Prośba o sprawdzenie logów - wirusy

system · 5 Listopad 2007 19:25

Witam.

Mam problem z wirusem, zostałem za to odłączony od sieci i musiałem formatowac komputer… jednak po formacie wirus znowu jest widoczny jako ikonka na dysku C o nbazwie “3d3t4t8n7l” ikonka przypomina krzyzyk na czarnym tle

natomiast w menu start jest jjakis dziwny program o nazwie “carlton”

i niebardzo umię sobie z nim poradzić…

tu jest log z HijackThis:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:10:38, on 2007-11-05 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Lexmark 4300 Series\lxcemon.exe C:\Program Files\Lexmark 4300 Series\ezprint.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\VTTray.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\System32\svchost.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\System32\lxcecoms.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\Gadu-Gadu\gg.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM…\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16 O4 - HKLM…\Run: [lxcemon.exe] “C:\Program Files\Lexmark 4300 Series\lxcemon.exe” O4 - HKLM…\Run: [EzPrint] “C:\Program Files\Lexmark 4300 Series\ezprint.exe” O4 - HKLM…\Run: [FaxCenterServer] “C:\Program Files\Lexmark Fax Solutions\fm3032.exe” /s O4 - HKLM…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [instantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU…\Run: [iW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxcecoms.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: s3contrl (32-bit) - Unknown owner - C:\WINDOWS\VTTray.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe – End of file - 4126 bytes

A tu z combofixa:

ComboFix 07-11-01.1** - Marffik 2007-11-05 20:20:34.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.492 [GMT 1:00] Running from: C:\Documents and Settings\Marffik\Pulpit\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((( Files Created from 2007-10-05 to 2007-11-05 ))))))))))))))))))))))))))))))) . 2007-11-05 20:19 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-05 20:16 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe 2007-11-05 20:16 53,248 --a------ C:\WINDOWS\system32\process.exe 2007-11-05 20:16 8,925 --a------ C:\clean.bat 2007-11-05 20:16 4,096 --a------ C:\WINDOWS\system32\reboot.exe 2007-11-05 20:16 347 --a------ C:\run2.reg 2007-11-05 20:10 2007-11-05 20:09 2007-11-05 20:09 2007-11-05 20:07 2007-11-05 20:07 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-11-05 20:07 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-11-05 20:07 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-11-05 20:07 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-11-05 20:07 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-11-05 20:07 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-11-05 20:07 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-11-05 20:03 44,495 --a------ C:\3d3t4t8n7l.exe 2007-11-05 20:01 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-05 19:02 42,496 ----a-w C:\WINDOWS\system32\ftp.exe 2007-11-05 19:02 16,896 ----a-w C:\WINDOWS\system32\tftp.exe 2007-11-05 18:56 --------- d–h--w E:\Program Files\Common Files\Carlson 2007-11-05 18:52 --------- d-----w C:\Documents and Settings\Marffik\Dane aplikacji\FaxCtr 2007-11-05 18:34 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\FaxCtr 2007-11-05 18:27 1,816,779 ----a-w C:\WINDOWS\Recorder.reg 2007-11-05 17:56 577,024 --sh–r C:\WINDOWS\VTTray.exe 2007-11-05 17:56 133,120 ----a-w C:\WINDOWS\system32\sfc_os.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2004-07-13 01:50] “nwiz”=“nwiz.exe” [2004-07-13 01:50 C:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“C:\WINDOWS\System32\NvMcTray.dll” [2004-07-13 01:50] “PinnacleDriverCheck”=“C:\WINDOWS\System32\PSDrvCheck.exe” [2003-11-10 16:06] “LXCECATS”=“C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll” [2005-07-20 14:46] “lxcemon.exe”=“C:\Program Files\Lexmark 4300 Series\lxcemon.exe” [2005-08-02 18:47] “EzPrint”=“C:\Program Files\Lexmark 4300 Series\ezprint.exe” [2005-07-26 13:17] “FaxCenterServer”=“C:\Program Files\Lexmark Fax Solutions\fm3032.exe” [2005-07-12 10:36] “avast!”=“D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-04-30 17:42] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2001-10-26 18:29] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2001-08-02 07:14] “InstantTray”=“C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe” [2004-05-06 15:14] “IW_Drop_Icon”=“C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe” [2004-07-30 15:10] “Gadu-Gadu”=“D:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 15:36] R0 VOBID;VOBID;C:\WINDOWS\System32\DRIVERS\vobid.sys R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys R1 vobiw;vobiw;C:\WINDOWS\System32\drivers\vobiw.sys R2 s3contrl (32-bit);s3contrl (32-bit);“C:\WINDOWS\VTTray.exe” R2 SPF4;Sunbelt Personal Firewall 4;D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe R3 cdrdrv;Cdrdrv;C:\WINDOWS\System32\Drivers\Cdrdrv.sys R3 usbscan;Sterownik skanera USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys R3 usbstor;Sterownik magazynu masowego USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS *Newly Created Service* - CATCHME *Newly Created Service* - FWDRV *Newly Created Service* - KHIPS *Newly Created Service* - SPF4 . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-05 20:23:36 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden autostart entries … HKLM\Software\Microsoft\Windows\CurrentVersion\Run LXCECATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16??? scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-05 20:24:46 . — E O F —

Xaros · 5 Listopad 2007 20:05

Log z HJT jest czysty o ile się nie mylę A co do tego wirusa i pliku to usuń to A jeśli się nie da to zainstaluj Adaware i zrób skana, tak samo twoim antywirusem.

jessica · 5 Listopad 2007 20:20

@Xaros - Log z Hijacka nie jest wcale czysty.

@Marffik -

>>Hijack>>scan(Do a system scan only)>>zaznacz (V) >> Fix checked.

Wklej do Notatnika :

File::

C:\WINDOWS\VTTray.exe

C:\3d3t4t8n7l.exe


Driver::

"s3contrl (32-bit)"


Folder::

E:\Program Files\Common Files\Carlson

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj ten log.

jessi

Gutek · 5 Listopad 2007 22:35

jeszcze raz będziesz wypisywał bzdury to polecą nagrody

system · 6 Listopad 2007 17:10

tu jest log po tych operacjach :

ComboFix 07-11-01.1** - Marffik 2007-11-06 17:57:27.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.506 [GMT 1:00] Running from: C:\Documents and Settings\Marffik\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Marffik\Pulpit\CFScript.txt * Created a new restore point FILE:: C:\3d3t4t8n7l.exe C:\WINDOWS\VTTray.exe . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\3d3t4t8n7l.exe C:\WINDOWS\VTTray.exe E:\Program Files\Common Files\Carlson E:\Program Files\Common Files\Carlson\carlton . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_S3CONTRL_(32-BIT) -------\s3contrl (32-bit) ((((((((((((((((((((((((( Files Created from 2007-10-06 to 2007-11-06 ))))))))))))))))))))))))))))))) . 2007-11-06 17:56 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-05 21:31 2007-11-05 21:26 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 20:47 2007-11-05 20:47 2007-11-05 20:34 1,156 --a------ C:\WINDOWS\mozver.dat 2007-11-05 20:31 2007-11-05 20:31 2007-11-05 20:31 2007-11-05 20:16 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe 2007-11-05 20:16 53,248 --a------ C:\WINDOWS\system32\process.exe 2007-11-05 20:16 8,925 --a------ C:\clean.bat 2007-11-05 20:16 4,096 --a------ C:\WINDOWS\system32\reboot.exe 2007-11-05 20:16 347 --a------ C:\run2.reg 2007-11-05 20:09 2007-11-05 20:07 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-11-05 20:07 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-11-05 20:07 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-11-05 20:07 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-11-05 20:07 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-11-05 20:07 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-11-05 20:07 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-06 16:46 42,496 ----a-w C:\WINDOWS\system32\ftp.exe 2007-11-06 16:46 16,896 ----a-w C:\WINDOWS\system32\tftp.exe 2007-11-05 20:18 165 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err 2007-11-05 18:52 --------- d-----w C:\Documents and Settings\Marffik\Dane aplikacji\FaxCtr 2007-11-05 18:34 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\FaxCtr 2007-11-05 18:27 1,816,779 ----a-w C:\WINDOWS\Recorder.reg 2007-11-05 17:56 133,120 ----a-w C:\WINDOWS\system32\sfc_os.dll . ((((((((((((((((((((((((((((( snapshot@2007-11-05_20.23.58,40 ))))))))))))))))))))))))))))))))))))))))) . + 2007-03-13 09:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE - 2007-11-05 19:02:14 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2007-11-06 16:52:10 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2007-11-05 19:02:14 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat + 2007-11-06 16:52:10 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat - 2007-11-05 19:02:14 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat + 2007-11-06 16:52:10 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat - 2007-11-05 19:02:15 42,496 -c–a-w C:\WINDOWS\system32\dllcache\ftp.exe + 2007-11-06 16:46:30 42,496 -c–a-w C:\WINDOWS\system32\dllcache\ftp.exe - 2007-11-05 19:02:15 16,896 -c–a-w C:\WINDOWS\system32\dllcache\tftp.exe + 2007-11-06 16:46:30 16,896 -c–a-w C:\WINDOWS\system32\dllcache\tftp.exe + 2007-06-11 12:34:00 2,115,816 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll + 2007-06-11 12:34:00 190,696 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe - 2007-11-05 18:56:09 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-11-05 19:30:08 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-11-05 18:56:09 49,492 ----a-w C:\WINDOWS\system32\perfc015.dat + 2007-11-05 19:30:08 49,492 ----a-w C:\WINDOWS\system32\perfc015.dat - 2007-11-05 18:56:09 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-11-05 19:30:08 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-11-05 18:56:09 355,486 ----a-w C:\WINDOWS\system32\perfh015.dat + 2007-11-05 19:30:08 355,486 ----a-w C:\WINDOWS\system32\perfh015.dat + 2007-11-06 17:01:29 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_61c.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2004-07-13 01:50] “nwiz”=“nwiz.exe” [2004-07-13 01:50 C:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“C:\WINDOWS\System32\NvMcTray.dll” [2004-07-13 01:50] “PinnacleDriverCheck”=“C:\WINDOWS\System32\PSDrvCheck.exe” [2003-11-10 16:06] “LXCECATS”=“C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll” [2005-07-20 14:46] “lxcemon.exe”=“C:\Program Files\Lexmark 4300 Series\lxcemon.exe” [2005-08-02 18:47] “EzPrint”=“C:\Program Files\Lexmark 4300 Series\ezprint.exe” [2005-07-26 13:17] “FaxCenterServer”=“C:\Program Files\Lexmark Fax Solutions\fm3032.exe” [2005-07-12 10:36] “avast!”=“D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-04-30 17:42] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2001-10-26 18:29] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2001-08-02 07:14] “InstantTray”=“C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe” [2004-05-06 15:14] “IW_Drop_Icon”=“C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe” [2004-07-30 15:10] “Gadu-Gadu”=“D:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 15:36] R0 VOBID;VOBID;C:\WINDOWS\System32\DRIVERS\vobid.sys R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys R1 vobiw;vobiw;C:\WINDOWS\System32\drivers\vobiw.sys R2 SPF4;Sunbelt Personal Firewall 4;D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe R3 cdrdrv;Cdrdrv;C:\WINDOWS\System32\Drivers\Cdrdrv.sys R3 usbscan;Sterownik skanera USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys R3 usbstor;Sterownik magazynu masowego USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-06 18:02:03 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-06 18:03:24 - machine was rebooted C:\ComboFix2.txt … 2007-11-05 20:24 . — E O F —

Po tym wirusie “3d3t4t8n7l” z tego co wiedzę nie ma ani śladu

jednak tego carltona dalej widzę przynamniej w menu start…

jessica · 6 Listopad 2007 17:25

Jak widać - ComboFix usunął tego “carltona”, więc nie wiem, co on robi w Twoim Autostarcie?

Może to tylko pusty zapis, bo w logu nie widzę, by był on a Autostarcie.

Wg mnie - log jest czysty.

Ale trochę niepokoi mnie data modyfikacjo tych plików. Czyżby coś się do nich “przykleiło”?

Może, tak na wszelki wypadek:

Użyj -->SDFix

Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym.

Pokaż Report.txt znajdujący się w folderze SDFix.

jessi

system · 6 Listopad 2007 17:56

już nie ma tego carltona więc to chyba to był pusty zapis tylko…

tu jest log

SDFix: Version 1.113 Run by Administrator on 2007-11-06 at 18:49 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files… ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-06 18:51:37 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden services & system hive … scanning hidden registry entries … [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,… scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" “D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe”=“D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI” “D:\Program Files\Gadu-Gadu\gg.exe”=“D:\Program Files\Gadu-Gadu\gg.exe:*:Enabled:Gadu-Gadu - program główny” [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Files with Hidden Attributes: Finished!

jessica · 6 Listopad 2007 18:03

Na szczęście wszystko jest w porządku - nic się nie podczepiło pod te pliki.

To wszystko z mojej strony.

jessi

system · 6 Listopad 2007 18:50

ok. Dzięki wielkie za pomoc

Pozdrawiam