hubertoo utworzono 29 maja 2008 utworzono 29 maja 2008 witam !!! skaner Kaspersky wykrył coś takiego ------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT 2008-05-29 11:01 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.0 Ostatnia aktualizacja Kaspersky Anti-Virus29/05/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus811407-------------------------------------------------------------------------------Ustawienia skanowania: Skanowanie przy użyciu następujących baz danych: rozszerzone Skanuj archiwa: tak Skanuj pocztowe bazy danych: takObszar skanowania - Foldery: C:\autorun.inf\ C:\Documents and Settings\ C:\Install\ C:\Program Files\ C:\RECYCLER\ C:\System Volume Information\ C:\WINDOWS\Statystyki skanowania: Liczba skanowanych obiektów: 72444 Liczba wykrytych wirusów: 6 Liczba zainfekowanych obiektów: 20 Liczba podejrzanych obiektów: 0 Czas trwania skanowania: 00:46:20Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanieC:\autorun.inf\lpt3.This folder was created by Flash_Disinfector Object is locked pominiętyC:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominiętyC:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominiętyC:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominiętyC:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\temp\Cookies\index.dat Object is locked pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\temp\Historia\History.IE5\index.dat Object is locked pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\temp\Temporary Internet Files\Content.IE5\index.dat Object is locked pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominiętyC:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominiętyC:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominiętyC:\Documents and Settings\Właściciel\Cookies\index.dat Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\call256.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\callmember256.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\chat512.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\chatmember256.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\chatmsg1024.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\chatmsg256.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\chatmsg512.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\contactgroup256.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\dyncontent\bundle.dat Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\index2.dat Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\profile16384.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\transfer256.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\transfer512.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\user1024.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\user16384.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\user256.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\user4096.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\Dane aplikacji\Skype\hubertoo4\voicemail256.dbb Object is locked pominiętyC:\Documents and Settings\Właściciel\NTUSER.DAT Object is locked pominiętyC:\Documents and Settings\Właściciel\ntuser.dat.LOG Object is locked pominiętyC:\Documents and Settings\Właściciel\UserData\index.dat Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\Historia\History.IE5\MSHist012008052920080530\index.dat Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\temp\~DF65D7.tmp Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\temp\~DF65EA.tmp Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\temp\~VM12.tmp Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\temp\~VM13.tmp Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\temp\~VM14.tmp Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\temp\~VM15.tmp Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\temp\~VM16.tmp Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\temp\~VM17.tmp Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\temp\~VM18.tmp Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\temp\~VM19.tmp Object is locked pominiętyC:\Documents and Settings\Właściciel\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominiętyC:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominiętyC:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominiętyC:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int Object is locked pominiętyC:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominiętyC:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominiętyC:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominiętyC:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked pominiętyC:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt Object is locked pominiętyC:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP2\A0000210.dll Zainfekowanych: Trojan-PSW.Win32.WOW.bam pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP2\A0000333.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP2\A0000387.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP2\A0000475.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP2\A0000477.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP2\A0000827.exe Zainfekowanych: Trojan-PSW.Win32.WOW.ban pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP2\A0001028.exe Zainfekowanych: Trojan.Win32.Agent.qnx pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP2\A0002061.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP3\A0002142.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP3\A0002203.exe Zainfekowanych: Trojan-Downloader.Win32.VB.eqh pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP4\A0002315.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP4\A0002338.inf Zainfekowanych: Worm.Win32.AutoRun.cnw pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP4\A0002339.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP4\A0003296.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP4\A0003316.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP5\A0003384.dll Zainfekowanych: Trojan-PSW.Win32.WOW.bam pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP5\A0003385.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP5\A0003430.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\System Volume Information\_restore{4B32BF66-86BC-4251-8239-9A0A420BD632}\RP5\change.log Object is locked pominiętyC:\WINDOWS\Debug\PASSWD.LOG Object is locked pominiętyC:\WINDOWS\SchedLgU.Txt Object is locked pominiętyC:\WINDOWS\SoftwareDistribution\EventCache\{6EEDC862-EFA0-4A24-B6C2-0F38460F3C25}.bin Object is locked pominiętyC:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominiętyC:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominiętyC:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominiętyC:\WINDOWS\system32\config\default Object is locked pominiętyC:\WINDOWS\system32\config\default.LOG Object is locked pominiętyC:\WINDOWS\system32\config\SAM Object is locked pominiętyC:\WINDOWS\system32\config\SAM.LOG Object is locked pominiętyC:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominiętyC:\WINDOWS\system32\config\SECURITY Object is locked pominiętyC:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominiętyC:\WINDOWS\system32\config\software Object is locked pominiętyC:\WINDOWS\system32\config\software.LOG Object is locked pominiętyC:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominiętyC:\WINDOWS\system32\config\system Object is locked pominiętyC:\WINDOWS\system32\config\system.LOG Object is locked pominiętyC:\WINDOWS\system32\config\systemprofile\Cookies\index.dat Object is locked pominiętyC:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominiętyC:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominiętyC:\WINDOWS\system32\fsmgmt.dll.tmp Zainfekowanych: Trojan-PSW.Win32.WOW.bam pominiętyC:\WINDOWS\system32\h323log.txt Object is locked pominiętyC:\WINDOWS\system32\secpol.exe.tmp Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominiętyC:\WINDOWS\TEMP\Perflib_Perfdata_5b8.dat Object is locked pominiętyC:\WINDOWS\TEMP\_avast4_\Webshlock.txt Object is locked pominiętyC:\WINDOWS\WindowsUpdate.log Object is locked pominiętyProces skanowania został zakończony. widze że tu "kolega z troii" sie zadomowił. jak go sie pozbyć??? i mam jeszcze na pendrivie coś takiego na pendrivie: ------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT 2008-05-29 18:48 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.0 Ostatnia aktualizacja Kaspersky Anti-Virus29/05/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus812777-------------------------------------------------------------------------------Ustawienia skanowania: Skanowanie przy użyciu następujących baz danych: rozszerzone Skanuj archiwa: tak Skanuj pocztowe bazy danych: takObszar skanowania - Foldery: F:\Statystyki skanowania: Liczba skanowanych obiektów: 3 Liczba wykrytych wirusów: 2 Liczba zainfekowanych obiektów: 2 Liczba podejrzanych obiektów: 0 Czas trwania skanowania: 00:00:01Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanieF:\UFO.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.sz pominiętyF:\autorun.inf Zainfekowanych: Worm.Win32.AutoRun.cnw pominiętyProces skanowania został zakończony. moim zdaniem problemem jest laptop, z którego tez korzystam. niestety nie moge go sprawdzić na skanerze gdyż nie ma on podłączenia to neta. czy można go jakoś inaczej sprawdzić??? i druga sprawa. wszystkie te wirusy przepuszcza Avast. na co najlepiej go zmienić???
Mateusz J. komentarz 29 maja 2008 komentarz 29 maja 2008 hubertoo, my się chyba nigdy nie rozstaniemy uff. Znowu poproszę o ComboFix. Wyłączasz przywracanie systemu. Opróżnij kosz.
hubertoo komentarz 29 maja 2008 Autor komentarz 29 maja 2008 no witam a co mam wpisać do notatnika ??? (na kompa i odrazu na laptopa) ps. a z tymi wirusami jest tak. mieszka się w akademiku i ludzie różne rzeczy najczęściej nieświadomie roznoszą, a avast jest jaki jest. dlatego chce go zmienić na coś płatego (trudno, za komfort trzeba płacić) ale znowu nie za drogiego. myślałęm o Kasperskim... dobry wybór ???
Mateusz J. komentarz 30 maja 2008 komentarz 30 maja 2008 a co mam wpisać do notatnika ??? (na kompa i odrazu na laptopa) Musisz zrobić log z ComboFix, bo nie wiem jakie teraz szkodliwe pliki są na Twoim komputerze. ps. a z tymi wirusami jest tak. mieszka się w akademiku i ludzie różne rzeczy najczęściej nieświadomie roznoszą, a avast jest jaki jest. dlatego chce go zmienić na coś płatego (trudno, za komfort trzeba płacić) ale znowu nie za drogiego.myślałęm o Kasperskim... dobry wybór ??? Wszystkie antywirusy przepuszczają infekcję z pendrive, czy będziesz miał płatny, czy też nie. Wiem to z doświadczenia, usuwam wirusy i widzę, że antywirusy nie radzą sobie z pendrivami.
hubertoo komentarz 30 maja 2008 Autor komentarz 30 maja 2008 - zainsatlowałem Kaspreskiego i usunął tego trojana i to coś z pendriva a to jest log z ComboFix ComboFix 08-05-19.4 - Właściciel 2008-05-30 9:22:43.6 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1000 [GMT 2:00]Running from: C:\ComboFix.exeCommand switches used :: C:\CFScript.txt * Created a new restore point[b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b]FILE ::C:\WINDOWS\system32\amvo.exe.((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\system32\fsmgmt.dll.((((((((((((((((((((((((( Files Created from 2008-04-28 to 2008-05-30 ))))))))))))))))))))))))))))))).2008-05-29 23:35 . 2008-05-29 23:40 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat2008-05-29 23:35 . 2008-05-29 23:40 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat2008-05-29 23:34 . 2008-05-29 23:34 <DIR> d-------- C:\Program Files\Kaspersky Lab2008-05-29 23:34 . 2008-05-30 09:36 2,544,672 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat2008-05-29 23:34 . 2008-05-30 09:35 37,220 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx2008-05-29 23:34 . 2008-05-30 09:35 16,672 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat2008-05-29 23:34 . 2008-05-30 09:35 4,676 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx2008-05-29 23:33 . 2008-05-29 23:33 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2008-05-29 23:25 . 2008-05-30 09:22 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG2008-05-29 23:24 . 2008-05-29 23:24 32,663,288 --a------ C:\kis7.0.1.325pl.exe2008-05-28 08:55 . 2008-05-30 09:36 54,156 --ah----- C:\WINDOWS\QTFont.qfn2008-05-28 08:55 . 2008-05-30 09:34 1,409 --a------ C:\WINDOWS\QTFont.for2008-05-23 14:41 . 2006-02-08 03:02 73,728 --a------ C:\KillBox.exe2008-05-23 14:40 . 2008-05-23 14:40 70,487 --a------ C:\KillBox.zip2008-05-23 12:28 . 2008-05-23 12:28 103,992 --a------ C:\Flash_Disinfector.exe2008-05-21 22:59 . 2008-05-21 22:59 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab2008-05-21 22:59 . 2008-05-30 09:01 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-05-21 21:34 . 2008-05-23 13:07 <DIR> d--h----- C:\Documents and Settings\Administrator\Ustawienia lokalne2008-05-21 21:34 . 2008-03-13 13:24 <DIR> d-------- C:\Documents and Settings\Administrator\Ulubione2008-05-21 21:34 . 2008-03-13 12:39 <DIR> d--h----- C:\Documents and Settings\Administrator\Szablony2008-05-21 21:34 . 2008-05-23 13:04 <DIR> d-------- C:\Documents and Settings\Administrator\Pulpit2008-05-21 21:34 . 2008-03-13 13:24 <DIR> d-------- C:\Documents and Settings\Administrator\Moje dokumenty2008-05-21 21:34 . 2008-03-13 13:24 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start2008-05-21 21:34 . 2008-03-13 13:24 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dane aplikacji2008-05-21 21:34 . 2008-05-21 21:34 <DIR> d-------- C:\Documents and Settings\Administrator2008-05-21 21:34 . 2008-05-30 09:22 1,024 --ah----- C:\Documents and Settings\Administrator\NtUser.dat.LOG2008-05-20 21:57 . 2008-05-20 21:57 1,819,595 --a------ C:\ComboFix.exe2008-05-20 10:23 . 2008-05-20 10:23 <DIR> d-------- C:\Program Files\ToniArts2008-05-19 22:40 . 2005-12-08 15:47 2,917,130 --a------ C:\Program Files\!Easy Cleaner Rejestru 2.0 ok.exe2008-05-13 19:40 . 2008-05-13 19:40 <DIR> d-------- C:\WINDOWS\Corel2008-05-13 19:37 . 2008-05-13 19:37 <DIR> d-------- C:\Program Files\Corel2008-05-13 19:37 . 2008-05-13 19:37 <DIR> d-------- C:\Program Files\Common Files\Corel2008-05-09 16:59 . 2008-05-09 16:59 <DIR> d-------- C:\Documents and Settings\Właściciel2008-05-09 16:59 . <DIR> C:\Documents and Settings\W-aťciciel\Ustawienia lokalne2008-05-09 16:59 . <DIR> C:\Documents and Settings\W-aťciciel\Ustawienia lokalne2008-05-04 16:42 . 2008-05-04 16:42 <DIR> d-------- C:\Program Files\VidCom.pl2008-05-04 16:42 . 2008-05-04 16:42 290,816 --a------ C:\WINDOWS\system32\EZJcomLib18.dll2008-05-04 16:42 . 2008-05-04 16:42 118,784 --a------ C:\WINDOWS\system32\JVideoSession.dll2008-05-04 16:42 . 2008-05-04 16:42 98,304 --a------ C:\WINDOWS\system32\JInstantMessaging.dll2008-05-04 16:42 . 2008-05-04 16:42 69,632 --a------ C:\WINDOWS\system32\JVideoWindow.dll2008-05-04 16:42 . 2008-05-04 16:42 40,517 --a------ C:\WINDOWS\system32\jRegistryKey.dll2008-04-14 22:44 . 2008-04-14 22:44 <DIR> d-------- C:\Program Files\Skype2008-04-14 22:44 . 2008-04-14 22:44 <DIR> d-------- C:\Program Files\Common Files\Skype2008-04-14 22:44 . 2008-04-14 22:44 32 --a------ C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat.(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-05-29 21:40 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys2008-05-29 18:17 --------- d-----w C:\Program Files\DC++2008-05-29 17:41 17,920 ----a-w C:\WINDOWS\system32\secpol.exe2008-05-27 19:53 --------- d-----w C:\Program Files\ArchiCAD 8.12008-05-20 08:51 --------- d-----w C:\Program Files\Artlantis2008-05-20 08:23 --------- d--h--w C:\Program Files\InstallShield Installation Information2008-04-21 13:25 --------- d-----w C:\Program Files\SubEdit-Player2008-04-14 20:44 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Skype2008-03-28 14:16 --------- d-----w C:\Program Files\Microsoft.NET2008-03-28 14:15 --------- d-----w C:\Program Files\Microsoft Works2008-03-28 14:08 --------- d-----w C:\Program Files\Alcohol Soft2008-03-28 00:51 --------- d-----w C:\Program Files\MS Office 20072008-03-28 00:12 --------- d-----w C:\Program Files\ACD Systems2008-03-28 00:12 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\ACD Systems2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\msjint40.dll2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys2008-03-13 16:13 155,995 ----a-w C:\WINDOWS\java\Packages\WMIHNXRJ.ZIP2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll2008-02-16 09:05 662,016 ----a-w C:\WINDOWS\system32\wininet.dll2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2007-07-09 09:39 2119104]"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-01 17:22 21898024]"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"VTTimer"="VTTimer.exe" [2005-03-08 05:33 53248 C:\WINDOWS\system32\VTTimer.exe]"VTTrayp"="VTtrayp.exe" [2005-11-01 06:15 163840 C:\WINDOWS\system32\VTTrayp.exe]"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 16:21 61952 C:\WINDOWS\system32\HdAShCut.exe]"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 11:11 925696]"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 04:01 32768]"WireLessKeyboard"="C:\Program Files\Multimedia Keyboard Driver\StartAutorun.exe" [2005-11-30 13:48 94208]"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-13 18:19 77824]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"SENTINEL"= snti386.dll"VIDC.YV12"= yv12vfw.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\Program Files\\dc++\\DCPlusPlus.exe"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39]R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ee01ac1-f119-11dc-8c99-0017318d3963}]\Shell\Auto\command - H:\UFO.exe\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{87890cd1-26a8-11dd-8d1d-0017318d3963}]\Shell\AutoRun\command - F:\d.cmd\Shell\explore\Command - F:\d.cmd\Shell\open\Command - F:\d.cmd[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{eebe6f42-f126-11dc-8c9a-0017318d3963}]\Shell\Auto\command - F:\UFO.exe\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-05-30 09:36:21Windows 5.1.2600 Dodatek Service Pack 2 NTFSscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************.------------------------ Other Running Processes ------------------------.C:\Program Files\Multimedia Keyboard Driver\PS2USBKbdDrv.exeC:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXEC:\Program Files\Skype\Plugin Manager\skypePM.exe.**************************************************************************.Completion time: 2008-05-30 9:40:08 - machine was rebootedComboFix-quarantined-files.txt 2008-05-30 07:40:00Pre-Run: 90,733,957,120 bajtów wolnychPost-Run: 90,936,995,840 bajt˘w wolnych160 --- E O F --- 2008-05-19 01:11:15 a to jest log z laptopa (myśle, że coś tu może być): ComboFix 08-05-19.4 - Gww99 2008-05-30 9:16:56.4 - NTFSx86Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.121 [GMT 2:00]Running from: C:\ComboFix.exeCommand switches used :: C:\CFScript.txt * Created a new restore point[b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b]FILE ::C:\WINDOWS\system32\amvo.exe.((((((((((((((((((((((((( Files Created from 2008-04-28 to 2008-05-30 ))))))))))))))))))))))))))))))).2008-05-30 09:15 . 2008-05-20 21:57 1,819,595 --a------ C:\ComboFix.exe2008-05-22 21:07 . 2008-05-22 21:07 <DIR> d-------- C:\Program Files\ToniArts2008-05-22 21:05 . 2005-12-08 15:47 2,917,130 --a------ C:\Program Files\!Easy Cleaner Rejestru 2.0 ok.exe2008-04-05 10:11 . 2008-04-05 10:11 <DIR> d-------- C:\opis dzwonosierbowice.(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-05-29 17:22 --------- d-----w C:\Program Files\ArchiCAD 8.12008-05-28 20:53 --------- d-----w C:\Documents and Settings\Gww99\Dane aplikacji\Abvent2008-05-22 19:12 --------- d-----w C:\Program Files\Artlantis2008-05-22 19:07 --------- d--h--w C:\Program Files\InstallShield Installation Information2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll2008-02-16 09:32 668,672 ----a-w C:\WINDOWS\system32\wininet.dll.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"TOSCDSPD"="C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 12:04 65536]"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-03 09:30 68856][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-17 15:37 344064]"RTHDCPL"="RTHDCPL.EXE" [2006-04-18 06:34 16143872 C:\WINDOWS\RTHDCPL.exe]"Apoint"="C:\Program Files\Apoint2K\Apoint.exe" [2004-03-23 22:40 196608]"AGRSMMSG"="AGRSMMSG.exe" [2006-03-18 08:22 89541 C:\WINDOWS\agrsmmsg.exe]"PadTouch"="C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-12-22 15:34 1077329]"CeEKEY"="C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe" [2006-03-16 13:27 634880]"HWSetup"="C:\Program Files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 13:45 28672]"SVPWUTIL"="C:\Program Files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 13:45 65536]"TPNF"="C:\Program Files\TOSHIBA\TouchPad\TPTray.exe" [2006-04-04 14:57 53248]"Zooming"="ZoomingHook.exe" [2005-06-06 09:58 24576 C:\WINDOWS\system32\ZoomingHook.exe]"TPSMain"="TPSMain.exe" [2005-09-13 10:01 266240 C:\WINDOWS\system32\TPSMain.exe]"SmoothView"="C:\Program Files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe" [2005-05-13 11:03 118784]"Tvs"="C:\Program Files\TOSHIBA\Tvs\TvsTray.exe" [2006-02-02 13:11 73728]"NDSTray.exe"="NDSTray.exe" []"DDWMon"="C:\Program Files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2006-04-28 11:49 262144]"CFSServ.exe"="CFSServ.exe" []"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 12:00 15360]C:\Documents and Settings\Gww99\Menu Start\Programy\Autostart\Szybkie uruchamianie programu Microsoft Office OneNote 2003.lnk - C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2005-03-17 14:06:14 59080]C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"SENTINEL"= snti386.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"=R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]R2 tdudf;TOSHIBA UDF File System Driver;C:\WINDOWS\system32\DRIVERS\tdudf.sys [2006-04-18 15:12]R3 tdcmdpst;TOSHIBA Writing Engine Filter Driver;C:\WINDOWS\system32\DRIVERS\tdcmdpst.sys [2006-03-02 18:49]S2 HPW5ECP;HPW5ECP;C:\WINDOWS\system32\drivers\HPW5ECP.SYS [].**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-05-30 09:18:27Windows 5.1.2600 Dodatek Service Pack 2 NTFSscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************.Completion time: 2008-05-30 9:19:17ComboFix-quarantined-files.txt 2008-05-30 07:19:14Pre-Run: 64,158,609,408 bajtów wolnychPost-Run: 64,152,363,008 bajtów wolnych88 --- E O F --- 2008-05-01 15:28:25
Mateusz J. komentarz 30 maja 2008 komentarz 30 maja 2008 1.Pierwszy log: Podepnij pendrive. Do notatnika wklej(gdzie F to litera pendrive, litera może być zmienna, także zobacz, czy nie jest inna, widzę, że raz pendrive ukazał sie jako H): File::F:\d.cmdF:\UFO.exeRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] No i dalej wiesz co robić Przeciągasz na ikonkę ComboFix.exe 2.Drugi log jest czysty. 3.Mam pytanie czy to non stop ten sam pendrive? 4.Wyłączyłeś przywracanie systemu i opróżniłeś kosz?
hubertoo komentarz 30 maja 2008 Autor komentarz 30 maja 2008 to jest nowy log po rrybie awaryjnym ComboFix 08-05-19.4 - Administrator 2008-05-30 11:25:00.7 - NTFSx86 MINIMALMicrosoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1232 [GMT 2:00]Running from: C:\ComboFix.exeCommand switches used :: C:\CFScript.txt[b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b]FILE ::F:\d.cmdF:\UFO.exe.((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))).F:\UFO.exe.((((((((((((((((((((((((( Files Created from 2008-04-28 to 2008-05-30 ))))))))))))))))))))))))))))))).2008-05-29 23:35 . 2008-05-29 23:40 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat2008-05-29 23:35 . 2008-05-29 23:40 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat2008-05-29 23:34 . 2008-05-29 23:34 <DIR> d-------- C:\Program Files\Kaspersky Lab2008-05-29 23:34 . 2008-05-30 11:21 2,648,608 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat2008-05-29 23:34 . 2008-05-30 11:21 38,636 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx2008-05-29 23:34 . 2008-05-30 11:21 18,208 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat2008-05-29 23:34 . 2008-05-30 11:21 4,868 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx2008-05-29 23:33 . 2008-05-29 23:33 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2008-05-29 23:25 . 2008-05-30 09:22 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG2008-05-29 23:24 . 2008-05-29 23:24 32,663,288 --a------ C:\kis7.0.1.325pl.exe2008-05-28 08:55 . 2008-05-30 11:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn2008-05-28 08:55 . 2008-05-30 09:34 1,409 --a------ C:\WINDOWS\QTFont.for2008-05-23 14:41 . 2006-02-08 03:02 73,728 --a------ C:\KillBox.exe2008-05-23 14:40 . 2008-05-23 14:40 70,487 --a------ C:\KillBox.zip2008-05-23 12:28 . 2008-05-23 12:28 103,992 --a------ C:\Flash_Disinfector.exe2008-05-21 22:59 . 2008-05-21 22:59 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab2008-05-21 22:59 . 2008-05-30 11:21 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-05-21 21:34 . 2008-05-30 11:26 <DIR> d--h----- C:\Documents and Settings\Administrator\Ustawienia lokalne2008-05-21 21:34 . 2008-03-13 13:24 <DIR> d-------- C:\Documents and Settings\Administrator\Ulubione2008-05-21 21:34 . 2008-03-13 12:39 <DIR> d--h----- C:\Documents and Settings\Administrator\Szablony2008-05-21 21:34 . 2008-05-30 11:24 <DIR> d-------- C:\Documents and Settings\Administrator\Pulpit2008-05-21 21:34 . 2008-03-13 13:24 <DIR> d-------- C:\Documents and Settings\Administrator\Moje dokumenty2008-05-21 21:34 . 2008-03-13 13:24 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start2008-05-21 21:34 . 2008-03-13 13:24 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dane aplikacji2008-05-21 21:34 . 2008-05-21 21:34 <DIR> d-------- C:\Documents and Settings\Administrator2008-05-21 21:34 . 2008-05-30 11:26 167,936 --ah----- C:\Documents and Settings\Administrator\NtUser.dat.LOG2008-05-20 21:57 . 2008-05-20 21:57 1,819,595 --a------ C:\ComboFix.exe2008-05-20 10:23 . 2008-05-20 10:23 <DIR> d-------- C:\Program Files\ToniArts2008-05-19 22:40 . 2005-12-08 15:47 2,917,130 --a------ C:\Program Files\!Easy Cleaner Rejestru 2.0 ok.exe2008-05-13 19:40 . 2008-05-13 19:40 <DIR> d-------- C:\WINDOWS\Corel2008-05-13 19:37 . 2008-05-13 19:37 <DIR> d-------- C:\Program Files\Corel2008-05-13 19:37 . 2008-05-13 19:37 <DIR> d-------- C:\Program Files\Common Files\Corel2008-05-09 16:59 . <DIR> C:\Documents and Settings\W-aťciciel2008-05-05 21:38 . 2008-05-05 21:38 <DIR> d-------- C:\Documents and Settings\Właściciel\Dane aplikacji\PaperTypes2008-05-04 16:42 . 2008-05-04 16:42 <DIR> d-------- C:\Program Files\VidCom.pl2008-05-04 16:42 . 2008-05-04 16:42 290,816 --a------ C:\WINDOWS\system32\EZJcomLib18.dll2008-05-04 16:42 . 2008-05-04 16:42 118,784 --a------ C:\WINDOWS\system32\JVideoSession.dll2008-05-04 16:42 . 2008-05-04 16:42 98,304 --a------ C:\WINDOWS\system32\JInstantMessaging.dll2008-05-04 16:42 . 2008-05-04 16:42 69,632 --a------ C:\WINDOWS\system32\JVideoWindow.dll2008-05-04 16:42 . 2008-05-04 16:42 40,517 --a------ C:\WINDOWS\system32\jRegistryKey.dll2008-04-14 22:44 . 2008-04-14 22:44 <DIR> d-------- C:\Program Files\Skype2008-04-14 22:44 . 2008-04-14 22:44 <DIR> d-------- C:\Program Files\Common Files\Skype2008-04-14 22:44 . 2008-05-30 11:12 <DIR> d-------- C:\Documents and Settings\Właściciel\Dane aplikacji\skypePM2008-04-14 22:44 . 2008-04-14 22:44 32 --a------ C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat.(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-05-30 09:21 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\Skype2008-05-29 21:40 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys2008-05-29 18:17 --------- d-----w C:\Program Files\DC++2008-05-29 17:41 17,920 ----a-w C:\WINDOWS\system32\secpol.exe2008-05-27 19:53 --------- d-----w C:\Program Files\ArchiCAD 8.12008-05-20 08:51 --------- d-----w C:\Program Files\Artlantis2008-05-20 08:23 --------- d--h--w C:\Program Files\InstallShield Installation Information2008-05-18 21:04 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\Abvent2008-04-21 13:25 --------- d-----w C:\Program Files\SubEdit-Player2008-04-14 20:44 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Skype2008-04-14 19:40 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\AdobeUM2008-03-28 14:43 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\Graphisoft2008-03-28 14:16 --------- d-----w C:\Program Files\Microsoft.NET2008-03-28 14:15 --------- d-----w C:\Program Files\Microsoft Works2008-03-28 14:08 --------- d-----w C:\Program Files\Alcohol Soft2008-03-28 00:51 --------- d-----w C:\Program Files\MS Office 20072008-03-28 00:48 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\Thinstall2008-03-28 00:13 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\ACD Systems2008-03-28 00:12 --------- d-----w C:\Program Files\ACD Systems2008-03-28 00:12 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\ACD Systems2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\msjint40.dll2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys2008-03-13 16:13 155,995 ----a-w C:\WINDOWS\java\Packages\WMIHNXRJ.ZIP2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll2008-02-16 09:05 662,016 ----a-w C:\WINDOWS\system32\wininet.dll2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll.((((((((((((((((((((((((((((( snapshot@2008-05-30_ 9.39.16.81 ))))))))))))))))))))))))))))))))))))))))).- 2008-05-30 07:35:48 2,048 --s-a-w C:\WINDOWS\bootstat.dat+ 2008-05-30 09:23:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"VTTimer"="VTTimer.exe" [2005-03-08 05:33 53248 C:\WINDOWS\system32\VTTimer.exe]"VTTrayp"="VTtrayp.exe" [2005-11-01 06:15 163840 C:\WINDOWS\system32\VTTrayp.exe]"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 16:21 61952 C:\WINDOWS\system32\HdAShCut.exe]"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 11:11 925696]"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 04:01 32768]"WireLessKeyboard"="C:\Program Files\Multimedia Keyboard Driver\StartAutorun.exe" [2005-11-30 13:48 94208]"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-13 18:19 77824]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"SENTINEL"= snti386.dll"VIDC.YV12"= yv12vfw.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\Program Files\\dc++\\DCPlusPlus.exe"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39]S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]*Newly Created Service* - CATCHME.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-05-30 11:26:39Windows 5.1.2600 Dodatek Service Pack 2 NTFSscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************.Completion time: 2008-05-30 11:27:57ComboFix-quarantined-files.txt 2008-05-30 09:27:37Pre-Run: 92,544,491,520 bajtów wolnychPost-Run: 92,543,664,128 bajtów wolnych152 --- E O F --- 2008-05-19 01:11:15 odnośnie pytania o pendriva. to jest tak, że mam pendriva i mp3 wiec czasem toe literki sie zamieniają. w sumie zarażone były oba (jeden teraz wyczyściłem) a drugi spróbuje jak do mnie wróci. odzyskiwanie systemu wyłączyłem i kosze też opróżniłem a mam pytanie jeszcze o log z laptopa. możliwe jest, że ComboFix nie wykrywa wszystkiego?? bo na laptopie nie mam antywirusa (jest Avast i to bez aktualizacji). a jeszcze jedno mam pytanko: jak znowu znajde ufo na pndrivie to tok postepowania i ten tekst do notatnika jest taki sam... bo nie chce ciagle zakałdac nowego tematu
Mateusz J. komentarz 30 maja 2008 komentarz 30 maja 2008 ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))). F:\UFO.exe Udało się usunąć plik UFO.exe z penda, to jest dobry znak, być może już nie będzie się przenosił na komputery. Log jest już czysty a mam pytanie jeszcze o log z laptopa. możliwe jest, że ComboFix nie wykrywa wszystkiego?? bo na laptopie nie mam antywirusa (jest Avast i to bez aktualizacji). Tak, może tak być, ComboFix pokazuje klucze z rejestru oraz pliki utworzone na dysku systemowym (czyli u Ciebie dysk C). Przeważnie ComboFixem udaje się usunąć wirusy, ale gdy znajdują sie one w: C:\RECYCLER\C:\System Volume Information\ to niestety, ale się ich nie wykryje, co jest równoznaczne z niemożnością usunięcia. Przeskanowałbym laptopa Kasperskim.
hubertoo komentarz 30 maja 2008 Autor komentarz 30 maja 2008 a tu mam nowy combofix bo dosatałem tego drugiego pena z ufo: ComboFix 08-05-19.4 - Administrator 2008-05-30 15:34:10.7 - NTFSx86 MINIMALMicrosoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1231 [GMT 2:00]Running from: C:\ComboFix.exeCommand switches used :: C:\CFScript.txt[b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b]FILE ::H:\d.cmdH:\UFO.exe.((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))).H:\UFO.exe.((((((((((((((((((((((((( Files Created from 2008-04-28 to 2008-05-30 ))))))))))))))))))))))))))))))).2008-05-30 13:33 . 2008-05-30 13:33 <DIR> d-------- C:\artlantis2008-05-29 23:35 . 2008-05-29 23:40 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat2008-05-29 23:35 . 2008-05-29 23:40 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat2008-05-29 23:34 . 2008-05-29 23:34 <DIR> d-------- C:\Program Files\Kaspersky Lab2008-05-29 23:34 . 2008-05-30 15:31 2,757,920 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat2008-05-29 23:34 . 2008-05-30 15:31 40,100 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx2008-05-29 23:34 . 2008-05-30 15:31 21,536 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat2008-05-29 23:34 . 2008-05-30 15:31 5,180 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx2008-05-29 23:33 . 2008-05-29 23:33 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2008-05-29 23:25 . 2008-05-30 15:34 1,024 --ah----- C:\WINDOWS\system32\config\systemprofile\NtUser.dat.LOG2008-05-29 23:24 . 2008-05-29 23:24 32,663,288 --a------ C:\kis7.0.1.325pl.exe2008-05-28 08:55 . 2008-05-30 13:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn2008-05-28 08:55 . 2008-05-30 09:34 1,409 --a------ C:\WINDOWS\QTFont.for2008-05-23 14:41 . 2006-02-08 03:02 73,728 --a------ C:\KillBox.exe2008-05-23 14:40 . 2008-05-23 14:40 70,487 --a------ C:\KillBox.zip2008-05-23 12:28 . 2008-05-23 12:28 103,992 --a------ C:\Flash_Disinfector.exe2008-05-21 22:59 . 2008-05-21 22:59 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab2008-05-21 22:59 . 2008-05-30 13:24 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-05-21 21:34 . 2008-05-30 15:35 <DIR> d--h----- C:\Documents and Settings\Administrator\Ustawienia lokalne2008-05-21 21:34 . 2008-03-13 13:24 <DIR> d-------- C:\Documents and Settings\Administrator\Ulubione2008-05-21 21:34 . 2008-03-13 12:39 <DIR> d--h----- C:\Documents and Settings\Administrator\Szablony2008-05-21 21:34 . 2008-05-30 15:34 <DIR> d-------- C:\Documents and Settings\Administrator\Pulpit2008-05-21 21:34 . 2008-03-13 13:24 <DIR> d-------- C:\Documents and Settings\Administrator\Moje dokumenty2008-05-21 21:34 . 2008-03-13 13:24 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start2008-05-21 21:34 . 2008-03-13 13:24 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dane aplikacji2008-05-21 21:34 . 2008-05-21 21:34 <DIR> d-------- C:\Documents and Settings\Administrator2008-05-21 21:34 . 2008-05-30 15:35 163,840 --ah----- C:\Documents and Settings\Administrator\NtUser.dat.LOG2008-05-20 21:57 . 2008-05-20 21:57 1,819,595 --a------ C:\ComboFix.exe2008-05-20 10:23 . 2008-05-20 10:23 <DIR> d-------- C:\Program Files\ToniArts2008-05-19 22:40 . 2005-12-08 15:47 2,917,130 --a------ C:\Program Files\!Easy Cleaner Rejestru 2.0 ok.exe2008-05-13 19:40 . 2008-05-13 19:40 <DIR> d-------- C:\WINDOWS\Corel2008-05-13 19:37 . 2008-05-13 19:37 <DIR> d-------- C:\Program Files\Corel2008-05-13 19:37 . 2008-05-13 19:37 <DIR> d-------- C:\Program Files\Common Files\Corel2008-05-09 16:59 . <DIR> C:\Documents and Settings\W-aťciciel2008-05-05 21:38 . 2008-05-05 21:38 <DIR> d-------- C:\Documents and Settings\Właściciel\Dane aplikacji\PaperTypes2008-05-04 16:42 . 2008-05-04 16:42 <DIR> d-------- C:\Program Files\VidCom.pl2008-05-04 16:42 . 2008-05-04 16:42 290,816 --a------ C:\WINDOWS\system32\EZJcomLib18.dll2008-05-04 16:42 . 2008-05-04 16:42 118,784 --a------ C:\WINDOWS\system32\JVideoSession.dll2008-05-04 16:42 . 2008-05-04 16:42 98,304 --a------ C:\WINDOWS\system32\JInstantMessaging.dll2008-05-04 16:42 . 2008-05-04 16:42 69,632 --a------ C:\WINDOWS\system32\JVideoWindow.dll2008-05-04 16:42 . 2008-05-04 16:42 40,517 --a------ C:\WINDOWS\system32\jRegistryKey.dll2008-04-14 22:44 . 2008-04-14 22:44 <DIR> d-------- C:\Program Files\Skype2008-04-14 22:44 . 2008-04-14 22:44 <DIR> d-------- C:\Program Files\Common Files\Skype2008-04-14 22:44 . 2008-05-30 11:12 <DIR> d-------- C:\Documents and Settings\Właściciel\Dane aplikacji\skypePM2008-04-14 22:44 . 2008-04-14 22:44 32 --a------ C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat.(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-05-30 13:30 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\Skype2008-05-29 21:40 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys2008-05-29 18:17 --------- d-----w C:\Program Files\DC++2008-05-29 17:41 17,920 ----a-w C:\WINDOWS\system32\secpol.exe2008-05-27 19:53 --------- d-----w C:\Program Files\ArchiCAD 8.12008-05-20 08:51 --------- d-----w C:\Program Files\Artlantis2008-05-20 08:23 --------- d--h--w C:\Program Files\InstallShield Installation Information2008-05-18 21:04 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\Abvent2008-04-21 13:25 --------- d-----w C:\Program Files\SubEdit-Player2008-04-14 20:44 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Skype2008-04-14 19:40 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\AdobeUM2008-03-28 14:43 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\Graphisoft2008-03-28 14:16 --------- d-----w C:\Program Files\Microsoft.NET2008-03-28 14:15 --------- d-----w C:\Program Files\Microsoft Works2008-03-28 14:08 --------- d-----w C:\Program Files\Alcohol Soft2008-03-28 00:51 --------- d-----w C:\Program Files\MS Office 20072008-03-28 00:48 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\Thinstall2008-03-28 00:13 --------- d-----w C:\Documents and Settings\Właściciel\Dane aplikacji\ACD Systems2008-03-28 00:12 --------- d-----w C:\Program Files\ACD Systems2008-03-28 00:12 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\ACD Systems2008-03-25 04:52 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll2008-03-25 04:52 178,976 ----a-w C:\WINDOWS\system32\msjint40.dll2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys2008-03-13 16:13 155,995 ----a-w C:\WINDOWS\java\Packages\WMIHNXRJ.ZIP2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll2008-02-16 09:05 662,016 ----a-w C:\WINDOWS\system32\wininet.dll2008-02-08 16:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"VTTimer"="VTTimer.exe" [2005-03-08 05:33 53248 C:\WINDOWS\system32\VTTimer.exe]"VTTrayp"="VTtrayp.exe" [2005-11-01 06:15 163840 C:\WINDOWS\system32\VTTrayp.exe]"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 16:21 61952 C:\WINDOWS\system32\HdAShCut.exe]"SoundMAXPnP"="C:\Program Files\Analog Devices\Core\smax4pnp.exe" [2005-05-20 11:11 925696]"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 04:01 32768]"WireLessKeyboard"="C:\Program Files\Multimedia Keyboard Driver\StartAutorun.exe" [2005-11-30 13:48 94208]"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-03-13 18:19 77824]"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2008-02-08 18:36 227856][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"SENTINEL"= snti386.dll"VIDC.YV12"= yv12vfw.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\Program Files\\dc++\\DCPlusPlus.exe"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Skype\\Phone\\Skype.exe"=R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39]S3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28].**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-05-30 15:35:51Windows 5.1.2600 Dodatek Service Pack 2 NTFSscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************.Completion time: 2008-05-30 15:37:09ComboFix-quarantined-files.txt 2008-05-30 13:36:42Pre-Run: 92,483,772,416 bajtów wolnychPost-Run: 92,479,582,208 bajtów wolnych147 --- E O F --- 2008-05-19 01:11:15 też chyba czysty...
Mateusz J. komentarz 30 maja 2008 komentarz 30 maja 2008 Usunął się plik UFO.exe z pena, możesz to sam sprawdzać czy się usuną patrząc na sekcję: ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
hubertoo komentarz 30 maja 2008 Autor komentarz 30 maja 2008 no tak właśnie myślałem. jeszcze z kilka infekcji i sam bede udzielał porad. a tak poważnie to tak samo usuwa się to UFO z pendrive'ów - bo czuje, że jeszcze nie raz bede miał przyjemność. jeszcze raz dziękuje. do następnego wirusa pozdrawiam
Mateusz J. komentarz 30 maja 2008 komentarz 30 maja 2008 no tak właśnie myślałem. jeszcze z kilka infekcji i sam bede udzielał porad. a tak poważnie to tak samo usuwa się to UFO z pendrive'ów - bo czuje, że jeszcze nie raz bede miał przyjemność. UFO.exe to jedna z wielu infekcji pendrive, także wszystkich się tak samo nie usuwa jeszcze raz dziękuje. nie ma za co do następnego wirusa tongue.gif miejmy nadzieję, że był to ostatni pozdrawiam to ja też heh
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.