Po trzech razach “upuszczenia pliku CFScript.txt na Combofix.exe” zniknęła ikonka z paska szybkiego uruchamiania i mogę już zmienić tapetę. Pozostaje jeszcze w Program files folder “rhc3c2j0eee9” oraz Start >> Programy >> Antivirus XP 2008 (jedno jako folder adrugie jako antiwirus XP 2008.exe)
Po dwukliku na Combofix wyskakuje okienko z informacją “combofix has detected the presence of rootkit activity and needs to reboot the machine” po kliku na ok jest restart i dalej nic się nie dzieje
KASPERSKY ONLINE SCANNER REPORT
26 sierpień 2008 17:00:29
System operacyjny: Microsoft Windows XP Home Edition, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.1
Ostatnia aktualizacja Kaspersky Anti-Virus26/08/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus1148260
Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych rozszerzone
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Mój komputer
C:\
D:\
E:\
F:\
Statystyki skanowania
Liczba skanowanych obiektów 29166
Liczba wykrytych wirusów 2
Liczba zainfekowanych obiektów 3
Liczba podejrzanych obiektów 0
Czas trwania skanowania 00:43:03
Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie
C:\Documents and Settings\All Users\Dane aplikacji\avg8\emc\Log\emc.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgcore.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgrs.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgsched.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\avg8\Log\avgui.log Object is locked pominięty
C:\Documents and Settings\Dom\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\cert8.db Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\content-prefs.sqlite Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\cookies.sqlite Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\downloads.sqlite Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\formhistory.sqlite Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\key3.db Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\parent.lock Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\permissions.sqlite Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\places.sqlite Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\places.sqlite-journal Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\search.sqlite Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Nowe Gadu-Gadu\5645362\Archive.db Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\call256.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\callmember256.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chat256.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chat512.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chatmember256.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chatmsg1024.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chatmsg256.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chatmsg512.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\chatsync\5c\5c730a7c5f731537.dat Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\contactgroup256.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\conversation256.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\dyncontent\bundle.dat Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\index2.dat Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\participant256.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\profile4096.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\transfer256.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\transfer512.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\user1024.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\user16384.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\user4096.dbb Object is locked pominięty
C:\Documents and Settings\Dom\Dane aplikacji\Skype\agnieszka-bn\voicemail256.dbb Object is locked pominięty
C:\Documents and Settings\Dom\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\Dom\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\Cache\_CACHE_001_ Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\Cache\_CACHE_002_ Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\Cache\_CACHE_003_ Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\Cache\_CACHE_MAP_ Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\2gcmvngh.default\urlclassifier3.sqlite Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Historia\History.IE5\MSHist012008082620080827\index.dat Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\etilqs_60wAktpZibHSfOON4J7y Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\~DFE07E.tmp Object is locked pominięty
C:\Documents and Settings\Dom\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\SDFix\backups\catchme.zip/tdssserv.sys Zainfekowanych: Backdoor.Win32.Agent.qbo pominięty
C:\SDFix\backups\catchme.zip ZIP: zainfekowany - 1 pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SchedLgU.Txt Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\Sti_Trace.log Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\wiadebug.log Object is locked pominięty
C:\WINDOWS\wiaservc.log Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
E:\sterowniki\msi automat\Utility\AT&T\Vnc\Win32\vncviewer\vncviewer.exe Zainfekowanych: not-a-virus:RemoteAdmin.Win32.WinVNC.333 pominięty
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
Proces skanowania został zakończony.
usuń folder C:\SDFix\backups ręcznie bo to nie jest potrzerbne… System jest czysty. A antywirus stwierdził infekcje bo w folderze C:\SDFix\backups są kopie zapasowe zainfekowanych plików…
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Folder "C:\SDFix\backups" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Jotti's malware scan 2.99-TRANSITION_TO_3.00-R1
File to upload & scan: Virus
Service
Service load:
0% 100%
File: vncviewer.exe
Status:
INFECTED/MALWARE
MD5: fdd6e4b8a91d477ad90d930b1e7372fa
Packers detected:
-
Scanner results
Scan taken on 26 Aug 2008 20:05:58 (GMT)
A-Squared
Found nothing
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found Application.Remoteadmin.BI
ClamAV
Found PUA.RAT.VNC-19
CPsecure
Found nothing
Dr.Web
Found nothing
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found not-a-virus:RemoteAdmin.Win32.WinVNC.333 (6, 2, 606)
Fortinet
Found nothing
Ikarus
Found nothing
Kaspersky Anti-Virus
Found not-a-virus:RemoteAdmin.Win32.WinVNC.333
NOD32
Found nothing
Norman Virus Control
Found nothing
Panda Antivirus
Found nothing
Sophos Antivirus
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing
Powered by
images/asquared.png images/antivir.png images/arcabit.png images/avast.png images/avg.gif images/bitdefender.png images/clamav-logo1.png images/cpsecure.gif images/drweb.gif images/f-prot.png images/f-secure_logo.gif images/fortinet.gif images/ikarus.gif images/kaspersky.png images/nod32.gif images/norman.png images/panda.gif images/sophos.gif images/virusbuster.gif images/vba32.png
Disclaimer
This service is by no means 100% safe. If this scanner says 'OK', it does not necessarily mean the file is clean. There could be a whole new virus on the loose. NEVER EVER rely on one single product only, not even this service, even though it utilizes several products. Therefore, We cannot and will not be held responsible for any damage caused by results presented by this non-profit online service.
Also, we are aware of the implications of a setup like this. We are sure this whole thing is by no means scientifically correct, since this is a fully automated service (although manual correction is possible). We are aware, in spite of efforts to proactively counter these, false positives might occur, for example. We do not consider this a very big issue, so please do not e-mail us about it. This is a simple online scan service, not the university of Wichita.
Scanning can take a while, since several scanners are being used, plus the fact some scanners use very high levels of (time consuming) heuristics. Scanners used are Linux versions, differences with Windows scanners may or may not occur. Another note: some scanners will only report one virus when scanning archives with multiple pieces of malware.
Virus definitions are updated every hour. There is a 10Mb limit per file. Please refrain from uploading tons of hex-edited or repacked variants of the same sample.
Please do not ask for viruses uploaded here, unless you work for an anti-virus vendor. They are not for trade. This is a legitimate service, not a VX site. Viruses uploaded here will be distributed to antivirus vendors without exception. Read more about this in our privacy policy. If you do not want your files to be distributed, please do not send them at all.
Sponsored by HotelScraper.com.
Statistics
Last file scanned at least one scanner reported something about: weiss.exe (MD5: e4344d9b7ae8a4c71d91b6d4fd97aa09, size: 15748 bytes), detected by:
Scanner Malware name
A-Squared X
AntiVir TR/Crypt.PEPM.Gen
ArcaVir X
Avast Win32:Agent-AABV
AVG Antivirus Win32/PolyCrypt
BitDefender Trojan.LdPinch.NCT
ClamAV X
CPsecure X
Dr.Web Trojan.Packed.469
F-Prot Antivirus X
F-Secure Anti-Virus X
Fortinet W32/LdPinch.CDS!tr.pws
Ikarus X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
Panda Antivirus X
Sophos Antivirus Sus/UnkPacker
VirusBuster X
VBA32 X
You're free to (mis)interpret these automated, flawed statistics at your own discretion. For antivirus comparisons, visit AV comparatives
We are not affiliated with any third parties that conduct tests using this service.