTT16.tmp Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

D:\programy instalacyjne\WindowsXP-KB936929-SP3-x86-PLK.exe Object is locked pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

D:\System Volume Information_restore{39A5E3DD-4714-4F63-94F0-A28FF4979C2A}\RP21\A0005515.exe/file004 Zainfekowanych: Trojan-Downloader.Win32.Agent.vpx pominięty

D:\System Volume Information_restore{39A5E3DD-4714-4F63-94F0-A28FF4979C2A}\RP21\A0005515.exe Inno: zainfekowany - 1 pominięty

D:\System Volume Information_restore{39A5E3DD-4714-4F63-94F0-A28FF4979C2A}\RP21\change.log Object is locked pominięty

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

E:\System Volume Information_restore{39A5E3DD-4714-4F63-94F0-A28FF4979C2A}\RP21\change.log Object is locked pominięty

Proces skanowania został zakończony.

#14

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

:slight_smile:

#15

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052