Trojan.Win32.Obfuscated.gx (porn adware


(Jjskuta) #1

Witam mam problem z Trojan.Win32.Obfuscated.gx (porn adware) - nie mogę go usunąć żadnym programem. Trochę szperałem i wyczytałem że trzeba użyć programu hijackthis. Więc uruchomiłem program i skopiowałem loga. Jestem trochę zielony i prosiłbym o pomoc jak się go pozbyć.

Logfile of HijackThis v1.99.1

Scan saved at 10:37:24, on 2008-04-14

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Program Files\Winamp\winampa.exe

C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe

C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe

C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program Files\Megatec\UPSilon 2000\Monw32.exe

C:\Program Files\Brother\ControlCenter3\brccMCtl.exe

C:\Program Files\Eset\nod32krn.exe

C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe

C:\Program Files\Megatec\UPSilon 2000\RupsMon.exe

C:\Program Files\Spyware Doctor\sdhelp.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program Files\Spyware Doctor\swdoctor.exe

C:\Program Files\Microsoft Office\Office\WINWORD.EXE

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe

C:\msoffice_str\Excel\EXCEL.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\Biuro\USTAWI~1\Temp\Rar$EX12.2829\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wp.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Sofos - {73776361-F206-4A50-9687-801C6FE9BA31} - C:\WINDOWS\sofos32x.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.0.1225.9868\swg.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll

O4 - HKLM..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM..\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM..\Run: [sSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKLM..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup

O4 - HKLM..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM..\Run: [brMfcWnd] C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

O4 - HKLM..\Run: [ControlCenter3] C:\Program Files\Brother\ControlCenter3\brctrcen.exe /autorun

O4 - HKLM..\Run: [PaperPort PTD] "C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe"

O4 - HKLM..\Run: [indexSearch] "C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe"

O4 - HKLM..\Run: [PPort11reminder] "C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\Documents and Settings\All Users\Dane aplikacji\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini

O4 - HKLM..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM..\Run: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Action Manager 32.lnk = C:\Program Files\ScannerU\AM32.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart17.exe

O4 - Global Startup: Rupsmon Daemon.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9724432562

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} (SignActivX Control) - https://www.bph.pl/sezam/components/SignActivX.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

O23 - Service: Rupsmon - Mega System Technologies, Inc. - C:\Program Files\Megatec\UPSilon 2000\RupsMon.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: USBMate - Mega Corp. - C:\Program Files\Megatec\UPSilon 2000\USBMate.exe


(Dawidex11) #2

Poniższe wpisy zafixuj w HijackThis , czyli zaznacz ptaszkiem wpisy i kliknij na Fix Checked …

O2 - BHO: Sofos - {73776361-F206-4A50-9687-801C6FE9BA31} - C:\WINDOWS\sofos32x.dll

Pobierz ComboFix’a :arrow: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Wklej do notatnika :

>>Plik>>Zapisz jako… >>> CFScript.txt

Przeciągnij i opuść plik CFScript.txt na plik ComboFix.exe (czyli ikonke CFScript.txt na ikonke ComboFix.exe)

post-55327-13856534058402_thumb.gif

Nastąpi usuwanie , po tym ComboFix wygeneruje log który wklej na http://www.wklej.org a w poście podaj tylko link .

Pozdrawiam :wink:


(Jjskuta) #3

http://www.wklej.org/id/afe53d2ce4


(Gutek) #4

Wklej do Notatnika:

File::

C:\WINDOWS\sofos32x.dll 

C:\smp.bat


Registry::

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cmaudio"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 

"Spyware Doctor"=-

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

Co to za folder Crack?


(Jjskuta) #5

Usunąłem folderfolder C: \Qoobox, i wstawiam nowego loga :

ComboFix 08-04-13.3 - Biuro 2008-04-15 7:49:10.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.582 [GMT 2:00]

Running from: C:\Documents and Settings\Biuro\Moje dokumenty\Programy\ComboFix.exe

Command switches used :: C:\Documents and Settings\Biuro\Moje dokumenty\Programy\CFscript.txt

* Created a new restore point

* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\smp.bat

C:\WINDOWS\sofos32x.dll

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\smp.bat

C:\WINDOWS\sofos32x.dll

.

((((((((((((((((((((((((( Files Created from 2008-03-15 to 2008-04-15 )))))))))))))))))))))))))))))))

.

2008-04-14 07:50 . 2008-04-14 07:55

2008-04-14 07:32 . 2006-05-25 15:52 162,304 --a------ C:\WINDOWS\system32\ztvunrar36.dll

2008-04-14 07:32 . 2003-02-02 20:06 153,088 --a------ C:\WINDOWS\system32\UNRAR3.dll

2008-04-14 07:32 . 2005-08-26 01:50 77,312 --a------ C:\WINDOWS\system32\ztvunace26.dll

2008-04-14 07:32 . 2002-03-06 01:00 75,264 --a------ C:\WINDOWS\system32\unacev2.dll

2008-04-14 07:32 . 2006-06-19 13:01 69,632 --a------ C:\WINDOWS\system32\ztvcabinet.dll

2008-04-14 07:31 . 2008-04-14 07:32

2008-04-14 07:31 . 2008-04-14 07:31

2008-04-14 07:31 . 2008-04-14 07:31

2008-04-14 07:15 . 2008-04-14 07:15

2008-04-14 07:15 . 2008-04-14 07:15

2008-04-14 07:15 . 2007-05-30 14:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2008-04-11 15:30 . 2008-04-11 15:30

2008-04-11 15:30 . 2008-04-11 15:31

2008-04-11 15:29 . 2008-04-11 15:29

2008-04-11 14:50 . 2008-04-11 14:50

2008-04-11 14:50 . 2008-04-11 14:53

2008-04-09 14:42 . 2007-02-06 19:50 61,952 --------- C:\WINDOWS\system32\BrNetSti.dll

2008-04-09 14:42 . 2006-12-26 19:39 37,376 --------- C:\WINDOWS\system32\Brnsplg.dll

2008-04-09 14:42 . 2007-01-26 15:06 34,816 --------- C:\WINDOWS\system32\BrWiaNCp.dll

2008-04-09 14:42 . 2007-01-26 15:05 18,944 --------- C:\WINDOWS\system32\BrnStiCp.cpl

2008-04-09 14:42 . 2006-11-20 20:48 9,728 --------- C:\WINDOWS\system32\BrSti07a.dll

2008-04-09 14:40 . 2008-04-09 14:40

2008-04-09 08:45 . 2008-04-09 08:45

2008-04-09 08:45 . 2008-04-09 08:45

2008-04-09 08:45 . 2008-04-09 08:45 253,116 --a------ C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_2875.exe

2008-04-09 08:45 . 2005-10-15 12:32 196,608 --a------ C:\WINDOWS\system32\pdfcmnnt.dll

2008-04-09 08:45 . 1998-06-24 00:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX

2008-04-09 08:45 . 1998-07-06 00:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL

2008-04-09 08:45 . 2008-04-09 08:45 14,290 --a------ C:\Program Files\settings.dat

2008-03-26 14:07 . 2008-03-26 14:07

2008-03-26 13:46 . 2008-03-26 13:47

2008-03-26 13:00 . 2008-03-26 13:00 31,567 --a------ C:\WINDOWS\maxlink.ini

2008-03-26 12:20 . 2008-03-26 12:20 404 --a------ C:\WINDOWS\BRWMARK.INI

2008-03-26 12:20 . 2008-03-26 12:20 27 --a------ C:\WINDOWS\BRPP2KA.INI

2008-03-26 12:19 . 2008-04-09 14:42 999 --a------ C:\WINDOWS\Brpfx04a.ini

2008-03-26 12:19 . 2008-04-09 14:42 154 --a------ C:\WINDOWS\brpcfx.ini

2008-03-26 12:19 . 2008-04-09 14:42 50 --a------ C:\WINDOWS\system32\bridf07a.dat

2008-03-26 12:18 . 2008-03-26 12:18

2008-03-26 12:17 . 2008-03-26 12:17

2008-03-26 12:17 . 2008-03-26 12:17

2008-03-26 11:05 . 2004-08-04 00:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys

2008-03-26 11:05 . 2004-08-04 00:08 31,616 --a–c— C:\WINDOWS\system32\dllcache\usbccgp.sys

2008-03-20 14:52 . 2008-03-20 14:52

2008-03-20 14:52 . 2008-03-20 14:52 13 —h----- C:\WINDOWS\c3hb.dat

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-14 12:42 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP

2008-04-14 12:11 --------- d-----w C:\Program Files\ESET

2008-04-11 11:15 --------- d-----w C:\Program Files\Spyware Doctor

2008-04-10 12:56 --------- d-----w C:\Documents and Settings\Biuro\Dane aplikacji\Kingston

2008-03-26 11:00 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\ScanSoft

2008-03-26 10:57 --------- d-----w C:\Program Files\Common Files\ScanSoft Shared

2008-03-26 10:18 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-03-26 09:22 --------- d-----w C:\Program Files\Java

2008-03-20 07:55 --------- d-----w C:\Program Files\Winamp

2008-03-19 12:49 --------- d-----w C:\Documents and Settings\Biuro\Dane aplikacji\uTorrent

2008-03-13 10:16 --------- d-----w C:\Program Files\YouTube Video Downloader

2008-03-10 10:30 --------- d-----w C:\Program Files\ScannerU

2008-03-10 07:49 --------- d-----w C:\Program Files\IPSPI

2008-03-06 10:16 --------- d-----w C:\Program Files\Recuva

2008-02-21 12:47 --------- d-----w C:\Program Files\FreeCommander

2008-02-21 12:47 --------- d-----w C:\Documents and Settings\Biuro\Dane aplikacji\AD ON Multimedia

.

((((((((((((((((((((((((((((( snapshot@2008-04-14_14.17.21,20 )))))))))))))))))))))))))))))))))))))))))

.

  • 2008-04-14 04:52:56 2,048 --s-a-w C:\WINDOWS\bootstat.dat
  • 2008-04-15 04:54:03 2,048 --s-a-w C:\WINDOWS\bootstat.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2006-03-02 14:00 15360]

“MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-10-13 18:24 1694208]

“swg”=“C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-10-10 14:02 68856]

“SpybotSD TeaTimer”=“C:\Program Files\Spybot - Search Destroy\TeaTimer.exe” [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“igfxtray”=“C:\WINDOWS\system32\igfxtray.exe” [2005-09-20 04:35 94208]

“igfxhkcmd”=“C:\WINDOWS\system32\hkcmd.exe” [2005-09-20 04:32 77824]

“igfxpers”=“C:\WINDOWS\system32\igfxpers.exe” [2005-09-20 04:36 114688]

“RemoteControl”=“C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe” [2003-10-31 20:42 32768]

“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 12:50 155648]

“HP Software Update”=“C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe” [2003-06-25 12:24 49152]

“HP Component Manager”=“C:\Program Files\HP\hpcoretech\hpcmpmgr.exe” [2003-10-23 20:51 233472]

“HPDJ Taskbar Utility”=“C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe” [2003-07-28 15:43 188416]

“DeviceDiscovery”=“C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe” [2003-05-21 19:37 229437]

“SSBkgdUpdate”=“C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe” [2006-10-25 10:03 210472]

“WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2006-02-21 18:15 35328]

“PCSuiteTrayApplication”=“C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe” [2006-11-28 14:12 222720]

“nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-01-25 14:07 921600]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe” [2008-02-22 05:25 144784]

“BrMfcWnd”=“C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe” [2007-03-23 14:14 663552]

“ControlCenter3”=“C:\Program Files\Brother\ControlCenter3\brctrcen.exe” [2007-01-26 16:58 65536]

“PaperPort PTD”=“C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe” [2007-01-29 22:12 30248]

“IndexSearch”=“C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe” [2007-01-29 22:10 46632]

“PPort11reminder”=“C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe” [2007-02-01 14:46 255528]

“!AVG Anti-Spyware”=“C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” [2007-06-11 11:25 6731312]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2006-03-02 14:00 15360]

“PcSync”=“C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe” [2006-11-09 17:15 1634304]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Action Manager 32.lnk - C:\Program Files\ScannerU\AM32.exe [2007-01-29 12:22:20 69632]

Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 15:44:06 29696]

AutoCAD Startup Accelerator.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart17.exe [2006-03-23 22:16:32 11000]

Rupsmon Daemon.lnk - C:\Program Files\Megatec\UPSilon 2000\Monw32.exe [2007-01-29 12:01:33 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusDisableNotify”=dword:00000001

“UpdatesDisableNotify”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“E:\kopia_starego\Nowy folder (2)\Crack\FlexLM\adskflex.exe”=

“E:\kopia_starego\Nowy folder (2)\Crack\FlexLM\lmgrd.exe”=

“E:\kopia_starego\Nowy folder (2)\Crack\Nowy folder (3)\utorrent.exe”=

“E:\kopia_starego\Nowy folder (2)\Crack\Nowy folder (3)\Gadu-Gadu\gg.exe”=

R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 13:50]

R3 BrSerIf;Brother MFC Serial Port Interface WDM Driver;C:\WINDOWS\system32\Drivers\BrSerIf.sys [2006-12-12 12:28]

R3 BrUsbSer;Brother MFC USB Serial WDM Driver;C:\WINDOWS\system32\Drivers\BrUsbSer.sys [2006-09-03 10:53]

S3 GT680xNT;715 USB Scanner Driver;C:\WINDOWS\system32\drivers\gt680x.sys [2003-02-27 00:55]

S3 WideUSB;WideUSB Generic USB Bulk driver;C:\WINDOWS\system32\Drivers\WideUSB.sys [2005-11-18 19:38]

*Newly Created Service* - AVGASCLN

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-15 07:54:02

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mchInjDrv]

“ImagePath”="??\C:\WINDOWS\TEMP\mc22.tmp"

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe

  • C:\Program Files\Eset\pr_imon.dll

.

Completion time: 2008-04-15 7:55:47

ComboFix-quarantined-files.txt 2008-04-15 05:55:41

ComboFix2.txt 2008-04-14 12:18:45

Pre-Run: 26,534,293,504 bajtów wolnych

Post-Run: 26,524,966,912 bajtów wolnych


(huber2t) #6

Log jest czysty

Przeskanuj komputer tym http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(Jjskuta) #7

Zamieszczam raport z skanowania systemu:


KASPERSKY ONLINE SCANNER REPORT

18 kwiecień 2008 09:14:11

System operacyjny: Microsoft Windows XP Home Edition, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus18/04/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus713559


Ustawienia skanowania:

Skanowanie przy użyciu następujących baz danych: rozszerzone

Skanuj archiwa: tak

Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:

A:\

C:\

D:\

E:\

F:\

G:\

Statystyki skanowania:

Liczba skanowanych obiektów: 56652

Liczba wykrytych wirusów: 3

Liczba zainfekowanych obiektów: 8

Liczba podejrzanych obiektów: 0

Czas trwania skanowania: 01:01:22

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraCTLCN.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraSTMLM.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraSTMON.log Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraWDLMW.log Object is locked pominięty

C:\Documents and Settings\Biuro\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Biuro\Moje dokumenty\Programy\hijackthis.zip/backups/backup-20080414-140327-305.dll Zainfekowanych: Trojan-Downloader.Win32.Peregar.ak pominięty

C:\Documents and Settings\Biuro\Moje dokumenty\Programy\hijackthis.zip ZIP: zainfekowany - 1 pominięty

C:\Documents and Settings\Biuro\Moje dokumenty\Programy\vdownloader_3_[www.programosy.pl].zip/VDownloader.exe Zainfekowanych: not-a-virus:Downloader.Win32.VDown.a pominięty

C:\Documents and Settings\Biuro\Moje dokumenty\Programy\vdownloader_3_[www.programosy.pl].zip ZIP: zainfekowany - 1 pominięty

C:\Documents and Settings\Biuro\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Biuro\NTUSER.DAT.LOG Object is locked pominięty

C:\Documents and Settings\Biuro\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty

C:\Documents and Settings\Biuro\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Biuro\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Biuro\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Biuro\Ustawienia lokalne\Historia\History.IE5\MSHist012008041820080419\index.dat Object is locked pominięty

C:\Documents and Settings\Biuro\Ustawienia lokalne\Temp~DFF49C.tmp Object is locked pominięty

C:\Documents and Settings\Biuro\Ustawienia lokalne\Temp~DFF4B1.tmp Object is locked pominięty

C:\Documents and Settings\Biuro\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty

C:\Documents and Settings\Biuro\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2008-04-18.07-54-11.log Object is locked pominięty

C:\Program Files\ESET\cache\CACHE.NDB Object is locked pominięty

C:\Program Files\ESET\logs\virlog.dat Object is locked pominięty

C:\Program Files\ESET\logs\warnlog.dat Object is locked pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information_restore{9AD6394D-517C-42C3-B23C-C51C6B2E285C}\RP288\A0051530.exe Zainfekowanych: not-a-virus:Downloader.Win32.VDown.a pominięty

C:\System Volume Information_restore{9AD6394D-517C-42C3-B23C-C51C6B2E285C}\RP297\A0051862.exe Zainfekowanych: not-a-virus:Downloader.Win32.VDown.a pominięty

C:\System Volume Information_restore{9AD6394D-517C-42C3-B23C-C51C6B2E285C}\RP315\A0053073.exe Zainfekowanych: not-a-virus:FraudTool.Win32.IeDefender.cg pominięty

C:\System Volume Information_restore{9AD6394D-517C-42C3-B23C-C51C6B2E285C}\RP318\A0053306.dll Zainfekowanych: Trojan-Downloader.Win32.Peregar.ak pominięty

C:\System Volume Information_restore{9AD6394D-517C-42C3-B23C-C51C6B2E285C}\RP322\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

Proces skanowania został zakończony.


(Leon$) #8

do usunięcia

Wyłącz a potem włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

:slight_smile:


(Jjskuta) #9

Nie widzę folderu System restore informationn


(huber2t) #10

Ty nie musisz usuwać plików z tego folderu, jeśli wyłączysz i właczysz przywracanie systemu na wszsytkich dyskach wtedy te pliki same się usuną


(Gutek) #11

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350


(Gutek) #12

OT KOSZ