Skocz do zawartości


Close Open
Close Open

x_blacharz

Dołączył: 21 Aug 2008
Offline Ostatnio aktywny: Jul 06 2009 10:04 AM
-----

Moje posty

W temacie:Proszę o sprawdzenie loga

19 January 2009 - 10:56 AM

avast wykrył trojana "Win32:Fasec [Trj]", bez względu na podjęte działanie (usuń, kwarantanna, brak akcji) co kilka minut pokazuje komunikat o tym trojanie, na każdej partycji dysku

log z combofix'a

http://www.wklejto.pl/23149

W temacie:Proszę o sprawdzenie loga

23 August 2008 - 13:28 PM

raport z Avenger'a
Logfile of The Avenger Version 2.0, © by Swandog46[url="http://swandog46.geekstogo.com"]http://swandog46.geekstogo.com[/url]Platform:  Windows XP*******************Script file opened successfully.Script file read successfully.Backups directory opened successfully at C:\Avenger*******************Beginning to process script file:Rootkit scan active.No rootkits found!File "D:\koniec bear\Kat Deluna i inni    Run The Show.mp3" deleted successfully.Completed script processing.*******************Finished!  Terminate.
raport z skanowniania kaspersky on line
------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT 23 sierpień 2008 05:02:48 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 3 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.1 Ostatnia aktualizacja Kaspersky Anti-Virus22/08/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus1124860-------------------------------------------------------------------------------Ustawienia skanowania:	Skanowanie przy użyciu następujących baz danych: rozszerzone	Skanuj archiwa: tak	Skanuj pocztowe bazy danych: takObszar skanowania - Mój komputer:	C:\	D:\	E:\	F:\	G:\	H:\	I:\Statystyki skanowania:	Liczba skanowanych obiektów: 78850	Liczba wykrytych wirusów: 2	Liczba zainfekowanych obiektów: 6	Liczba podejrzanych obiektów: 0	Czas trwania skanowania: 01:27:31Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanieC:\Documents and Settings\All Users\Dane aplikacji\sentinel\2.1\gwhashs.dat	Object is locked	pominiętyC:\Documents and Settings\LocalService\NTUSER.DAT	Object is locked	pominiętyC:\Documents and Settings\LocalService\NTUSER.DAT.LOG	Object is locked	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominiętyC:\Documents and Settings\NetworkService\NTUSER.DAT	Object is locked	pominiętyC:\Documents and Settings\NetworkService\NTUSER.DAT.LOG	Object is locked	pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominiętyC:\Documents and Settings\Peter\Cookies\index.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\cert8.db	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\formhistory.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\history.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\key3.db	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\parent.lock	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\search.sqlite	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\urlclassifier2.sqlite	Object is locked	pominiętyC:\Documents and Settings\Peter\NTUSER.DAT	Object is locked	pominiętyC:\Documents and Settings\Peter\NTUSER.DAT.LOG	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\Cache\_CACHE_001_	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\Cache\_CACHE_002_	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\Cache\_CACHE_003_	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\Cache\_CACHE_MAP_	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Historia\History.IE5\index.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Historia\History.IE5\MSHist012008082220080823\index.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat	Object is locked	pominiętyC:\Program Files\Panda Security\Panda Antivirus 2008\cace2423dfb97c58fe7dd9f120557063PSK_NAMES	Object is locked	pominiętyC:\Program Files\Panda Security\Panda Antivirus 2008\cace2423dfb97c58fe7dd9f120557063PSK_NAMES2	Object is locked	pominiętyC:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominiętyC:\WINDOWS\Debug\PASSWD.LOG	Object is locked	pominiętyC:\WINDOWS\SchedLgU.Txt	Object is locked	pominiętyC:\WINDOWS\SoftwareDistribution\EventCache\{31DC2739-B74A-4E84-B795-A0E6E84271C2}.bin	Object is locked	pominiętyC:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Object is locked	pominiętyC:\WINDOWS\Sti_Trace.log	Object is locked	pominiętyC:\WINDOWS\system32\CatRoot2\edb.log	Object is locked	pominiętyC:\WINDOWS\system32\CatRoot2\tmp.edb	Object is locked	pominiętyC:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb	Object is locked	pominiętyC:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb	Object is locked	pominiętyC:\WINDOWS\system32\config\AppEvent.Evt	Object is locked	pominiętyC:\WINDOWS\system32\config\default	Object is locked	pominiętyC:\WINDOWS\system32\config\default.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\Internet.evt	Object is locked	pominiętyC:\WINDOWS\system32\config\ODiag.evt	Object is locked	pominiętyC:\WINDOWS\system32\config\OSession.evt	Object is locked	pominiętyC:\WINDOWS\system32\config\SAM	Object is locked	pominiętyC:\WINDOWS\system32\config\SAM.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\SecEvent.Evt	Object is locked	pominiętyC:\WINDOWS\system32\config\SECURITY	Object is locked	pominiętyC:\WINDOWS\system32\config\SECURITY.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\software	Object is locked	pominiętyC:\WINDOWS\system32\config\software.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\SysEvent.Evt	Object is locked	pominiętyC:\WINDOWS\system32\config\system	Object is locked	pominiętyC:\WINDOWS\system32\config\system.LOG	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Object is locked	pominiętyC:\WINDOWS\wiadebug.log	Object is locked	pominiętyC:\WINDOWS\wiaservc.log	Object is locked	pominiętyC:\WINDOWS\WindowsUpdate.log	Object is locked	pominiętyD:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominiętyD:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\A0004622.exe/WISE0039.BIN	Zainfekowanych: not-a-virus:RiskTool.Win32.CloseApp.a	pominiętyD:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\A0004622.exe/WISE0058.BIN/WISE0005.BIN	Zainfekowanych: not-a-virus:RiskTool.Win32.CloseApp.a	pominiętyD:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\A0004622.exe/WISE0058.BIN	Zainfekowanych: not-a-virus:RiskTool.Win32.CloseApp.a	pominiętyD:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\A0004622.exe	WiseSFX: zainfekowany - 3	pominiętyE:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominiętyE:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\A0004624.exe/WISE0014.BIN	Zainfekowanych: not-a-virus:AdWare.Win32.EZula.d	pominiętyE:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\A0004624.exe	WiseSFX: zainfekowany - 1	pominiętyE:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\change.log	Object is locked	pominiętyF:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominiętyF:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\change.log	Object is locked	pominiętyProces skanowania został zakończony.

W temacie:Proszę o sprawdzenie loga

22 August 2008 - 18:45 PM

log z Combofix'a
ComboFix 08-08-19.06 - Peter 2082-08-22 15:49:06.6 - NTFSx86Microsoft Windows XP Professional  5.1.2600.3.1250.1.1045.18.189 [GMT 2:00]Running from: C:\Documents and Settings\Peter\Pulpit\ComboFix.exeCommand switches used :: C:\Documents and Settings\Peter\Pulpit\CFScript.txt * Created a new restore point<strong class='bbc'>WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED <img src='https://forum.idg.pl/public/style_emoticons/<#EMO_DIR#>/excl.gif' class='bbc_emoticon' alt='!!' /></strong>.- REDUCED FUNCTIONALITY MODE -FILE ::C:\WINDOWS\system32\lphc1rmj0e3e5.exe.(((((((((((((((((((((((((((((((((((((((   Other Deletions   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\system32\lphc1rmj0e3e5.exe.(((((((((((((((((((((((((   Files Created from 2082-07-22 to 2082-08-22  ))))))))))))))))))))))))))))))).2082-08-22 00:38 . 2082-08-22 00:38	118,784	--a------	C:\WINDOWS\system32\blphc1rmj0e3e5.scr2082-08-21 04:51 . 2082-08-21 05:01	<DIR>	d--------	C:\WINDOWS\system32\PAV2082-08-21 04:51 . 2082-08-21 04:51	<DIR>	d--------	C:\Program Files\Panda Security2082-08-21 04:51 . 2007-09-28 14:24	83,896	--a------	C:\WINDOWS\system32\drivers\pavdrv51.sys2082-08-21 04:51 . 2007-03-15 17:38	54,832	--a------	C:\WINDOWS\system32\pavcpl.cpl2082-08-21 04:51 . 2007-02-15 19:02	50,736	--a------	C:\WINDOWS\system32\avldr.dll2082-08-21 04:51 . 2082-08-21 04:51	248	--a------	C:\WINDOWS\system32\PavCPL.dat2082-08-21 04:45 . 2007-07-12 14:49	178,872	--a------	C:\WINDOWS\system32\drivers\PavProc.sys2082-08-21 04:45 . 2007-05-23 16:40	38,968	--a------	C:\WINDOWS\system32\drivers\ShlDrv51.sys2082-08-20 23:01 . 2082-08-20 23:15	<DIR>	d--------	C:\Documents and Settings\Peter\Dane aplikacji\Symantec2082-08-20 23:00 . 2082-08-21 04:50	<DIR>	d--------	C:\Program Files\Symantec2082-08-20 23:00 . 2082-08-21 05:24	<DIR>	d--------	C:\Program Files\Common Files\Symantec Shared2082-08-20 23:00 . 2082-08-21 04:50	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Symantec2082-08-20 20:42 . 2082-08-20 22:52	<DIR>	d--------	C:\Program Files\mks_vir_2007.((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))..------- Sigcheck -------2008-05-17 14:44  487424  5f1ccdf37f28a88d0473b0c9ea1e0d58	C:\WINDOWS\system32\user32.dll2008-05-17 14:40  2190208  5fb59f2506787a7e036b7c2eff1cce24	C:\WINDOWS\system32\ntoskrnl.exe2008-05-17 14:36  1503232  67eacb65fbb0997dd3be8e4f1a5fe069	C:\WINDOWS\explorer.exe2008-05-17 14:35  40448  0277e1a3e8b337555a45943808451981	C:\WINDOWS\system32\ctfmon.exe.(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"VisualTaskTips"="C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 11:20 36352]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-05-17 14:35 40448]"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-05-16 18:32 2127296][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"EPSON Stylus C62 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2002-04-10 03:04 74240][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 14:59 62976]"VisualTaskTips"="C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 11:20 36352]"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-04-23 17:51 22059816][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="shell32" [X]C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\WlanUtility.lnk - C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe [2005-10-14 20:00:52 173056][HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"SynchronousMachineGroupPolicy"= 0 (0x0)"SynchronousUserGroupPolicy"= 0 (0x0)[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoSMHelp"= 1 (0x1)"NoSMConfigurePrograms"= 1 (0x1)"NoInstrumentation"= 1 (0x1)"NoStartMenuMFUprogramsList"= 1 (0x1)"NoResolveTrack"= 1 (0x1)"NoResolveSearch"= 1 (0x1)[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]"NoSMHelp"= 1 (0x1)"NoSMConfigurePrograms"= 1 (0x1)"NoInstrumentation"= 1 (0x1)"NoStartMenuMFUprogramsList"= 1 (0x1)"NoResolveTrack"= 1 (0x1)"NoResolveSearch"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]2007-02-15 19:02 50736 C:\WINDOWS\system32\avldr.dll[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"vidc.i420"= i263_32.drv"msacm.divxa32"= msaud32_divx.acm"VIDC.YV12"= yv12vfw.dll[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\WapSter\\AQQ\\AQQ.exe"="C:\\PROGRA~1\\WapSter\\AQQ\\AQQ.exe"=R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2006-02-26 17:21]R1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-05-23 16:40]R1 VBoxDrv;VirtualBox Service;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2008-04-30 22:12]R1 VBoxUSBMon;VirtualBox USB Monitor Driver;C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys [2008-04-30 22:12]R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2007-11-03 00:12]R2 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-07-12 14:49]R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-07-12 21:58]*Newly Created Service* - CATCHME.Contents of the 'Scheduled Tasks' folder2082-08-21 C:\WINDOWS\Tasks\Symantec NetDetect.job- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE [2004-08-20 18:26].**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2082-08-22 15:49:22Windows 5.1.2600 Dodatek Service Pack 3 NTFSscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]"ImagePath"="\??\C:\Program Files\CyberLink\PowerDVD\000.fcl".--------------------- DLLs Loaded Under Running Processes ---------------------PROCESS: C:\WINDOWS\explorer.exe-> C:\Program Files\Utilities\VisualTaskTips\VttHooks.dll.Completion time: 2082-08-22 15:52:10ComboFix-quarantined-files.txt  2082-08-22 13:52:04ComboFix2.txt  2082-08-21 22:27:56Pre-Run: 1,307,500,544 bajtów wolnychPost-Run: 1,300,205,568 bajtów wolnych127	--- E O F ---	2008-07-28 22:05:43

raport ze skanowania Kaspersky
------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT 22 sierpień 2008 19:43:10 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 3 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.1 Ostatnia aktualizacja Kaspersky Anti-Virus22/08/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus1123713-------------------------------------------------------------------------------Ustawienia skanowania:	Skanowanie przy użyciu następujących baz danych: rozszerzone	Skanuj archiwa: tak	Skanuj pocztowe bazy danych: takObszar skanowania - Mój komputer:	C:\	D:\	E:\	F:\	G:\	H:\	I:\Statystyki skanowania:	Liczba skanowanych obiektów: 78973	Liczba wykrytych wirusów: 3	Liczba zainfekowanych obiektów: 7	Liczba podejrzanych obiektów: 0	Czas trwania skanowania: 01:33:44Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanieC:\Documents and Settings\All Users\Dane aplikacji\sentinel\2.1\gwhashs.dat	Object is locked	pominiętyC:\Documents and Settings\LocalService\NTUSER.DAT	Object is locked	pominiętyC:\Documents and Settings\LocalService\NTUSER.DAT.LOG	Object is locked	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominiętyC:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominiętyC:\Documents and Settings\NetworkService\NTUSER.DAT	Object is locked	pominiętyC:\Documents and Settings\NetworkService\NTUSER.DAT.LOG	Object is locked	pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominiętyC:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominiętyC:\Documents and Settings\Peter\Cookies\index.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\cert8.db	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\formhistory.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\history.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\key3.db	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\parent.lock	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\search.sqlite	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\urlclassifier2.sqlite	Object is locked	pominiętyC:\Documents and Settings\Peter\Dane aplikacji\Xentient\Thumbnails\data	Object is locked	pominiętyC:\Documents and Settings\Peter\NTUSER.DAT	Object is locked	pominiętyC:\Documents and Settings\Peter\NTUSER.DAT.LOG	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\Cache\_CACHE_001_	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\Cache\_CACHE_002_	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\Cache\_CACHE_003_	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\o9jzhu2l.default\Cache\_CACHE_MAP_	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Historia\History.IE5\index.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Object is locked	pominiętyC:\Documents and Settings\Peter\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat	Object is locked	pominiętyC:\Program Files\Panda Security\Panda Antivirus 2008\cace2423dfb97c58fe7dd9f120557063PSK_NAMES	Object is locked	pominiętyC:\Program Files\Panda Security\Panda Antivirus 2008\cace2423dfb97c58fe7dd9f120557063PSK_NAMES2	Object is locked	pominiętyC:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominiętyC:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\change.log	Object is locked	pominiętyC:\WINDOWS\Debug\PASSWD.LOG	Object is locked	pominiętyC:\WINDOWS\SchedLgU.Txt	Object is locked	pominiętyC:\WINDOWS\SoftwareDistribution\EventCache\{31DC2739-B74A-4E84-B795-A0E6E84271C2}.bin	Object is locked	pominiętyC:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Object is locked	pominiętyC:\WINDOWS\Sti_Trace.log	Object is locked	pominiętyC:\WINDOWS\system32\CatRoot2\edb.log	Object is locked	pominiętyC:\WINDOWS\system32\CatRoot2\tmp.edb	Object is locked	pominiętyC:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb	Object is locked	pominiętyC:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb	Object is locked	pominiętyC:\WINDOWS\system32\config\AppEvent.Evt	Object is locked	pominiętyC:\WINDOWS\system32\config\default	Object is locked	pominiętyC:\WINDOWS\system32\config\default.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\Internet.evt	Object is locked	pominiętyC:\WINDOWS\system32\config\ODiag.evt	Object is locked	pominiętyC:\WINDOWS\system32\config\OSession.evt	Object is locked	pominiętyC:\WINDOWS\system32\config\SAM	Object is locked	pominiętyC:\WINDOWS\system32\config\SAM.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\SecEvent.Evt	Object is locked	pominiętyC:\WINDOWS\system32\config\SECURITY	Object is locked	pominiętyC:\WINDOWS\system32\config\SECURITY.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\software	Object is locked	pominiętyC:\WINDOWS\system32\config\software.LOG	Object is locked	pominiętyC:\WINDOWS\system32\config\SysEvent.Evt	Object is locked	pominiętyC:\WINDOWS\system32\config\system	Object is locked	pominiętyC:\WINDOWS\system32\config\system.LOG	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Object is locked	pominiętyC:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Object is locked	pominiętyC:\WINDOWS\wiadebug.log	Object is locked	pominiętyC:\WINDOWS\wiaservc.log	Object is locked	pominiętyC:\WINDOWS\WindowsUpdate.log	Object is locked	pominiętyD:\c piotr\INSTALKI\Vista\Vista Transformation Pack 5.5.exe/WISE0039.BIN	Zainfekowanych: not-a-virus:RiskTool.Win32.CloseApp.a	pominiętyD:\c piotr\INSTALKI\Vista\Vista Transformation Pack 5.5.exe/WISE0058.BIN/WISE0005.BIN	Zainfekowanych: not-a-virus:RiskTool.Win32.CloseApp.a	pominiętyD:\c piotr\INSTALKI\Vista\Vista Transformation Pack 5.5.exe/WISE0058.BIN	Zainfekowanych: not-a-virus:RiskTool.Win32.CloseApp.a	pominiętyD:\c piotr\INSTALKI\Vista\Vista Transformation Pack 5.5.exe	WiseSFX: zainfekowany - 3	pominiętyD:\koniec bear\Kat Deluna i inni    Run The Show.mp3	Zainfekowanych: Trojan-Downloader.WMA.Wimad.n	pominiętyD:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominiętyD:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\change.log	Object is locked	pominiętyE:\MARTYNA\inne\ROSWELL!\Wygaszacze\katheigl.exe/WISE0014.BIN	Zainfekowanych: not-a-virus:AdWare.Win32.EZula.d	pominiętyE:\MARTYNA\inne\ROSWELL!\Wygaszacze\katheigl.exe	WiseSFX: zainfekowany - 1	pominiętyE:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominiętyE:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\change.log	Object is locked	pominiętyF:\System Volume Information\MountPointManagerRemoteDatabase	Object is locked	pominiętyF:\System Volume Information\_restore{8DC5AC40-36CC-4790-9BB0-89B9ED5FCC7C}\RP49\change.log	Object is locked	pominiętyProces skanowania został zakończony.

W temacie:Proszę o sprawdzenie loga

22 August 2008 - 13:59 PM

ComboFix 08-08-19.06 - Peter 2082-08-22  0:21:46.5 - NTFSx86Microsoft Windows XP Professional  5.1.2600.3.1250.1.1045.18.191 [GMT 2:00]Running from: C:\Documents and Settings\Peter\Pulpit\ComboFix.exeCommand switches used :: C:\Documents and Settings\Peter\Pulpit\CFScript.txt * Created a new restore point<strong class='bbc'>WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED <img src='https://forum.idg.pl/public/style_emoticons/<#EMO_DIR#>/excl.gif' class='bbc_emoticon' alt='!!' /></strong>.- REDUCED FUNCTIONALITY MODE -FILE ::C:\WINDOWS\system32\blphc1rmj0e3e5.scrC:\WINDOWS\system32\sabx.dllC:\xp19.comJ:\t1ypkh.exeJ:\xp19.com.(((((((((((((((((((((((((((((((((((((((   Other Deletions   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\system32\blphc1rmj0e3e5.scrC:\WINDOWS\system32\sabx.dll.(((((((((((((((((((((((((   Files Created from 2082-07-21 to 2082-08-21  ))))))))))))))))))))))))))))))).2082-08-21 04:51 . 2082-08-21 05:01	<DIR>	d--------	C:\WINDOWS\system32\PAV2082-08-21 04:51 . 2082-08-21 04:51	<DIR>	d--------	C:\Program Files\Panda Security2082-08-21 04:51 . 2007-09-28 14:24	83,896	--a------	C:\WINDOWS\system32\drivers\pavdrv51.sys2082-08-21 04:51 . 2007-03-15 17:38	54,832	--a------	C:\WINDOWS\system32\pavcpl.cpl2082-08-21 04:51 . 2007-02-15 19:02	50,736	--a------	C:\WINDOWS\system32\avldr.dll2082-08-21 04:51 . 2082-08-21 04:51	248	--a------	C:\WINDOWS\system32\PavCPL.dat2082-08-21 04:45 . 2007-07-12 14:49	178,872	--a------	C:\WINDOWS\system32\drivers\PavProc.sys2082-08-21 04:45 . 2007-05-23 16:40	38,968	--a------	C:\WINDOWS\system32\drivers\ShlDrv51.sys2082-08-20 23:01 . 2082-08-20 23:15	<DIR>	d--------	C:\Documents and Settings\Peter\Dane aplikacji\Symantec2082-08-20 23:00 . 2082-08-21 04:50	<DIR>	d--------	C:\Program Files\Symantec2082-08-20 23:00 . 2082-08-21 05:24	<DIR>	d--------	C:\Program Files\Common Files\Symantec Shared2082-08-20 23:00 . 2082-08-21 04:50	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Symantec2082-08-20 20:42 . 2082-08-20 22:52	<DIR>	d--------	C:\Program Files\mks_vir_2007.((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))..------- Sigcheck -------2008-05-17 14:44  487424  5f1ccdf37f28a88d0473b0c9ea1e0d58	C:\WINDOWS\system32\user32.dll2008-05-17 14:40  2190208  5fb59f2506787a7e036b7c2eff1cce24	C:\WINDOWS\system32\ntoskrnl.exe2008-05-17 14:36  1503232  67eacb65fbb0997dd3be8e4f1a5fe069	C:\WINDOWS\explorer.exe2008-05-17 14:35  40448  0277e1a3e8b337555a45943808451981	C:\WINDOWS\system32\ctfmon.exe.(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"VisualTaskTips"="C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 11:20 36352]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-05-17 14:35 40448]"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-05-16 18:32 2127296][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"EPSON Stylus C62 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2002-04-10 03:04 74240]"lphc1rmj0e3e5"="C:\WINDOWS\system32\lphc1rmj0e3e5.exe" [2008-08-19 20:40 187392][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"TaskSwitchXP"="C:\Program Files\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 14:59 62976]"VisualTaskTips"="C:\Program Files\Utilities\VisualTaskTips\VisualTaskTips.exe" [2007-09-05 11:20 36352]"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-04-23 17:51 22059816][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="shell32" [X]C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\WlanUtility.lnk - C:\Program Files\MicroStar\WLANUtility\WlanUtility.exe [2005-10-14 20:00:52 173056][HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]"SynchronousMachineGroupPolicy"= 0 (0x0)"SynchronousUserGroupPolicy"= 0 (0x0)[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]"NoDispBackgroundPage"= 1 (0x1)"NoDispScrSavPage"= 1 (0x1)[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"NoSMHelp"= 1 (0x1)"NoSMConfigurePrograms"= 1 (0x1)"NoInstrumentation"= 1 (0x1)"NoStartMenuMFUprogramsList"= 1 (0x1)"NoResolveTrack"= 1 (0x1)"NoResolveSearch"= 1 (0x1)[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]"NoSMHelp"= 1 (0x1)"NoSMConfigurePrograms"= 1 (0x1)"NoInstrumentation"= 1 (0x1)"NoStartMenuMFUprogramsList"= 1 (0x1)"NoResolveTrack"= 1 (0x1)"NoResolveSearch"= 1 (0x1)[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]2007-02-15 19:02 50736 C:\WINDOWS\system32\avldr.dll[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"vidc.i420"= i263_32.drv"msacm.divxa32"= msaud32_divx.acm"VIDC.YV12"= yv12vfw.dll[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\WapSter\\AQQ\\AQQ.exe"="C:\\PROGRA~1\\WapSter\\AQQ\\AQQ.exe"=R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2006-02-26 17:21]R1 ShldDrv;Panda File Shield Driver;C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-05-23 16:40]R1 VBoxDrv;VirtualBox Service;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2008-04-30 22:12]R1 VBoxUSBMon;VirtualBox USB Monitor Driver;C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys [2008-04-30 22:12]R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2007-11-03 00:12]R2 PavProc;Panda Process Protection Driver;C:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-07-12 14:49]R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-07-12 21:58].Contents of the 'Scheduled Tasks' folder2082-08-21 C:\WINDOWS\Tasks\Symantec NetDetect.job- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE [2004-08-20 18:26].**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2082-08-22 00:23:32Windows 5.1.2600 Dodatek Service Pack 3 NTFSscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]"ImagePath"="\??\C:\Program Files\CyberLink\PowerDVD\000.fcl".------------------------ Other Running Processes ------------------------.C:\WINDOWS\system32\ati2evxx.exeC:\Program Files\Panda Security\Panda Antivirus 2008\PAVSRV51.EXEC:\Program Files\Panda Security\Panda Antivirus 2008\AVENGINE.EXEC:\WINDOWS\system32\ati2evxx.exeC:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exeC:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exeC:\WINDOWS\system32\oodag.exeC:\Program Files\Panda Security\Panda Antivirus 2008\PsCtrlS.exeC:\Program Files\Common Files\Panda Software\PavShld\PavPrSrv.exeC:\Program Files\Panda Security\Panda Antivirus 2008\PsImSvc.exeC:\Program Files\Panda Security\Panda Antivirus 2008\ApVxdWin.exeC:\Program Files\MicroStar\WLANUtility\WLAN_Service.exeC:\Program Files\Panda Security\Panda Antivirus 2008\WebProxy.exe.**************************************************************************.Completion time: 2082-08-22  0:27:55 - machine was rebootedComboFix-quarantined-files.txt  2082-08-21 22:27:51ComboFix2.txt  2082-08-21 18:55:59Pre-Run: 1,326,825,472 bajtów wolnychPost-Run: 1,338,621,952 bajt˘w wolnych148	--- E O F ---	2008-07-28 22:05:43