Win32:Rootkit-gen [Rtk] - jak to usunąć?

michalj81 · 25 Lipiec 2008 14:33

witam!

jest juz podobny watek na forum, ale moderator odeslal mnie do stworzenia oddzielnego tematu. jak pisali inni uzytkownicy problem zwiazany jest z tym ze avast wykrywa wirusa Win32:Rootkit-gen [Rtk] i nie da sie go pozbyc. zalaczam moje logi z hijackthis:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:11:09, on 2008-07-25 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spyware Doctor\sdhelp.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\totalcmd\TOTALCMD.EXE C:\WINDOWS\explorer.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM…\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [QuickTime Task] “C:\WINDOWS\system32\qttask.exe” -atboottime O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [spyware Doctor] “C:\Program Files\Spyware Doctor\swdoctor.exe” /Q O4 - HKCU…\Run: [startCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘LOCAL SERVICE’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘NETWORK SERVICE’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program Files\Spyware Doctor\sdhelp.exe – End of file - 4644 bytes

bede wdzieczny za przejrzenie ich i udzielenie dalszych wskazowek jak sie pozbyc tego pasozyta. z gory dziekuje i pozdrawiam.

djarta · 25 Lipiec 2008 14:39

Ja nie widzę tu żadnej aktywnej infekcji.

Daj log z -----> ComboFix.

michalj81 · 25 Lipiec 2008 14:51

komunikat o wirusie pojawia sie tylko po starcie sytemu i poniej niezaleznie od opcji jaka wybiore (nie podejmuj akcji, kwarantanna, usun…) wszystko jest ok, ale pozniej, po kolenych uruchomieniach komputer zaczal sie wieszac. nic sie nie dalo zrobic i zrobilem format ale wirus jest dalej. oto logi z combofix:

ComboFix 08-07-24.3 - Michał Jaworski 2008-07-25 15:40:33.3 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1033.18.632 [GMT 1:00] Running from: D:\Downloads\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED . ((((((((((((((((((((((((( Files Created from 2008-06-25 to 2008-07-25 ))))))))))))))))))))))))))))))) . 2008-07-25 15:01 . 2008-07-25 15:01 2008-07-25 15:01 . 2004-03-09 00:00 1,081,616 --a------ C:\WINDOWS\system32\MSCOMCTL.OCX 2008-07-25 14:50 . 2008-07-25 14:50 98,304 --a------ C:\WINDOWS\system32\qttask.exe 2008-07-25 14:49 . 2008-07-25 14:49 2008-07-25 14:49 . 2008-07-25 14:49 2008-07-25 14:21 . 2008-07-25 14:21 2008-07-25 14:01 . 2008-07-25 14:01 2008-07-25 13:42 . 2008-07-25 13:42 2008-07-25 13:09 . 2008-07-25 13:09 2008-07-25 13:06 . 2007-03-22 21:05 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe 2008-07-25 13:05 . 2008-07-25 13:05 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-07-25 13:50 9,415 ----a-w C:\WINDOWS\system.tmp 2008-07-25 11:35 --------- d-----w C:\Program Files\Alwil Software 2008-07-25 11:33 --------- d-----w C:\Program Files\Spyware Doctor 2008-07-25 11:33 --------- d-----w C:\Documents and Settings\Michał Jaworski\Application Data\PC Tools 2008-07-25 11:19 21,419 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys 2008-07-25 11:18 --------- d–h--w C:\Program Files\InstallShield Installation Information 2008-07-25 11:18 --------- d-----w C:\Program Files\RALINK 2008-07-25 11:18 --------- d-----w C:\Program Files\Common Files\InstallShield 2008-07-25 11:16 --------- d-----w C:\Program Files\totalcmd 2008-07-25 11:10 --------- d-----w C:\Program Files\microsoft frontpage . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 12:00 15360] “Spyware Doctor”=“C:\Program Files\Spyware Doctor\swdoctor.exe” [2006-01-11 02:56 960000] “StartCCC”=“C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2006-11-10 12:35 90112] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2008-07-19 15:38 78008] “QuickTime Task”=“C:\WINDOWS\system32\qttask.exe” [2008-07-25 14:50 98304] “High Definition Audio Property Page Shortcut”=“HDAShCut.exe” [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 12:00 15360] “Spyware Doctor”=“C:\Program Files\Spyware Doctor\swdoctor.exe” [2006-01-11 02:56 960000] C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ Ralink Wireless Utility.lnk - C:\Program Files\RALINK\Common\RaUI.exe [2008-07-25 12:19:08 593920] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] “msacm.iac2”= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\iac25_32.ax “msacm.sl_anet”= C:\PROGRA~1\ACEMEG~1\SystemS\sl_anet.acm “vidc.yv12”= C:\PROGRA~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL “vidc.divx”= C:\PROGRA~1\ACEMEG~1\SystemS\DivX\DivX520.dll “vidc.iyuv”= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll “vidc.yvu9”= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll “vidc.uyvy”= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll “vidc.yuy2”= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll “vidc.yvyu”= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll “msacm.msaudio1”= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 15:35] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 15:37] . . ------- Supplementary Scan ------- . O8 -: Google Search - C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 -: Translate English Word - C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html O8 -: Backward Links - C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 -: Cached Snapshot of Page - C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 -: Similar Pages - C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 -: Translate Page into English - C:\Program Files\Google\GoogleToolbar1.dll/cmtrans.html ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-07-25 15:41:07 Windows 5.1.2600 Service Pack 2 FAT NTAPI scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\mchInjDrv] “ImagePath”="??\C:\WINDOWS\TEMP\mc21.tmp" . Completion time: 2008-07-25 15:41:25 ComboFix-quarantined-files.txt 2008-07-25 14:41:24 Pre-Run: 11,707,097,088 bytes free Post-Run: 11,704,279,040 bytes free 92 W dniu 25.07.2008, o godzinie 16:51 został dopisany post przez michalj81 wirus pojawial sie w pliku c:/windows/temp/mc21.tmp

Leon1 · 25 Lipiec 2008 14:53

log czysty

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

djarta · 25 Lipiec 2008 15:47

Gdzie znajduję sie ten wirus?Podaj dokładną lokalizację albo screena .

Leon1 · 25 Lipiec 2008 15:56

Przecież po to ma przeskanować Kasperskim

michalj81 · 25 Lipiec 2008 16:57

odnosnie jednego z pytan wirus byl w c:/windows/temp/mc21.tmp a wczesniej byl tez w katalogu temp w ustawieniach lokalnych. a to wyniki skanu z kasperskiego:

------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT 25 lipiec 2008 17:51:16 System operacyjny: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.0 Ostatnia aktualizacja Kaspersky Anti-Virus25/07/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus1007888 ------------------------------------------------------------------------------- Ustawienia skanowania: Skanowanie przy użyciu następujących baz danych: rozszerzone Skanuj archiwa: tak Skanuj pocztowe bazy danych: tak Obszar skanowania - Mój komputer: C:\ D:\ E:\ F:\ G:\ H:\ I:\ J:\ K:\ L:\ M:\ Statystyki skanowania: Liczba skanowanych obiektów: 33770 Liczba wykrytych wirusów: 7 Liczba zainfekowanych obiektów: 29 Liczba podejrzanych obiektów: 0 Czas trwania skanowania: 01:06:28 Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie C:\WINDOWS\system32\config\system.LOG Object is locked pominięty C:\WINDOWS\system32\config\software.LOG Object is locked pominięty C:\WINDOWS\system32\config\default.LOG Object is locked pominięty C:\WINDOWS\system32\config\SECURITY Object is locked pominięty C:\WINDOWS\system32\config\SAM Object is locked pominięty C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty C:\WINDOWS\system32\config\SYSTEM Object is locked pominięty C:\WINDOWS\system32\config\SOFTWARE Object is locked pominięty C:\WINDOWS\system32\config\DEFAULT Object is locked pominięty C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty C:\WINDOWS\system32\kspydoc.log Object is locked pominięty C:\WINDOWS\system32\Sweeper.cfg Object is locked pominięty C:\WINDOWS\Temp_avast4_\Webshlock.txt Object is locked pominięty C:\WINDOWS\Temp\Perflib_Perfdata_464.dat Object is locked pominięty C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty C:\WINDOWS\WindowsUpdate.log Object is locked pominięty C:\WINDOWS\SchedLgU.Txt Object is locked pominięty C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty C:\Documents and Settings\Michał Jaworski\NTUSER.DAT Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Temp~DF997D.tmp Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Temp\Perflib_Perfdata_a4.dat Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Temp\etilqs_EXr6L2Be9gd7deKPapal Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\History\History.IE5\MSHist012008072520080726\index.dat Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\History\History.IE5\index.dat Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_59R.wmdb Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Application Data\Microsoft\Windows Media\9.0\WMSDKNSD.XML Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\urlclassifier3.sqlite Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\Cache_CACHE_MAP_ Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\Cache_CACHE_001_ Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\Cache_CACHE_002_ Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Local Settings\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\Cache_CACHE_003_ Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Cookies\index.dat Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\parent.lock Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\downloads.sqlite Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\permissions.sqlite Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\places.sqlite-journal Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\cert8.db Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\key3.db Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\places.sqlite Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\search.sqlite Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\formhistory.sqlite Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\cookies.sqlite Object is locked pominięty C:\Documents and Settings\Michał Jaworski\Application Data\Mozilla\Firefox\Profiles\pg7ihr2w.default\content-prefs.sqlite Object is locked pominięty C:\Documents and Settings\Michał Jaworski\ntuser.dat.LOG Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\report\Resident protection.txt Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominięty C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominięty C:\System Volume Information_restore{A4E50AB0-4F23-4E36-B8E4-37565F9CEF77}\RP1\change.log Object is locked pominięty D:\Downloads\BearShareV6pl.exe/WISE0104.BIN/stream/data0005 Zainfekowanych: not-a-virus:AdWare.Win32.Mostofate.j pominięty D:\Downloads\BearShareV6pl.exe/WISE0104.BIN/stream Zainfekowanych: not-a-virus:AdWare.Win32.Mostofate.j pominięty D:\Downloads\BearShareV6pl.exe/WISE0104.BIN Zainfekowanych: not-a-virus:AdWare.Win32.Mostofate.j pominięty D:\Downloads\BearShareV6pl.exe WiseSFX: zainfekowany - 3 pominięty D:\Downloads\BearShareV6pl.exe WiseSFXDropper: zainfekowany - 3 pominięty D:\TOOLS\VirtualDJ 3.3 Home Edition 2006 (Full) provided BY dj RAYBLAC\VirtualDJ 3.3 Home Edition 2006 (Full) provided BY dj RAYBLAC.rar/VirtualDJ 3.3 Home Edition 2006 (Full)/virtualdj_trial.exe/WISE0082.BIN Zainfekowanych: Backdoor.Win32.Bifrose.rtv pominięty D:\TOOLS\VirtualDJ 3.3 Home Edition 2006 (Full) provided BY dj RAYBLAC\VirtualDJ 3.3 Home Edition 2006 (Full) provided BY dj RAYBLAC.rar/VirtualDJ 3.3 Home Edition 2006 (Full)/virtualdj_trial.exe Zainfekowanych: Backdoor.Win32.Bifrose.rtv pominięty D:\TOOLS\VirtualDJ 3.3 Home Edition 2006 (Full) provided BY dj RAYBLAC\VirtualDJ 3.3 Home Edition 2006 (Full) provided BY dj RAYBLAC.rar RAR: zainfekowany - 2 pominięty D:\System Volume Information_restore{E2AF1E6B-5C8B-4701-B85E-52EDC03144B8}\RP7\A0000287.exe/file6 Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet pominięty D:\System Volume Information_restore{E2AF1E6B-5C8B-4701-B85E-52EDC03144B8}\RP7\A0000287.exe Inno: zainfekowany - 1 pominięty D:\System Volume Information_restore{E30E4C8D-32E5-4E68-85D4-892606D4379E}\RP5\A0000310.exe/stream/data0001 Zainfekowanych: Trojan.Win32.DNSChanger.hk pominięty D:\System Volume Information_restore{E30E4C8D-32E5-4E68-85D4-892606D4379E}\RP5\A0000310.exe/stream/data0002 Zainfekowanych: Trojan.Win32.DNSChanger.hm pominięty D:\System Volume Information_restore{E30E4C8D-32E5-4E68-85D4-892606D4379E}\RP5\A0000310.exe/stream Zainfekowanych: Trojan.Win32.DNSChanger.hm pominięty D:\System Volume Information_restore{E30E4C8D-32E5-4E68-85D4-892606D4379E}\RP5\A0000310.exe NSIS: zainfekowany - 3 pominięty D:\Z APARATU\SOFT\WinAircrackPack.rar/aircrack.exe Zainfekowanych: not-a-virus:PSWTool.Win32.AirCrack.a pominięty D:\Z APARATU\SOFT\WinAircrackPack.rar RAR: zainfekowany - 1 pominięty D:\Z APARATU\wardriving\programy wardriving\aircrack-2.41.tar/packed/aircrack-2.41/win32/aircrack.exe Zainfekowanych: not-a-virus:PSWTool.Win32.AirCrack.a pominięty D:\Z APARATU\wardriving\programy wardriving\aircrack-2.41.tar/packed Zainfekowanych: not-a-virus:PSWTool.Win32.AirCrack.a pominięty D:\Z APARATU\wardriving\programy wardriving\aircrack-2.41.tar GZIP: zainfekowany - 2 pominięty D:\Z APARATU\wardriving\programy wardriving\WinAircrackPack.zip/WinAircrackPack/WinAircrackPack/aircrack.exe Zainfekowanych: not-a-virus:PSWTool.Win32.AirCrack.a pominięty D:\Z APARATU\wardriving\programy wardriving\WinAircrackPack.zip ZIP: zainfekowany - 1 pominięty D:\Z APARATU\programy wardriving.exe/programy wardriving/aircrack-2.41.tar/aircrack-2.41/aircrack-2.41/win32/aircrack.exe Zainfekowanych: not-a-virus:PSWTool.Win32.AirCrack.a pominięty D:\Z APARATU\programy wardriving.exe/programy wardriving/aircrack-2.41.tar/aircrack-2.41 Zainfekowanych: not-a-virus:PSWTool.Win32.AirCrack.a pominięty D:\Z APARATU\programy wardriving.exe/programy wardriving/aircrack-2.41.tar Zainfekowanych: not-a-virus:PSWTool.Win32.AirCrack.a pominięty D:\Z APARATU\programy wardriving.exe/programy wardriving/WinAircrackPack.zip/WinAircrackPack/WinAircrackPack/aircrack.exe Zainfekowanych: not-a-virus:PSWTool.Win32.AirCrack.a pominięty D:\Z APARATU\programy wardriving.exe/programy wardriving/WinAircrackPack.zip Zainfekowanych: not-a-virus:PSWTool.Win32.AirCrack.a pominięty D:\Z APARATU\programy wardriving.exe ZIP: zainfekowany - 5 pominięty F:\Muzyka od grzeska\3\CDex 1.51.zip/Setup.exe Zainfekowanych: P2P-Worm.Win32.VB.dw pominięty F:\Muzyka od grzeska\3\CDex 1.51.zip ZIP: zainfekowany - 1 pominięty Proces skanowania został zakończony.

djarta · 25 Lipiec 2008 17:02

Chce się mieć Cracki,to musisz mieć virusy,ja nie pomagam dla piratów :x

Leon1 · 25 Lipiec 2008 17:21

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

michalj81 · 25 Lipiec 2008 17:32

jest raporcik, ale chcialbym dodac ze komunikat o wirusie po restarcie systemu juz sie nie pojawil…

Logfile of The Avenger Version 2.0, © by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! File “D:\Downloads\BearShareV6pl.exe” deleted successfully. File “D:\TOOLS\VirtualDJ 3.3 Home Edition 2006 (Full) provided BY dj RAYBLAC\VirtualDJ 3.3 Home Edition 2006 (Full) provided BY dj RAYBLAC.rar” deleted successfully. File “D:\System Volume Information_restore{E2AF1E6B-5C8B-4701-B85E-52EDC03144B8}\RP7\A0000287.exe” deleted successfully. File “D:\System Volume Information_restore{E30E4C8D-32E5-4E68-85D4-892606D4379E}\RP5\A0000310.exe” deleted successfully. File “D:\Z APARATU\SOFT\WinAircrackPack.rar” deleted successfully. File “D:\Z APARATU\wardriving\programy wardriving\aircrack-2.41.tar” deleted successfully. File “D:\Z APARATU\wardriving\programy wardriving\WinAircrackPack.zip” deleted successfully. File “D:\Z APARATU\programy wardriving.exe” deleted successfully. File “F:\Muzyka od grzeska\3\CDex 1.51.zip” deleted successfully. Completed script processing. ******************* Finished! Terminate.

Leon1 · 25 Lipiec 2008 17:44

wszystko usunięte

chyba o to chodziło

michalj81 · 25 Lipiec 2008 17:48

wielkie dzieki Leon$ za profesjonalna pomoc. dzieki takim ludziom jak Ty te fora maja sens. THANKS.