Ovitz
(Ovitz Pl)
21 Sierpień 2007 05:27
#1
I jak czysty jest? C:)
Log z HT
Logfile of HijackThis v1.99.1
Scan saved at 07:26:38, on 2007-08-21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDLL32.exe
D:\Programy\DAEMON Tools\daemon.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\WINDOWS\system32\devldr32.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\Programy\Opera\Opera.exe
D:\Programy\TC PowerPack\totalcmd.exe
C:\Program Files\Spyware Doctor\swdoctor.exe
D:\Moje\Instalki\Dla Windowsa\Walka z dziadostwem\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://cdmarcos.yoyo.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programy\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Rundll32] C:\WINDOWS\RundII32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Odkurzacz-MCD] C:\Program Files\Odkurzacz\odk_mcd.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
jessica
(jessica)
21 Sierpień 2007 06:45
#2
To jest wpis “Backdoor.Win32.Delf.na”.
(uwaga: to jest Rundii32.exe, a nie Rundll32.exe -czyli duże "ii")
Rundll.exe - dobry
RundII32.exe - zły
Ten w/w wpis sfiksuj w Hijacku:
>>Hijack>>scan(Do a system scan only)>>zaznacz go >> Fix checked .
Zaznaczony na czerwono plik usuń - pewnie masz czym usuwać, skoro już coś usuwałeś.
Możesz dać jeszcze log z ComboFixa:
ComboFix (na dole tej strony z linku) -
Log wklej na http://wklej.org/ , a w poście daj tylko link.
jessi
Ovitz
(Ovitz Pl)
21 Sierpień 2007 09:00
#3
Dzięki za wyczerpująca odpowiedź
Wpis skasowany a TUTAJ raport z CombotFix’a.
Teraz wszystko gra i buczy? O:)
jessica
(jessica)
21 Sierpień 2007 09:23
#4
Nie jestem przekonana, że wszystko “gra i buczy”.
Taki plik nie powinien w ogóle istnieć.
Został zainstalowany we wszystkich możliwych miejscach w systemie, nawet w takich miejscach, w których pliki o rozszerzeniu *.exe nigdy nie powinny się znaleźć.
To mnie bardzo niepokoi.
W logu pod tą samą datą zostało zainstalowanych bardzo dużo takich nieznanych plików.
ComboFix usunął samodzielnie tylko jeden z nich, a pozostałe zostawił, nie wiem dlaczego?
EDIT:
Na dodatek te wszystkie pliki zostały zainstalowane jednocześnie z tym plikiem, który niby usunąłeś, a który dalej jest widoczny w logu.
Ja proponuję, byś wszystkie usuwał jednocześnie - może wtedy uda się je usunąć?
jessi
Ovitz
(Ovitz Pl)
21 Sierpień 2007 10:30
#5
DObra usunołem te 3 pliki… Mam nadzieje że to tylko pozostałości po troyanie…
jessica
(jessica)
21 Sierpień 2007 11:31
#6
Jakie trzy pliki?
Tych plików masz kilkadziesiąt:
C:\DOCUME~1\ALLUSE~1\DANEAP~1\Forder_info.exe C:\DOCUME~1\LOCALS~1\DANEAP~1\Forder_info.exe C:\WINDOWS\RundII32.exe C:\WINDOWS\addins\Forder_info.exe C:\WINDOWS\AppPatch\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Img\Forder_info.exe C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Img\WMarks\Forder_info.exe C:\WINDOWS\ime\imejp\Forder_info.exe C:\WINDOWS\ime\shared\res\Forder_info.exe C:\WINDOWS\Installer{E659E0EE-10E6-49B7-8696-60F38D0EB174}\Forder_info.exe C:\WINDOWS\java\classes\Forder_info.exe C:\WINDOWS\mui\Forder_info.exe C:\WINDOWS\Offline Web Pages\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Logs\Forder_info.exe C:\WINDOWS\pchealth\helpctr\PackageStore\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\images\Expando\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\Remote Assistance\Interaction\Forder_info.exe C:\WINDOWS\pchealth\helpctr\System\Remote Assistance\Interaction\Server\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Temp\Forder_info.exe C:\WINDOWS\pchealth\helpctr\Vendors\CN=Microsoft Corporation,L=Redmond,S=Washington,C=US\Remote Assistance\Escalation\Unsolicited\Forder_info.exe C:\WINDOWS\Provisioning\Forder_info.exe C:\WINDOWS\Provisioning\Schemas\Forder_info.exe C:\WINDOWS\Resources\Forder_info.exe C:\WINDOWS\security\logs\Forder_info.exe C:\WINDOWS\SoftwareDistribution\Forder_info.exe C:\WINDOWS\SoftwareDistribution\Download\Forder_info.exe C:\WINDOWS\system32\1031\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\Microsoft\SystemCertificates\My\CTLs\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Menu Start\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Menu Start\Programy\Akcesoria\Rozrywka\Forder_info.exe C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows Media\Forder_info.exe C:\WINDOWS\system32\drivers\Forder_info.exe C:\WINDOWS\system32\export\Forder_info.exe C:\WINDOWS\system32\IME\PINTLGNT\Forder_info.exe C:\WINDOWS\system32\Microsoft\Forder_info.exe C:\WINDOWS\system32\oobe\actsetup\Forder_info.exe C:\WINDOWS\system32\oobe\html\dslmain\Forder_info.exe C:\WINDOWS\system32\oobe\html\isptype\Forder_info.exe C:\WINDOWS\system32\oobe\html\mouse\Forder_info.exe C:\WINDOWS\system32\ras\Forder_info.exe C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\Forder_info.exe C:\WINDOWS\system32\ReinstallBackups\0000\DriverFiles\i386\Forder_info.exe C:\WINDOWS\system32\ReinstallBackups\0001\Forder_info.exe C:\WINDOWS\system32\spool\drivers\color\Forder_info.exe C:\WINDOWS\system32\spool\PRINTERS\Forder_info.exe C:\WINDOWS\system32\wbem\mof\bad\Forder_info.exe C:\WINDOWS\system32\wbem\Repository\Forder_info.exe C:\WINDOWS\system32\wbem\xml\Forder_info.exe C:\WINDOWS\WinSxS\Forder_info.exe C:\WINDOWS\WinSxS\Policies\x86_policy.5.1.Microsoft.Windows.SystemCompatible_6595b64144ccf1df_x-ww_a0111510\Forder_info.exe C:\WINDOWS\WinSxS\Policies\x86_policy.5.2.Microsoft.Windows.Networking.Rtcdll_6595b64144ccf1df_x-ww_c7b7206f\Forder_info.exe C:\WINDOWS\WinSxS\Policies\x86_policy.8.0.Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_x-ww_caeee150\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.0.0_x-ww_8d353f13\Forder_info.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Networking.RtcRes_6595b64144ccf1df_5.2.2.3_pl_1e21c8cd\Forder_info.exe
Mają atrybuty: “ukryty” i “systemowy ukryty”, więc trzeba najpierw zdjąć te atrybuty, by móc je zobaczyć.
jessi
Ovitz
(Ovitz Pl)
21 Sierpień 2007 12:23
#7
Miałem tych plików pełno na D. Wziełem w zwykłej wyszukiwarce win żeby mi wszystkie te pliki Forder_info znalazło. Miałem ich ponad 2500
Usunołem je bez problemu ale tych z Katalogu “Windows” coś nie chce znaleść… Ręczne kasowanie i szukanie będzie monotonne…
–Edycja
Usunołem już wszyskie te pliki… Wziołem żeby mi pokazywało pliki systemowe i znalazł ja tylko “Ctrl + A” i delete potem :)… 1087 plików pod nazwą Forder_info.exe usunięto
Ovitz
(Ovitz Pl)
21 Sierpień 2007 13:10
#9
Proszę bardzo
Logfile of HijackThis v1.99.1
Scan saved at 15:03:25, on 2007-08-21
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Doctor\sdhelp.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
D:\Programy\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
C:\WINDOWS\system32\devldr32.exe
D:\Programy\Opera\Opera.exe
D:\Programy\AQQ\AQQ.exe
D:\Programy\Winamp\winamp.exe
D:\Programy\TC PowerPack\totalcmd.exe
D:\Moje\Instalki\Dla Windowsa\Walka z dziadostwem\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://cdmarcos.yoyo.pl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programy\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\RT2500 Wireless LAN Card\Installer\WINXP\RaConfig2500.exe
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Program Files\Ares\chatServer.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\DiskeeperLite\DKService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe
A Tutaj Raport
Ovitz
(Ovitz Pl)
23 Sierpień 2007 17:04
#11
SDFix log:
SDFix: Version 1.99
Run by Administrator on 2007-08-23 at 18:55
Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix
Safe Mode:
Checking Services:
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting...
Normal Mode:
Checking Files:
No Trojan Files Found
Removing Temp Files...
ADS Check:
C:\WINDOWS
No streams found.
C:\WINDOWS\system32
No streams found.
C:\WINDOWS\system32\svchost.exe
No streams found.
C:\WINDOWS\system32\ntoskrnl.exe
No streams found.
Final Check:
Remaining Services:
------------------
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"D:\\Programy\\AQQ\\AQQ.exe"="D:\\Programy\\AQQ\\AQQ.exe:*:Enabled:P2P AQQ"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
Remaining Files:
---------------
Registry Backups: - C:\SDFix\backups\backupreg.zip
Full Registry Backup: - C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
Files with Hidden Attributes:
C:\Documents and Settings\Ovitz\Ustawienia lokalne\Historia\History.IE5\MSHist012007071620070723\Forder_info.exe
C:\WINDOWS\Offline Web Pages\Forder_info.exe
C:\WINDOWS\system\Sys_Tray.exe
Finished
A teraz Raport z CF
jessica
(jessica)
23 Sierpień 2007 18:00
#12
Zaznaczone na czerwono pliki - usuń (mają atrybut “ukryte”)
Plik zaznaczony na niebiesko jest nieznany w tej lokalizacji, nie powinno go tam być, więc go sprawdź na http://virusscan.jotti.org/
Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552
albo na http://www.virustotal.com/en/indexf.html
(korzysta się podobnie jak z JOTTI).
A właściwie to nawet nie sprawdzaj, tylko od razu usuń, bo powstał w tej samej chwili, co “fordery” i na dodatek ma identyczny rozmiar.
Jednym słowem - usuń!
2007-08-21 11:345,508,608–a------C:\WINDOWS\system32\A3logon.exe 2007-08-21 11:344,770–a------C:\Temp\luisetup.bat 2007-08-21 11:344,654–a------C:\Temp\A3setup.bat 2007-08-21 11:34289–a------C:\WINDOWS\preA3.cmd 2007-08-21 11:34287–a------C:\WINDOWS\A3logon.cmd 2007-08-21 11:34 2007-08-21 11:34 2007-08-21 11:34 2007-08-21 11:34 2007-08-21 11:34 2007-08-21 11:34 2007-08-21 11:34 2007-08-21 11:34
Te powyższe powstały jednocześnie i są albo w ogóle nieznane, albo nieznane w tych lokalizacjach.
Plik zaznaczony na czerwono sprawdź na JOTTI lub VIRUSTOTAL.
Jeśli coś w nom znajdą, to usuń wszystkie.
jessi