Koń trojański Trojan-GameThief.Win32.Magania.dkqv

[gdt]

witam, Panowie mam problem, otóż Kaspersky wykrył koń trojański Trojan-GameThief.Win32.Magania.dkqv - plik eyruu.exe , niby został usunięty, ale dalej jest kłopot. Nie mogę dostać się na żaden z dysków:/

Proszę o pomoc

[Landuss]

Masz infekcje z mediów przenośnych. Wymagane logi.

 

1. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

 

2. Wykonaj i zaprezentuj logi z OTL + GMER

[gdt]

UsbFix

 

############################## | UsbFix 7.017 | [Listing]

 

User: Aleksander (Administrator) # MUSC [ ]

Updated 22/07/10 by El Desaparecido / C_XX

Started at 14:57:10 | 23/07/2010

Website: http://pagesperso-orange.fr/NosTools/index.html

Contact: FindyKill.Contact@gmail.com

 

CPU: AMD Athlon 64 X2 Dual Core Processor 6000+

CPU 2: AMD Athlon 64 X2 Dual Core Processor 6000+

Microsoft Windows XP Home Edition (5.1.2600 32-Bit) # Dodatek Service Pack 3

Internet Explorer 6.0.2900.2180

 

Windows Firewall: Disabled /!\

Antivirus: Kaspersky Internet Security 8.0.0.357 [(!) Disabled | Updated]

Firewall: Kaspersky Internet Security 8.0.0.357 [Enabled]

RAM -> 2047 Mb

C:\ (%systemdrive%) -> Fixed drive # 20 Gb (10 Mb free - 48%) [] # NTFS

D:\ -> Fixed drive # 100 Gb (16 Mb free - 16%) [Gry, Muzyka, Filmy] # NTFS

E:\ -> Fixed drive # 50 Gb (6 Mb free - 13%) [Ważne] # NTFS

F:\ -> Fixed drive # 63 Gb (13 Mb free - 20%) [Programy] # NTFS

G:\ -> CD-ROM

I:\ -> Removable drive # 4 Gb (2 Mb free - 61%) [] # FAT32

 

################## | Listing |

 

[21/07/2010 - 15:51:04 | D ] C:\3451e5b18d3f8cf2aaff9df9c5

[21/07/2010 - 14:59:42 | A | 0] C:\AUTOEXEC.BAT

[22/07/2010 - 18:08:27 | RSH | 41] C:\autorun.inf

[21/07/2010 - 15:18:27 | RSH | 223] C:\boot.ini

[02/03/2006 - 14:00:00 | RASH | 4952] C:\Bootfont.bin

[23/07/2010 - 14:49:50 | HD ] C:\Config.Msi

[21/07/2010 - 14:59:42 | A | 0] C:\CONFIG.SYS

[21/07/2010 - 15:02:48 | D ] C:\Documents and Settings

[21/07/2010 - 15:47:46 | D ] C:\Downloads

[21/07/2010 - 14:59:42 | RASH | 0] C:\IO.SYS

[21/07/2010 - 14:59:42 | RASH | 0] C:\MSDOS.SYS

[02/03/2006 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM

[22/07/2010 - 18:25:55 | RASH | 251152] C:\ntldr

[21/07/2010 - 15:03:40 | D ] C:\NVIDIA

[23/07/2010 - 14:48:04 | ASH | 2145386496] C:\pagefile.sys

[22/07/2010 - 19:08:10 | RD ] C:\Program Files

[21/07/2010 - 15:41:19 | SHD ] C:\RECYCLER

[21/07/2010 - 15:02:14 | SHD ] C:\System Volume Information

[23/07/2010 - 12:55:47 | D ] C:\UsbFix

[23/07/2010 - 14:57:16 | A | 2040] C:\UsbFix.txt

[23/07/2010 - 14:50:47 | D ] C:\WINDOWS

[21/07/2010 - 17:24:39 | RSH | 57] D:\autorun.inf

[21/07/2010 - 17:24:28 | D ] D:\e

[11/07/2010 - 19:16:14 | D ] D:\Gry

[22/07/2010 - 22:43:09 | HD ] D:\msdownld.tmp

[21/07/2010 - 16:21:39 | RHD ] D:\MSOCache

[13/08/2009 - 23:50:24 | SD ] D:\Muzyka

[21/07/2010 - 15:44:34 | SHD ] D:\RECYCLER

[21/07/2010 - 15:03:02 | SHD ] D:\System Volume Information

[21/07/2010 - 17:24:39 | RSH | 57] E:\autorun.inf

[06/07/2009 - 20:50:09 | D ] E:\FAKTURY

[22/05/2010 - 16:46:44 | D ] E:\Kasiunia

[21/07/2010 - 15:44:34 | SHD ] E:\RECYCLER

[07/05/2010 - 22:57:38 | D ] E:\Różne

[21/07/2010 - 15:03:02 | SHD ] E:\System Volume Information

[14/05/2010 - 19:04:57 | D ] E:\Tata

[21/07/2010 - 09:41:36 | RD ] E:\Zdjęcia

[08/05/2010 - 20:57:07 | D ] F:\a

[21/07/2010 - 17:24:39 | RSH | 57] F:\autorun.inf

[14/07/2010 - 22:56:16 | SHD ] F:\Config.Msi

[21/07/2010 - 10:33:21 | D ] F:\FILMY

[21/06/2010 - 19:46:02 | D ] F:\Instalki

[27/04/2010 - 17:43:51 | D ] F:\Internet Explorer 7

[07/06/2010 - 21:54:22 | D ] F:\MAFIA

[06/07/2010 - 16:02:58 | D ] F:\MAMA

[27/10/2009 - 13:38:28 | HD ] F:\msdownld.tmp

[12/03/2010 - 17:21:57 | RHD ] F:\MSOCache

[10/05/2010 - 22:19:17 | D ] F:\MUZYKA

[08/08/2009 - 15:29:52 | D ] F:\Palm

[13/03/2010 - 15:16:43 | D ] F:\Phone

[29/05/2010 - 15:45:17 | D ] F:\Programy

[21/07/2010 - 15:44:34 | SHD ] F:\RECYCLER

[21/07/2010 - 15:03:02 | SHD ] F:\System Volume Information

[24/06/2010 - 20:44:08 | A | 13512] I:\Patryk RaczkowskiRacibórzDHL.docx

[24/06/2010 - 20:48:42 | A | 11641] I:\Scriba.docx

[25/06/2010 - 09:39:08 | A | 11705] I:\Mieszko.docx

[21/07/2010 - 17:13:44 | D ] I:\Unthinkable

[21/07/2010 - 17:14:08 | D ] I:\Siedem Dusz

[19/02/2009 - 13:10:12 | A | 387216169] I:\Eagle Eye 2008 Lektor PL.rmvb

 

################## | E.O.F |

 

 

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit quick scan 2010-07-23 14:57:54

Windows 5.1.2600 Dodatek Service Pack 3

Running: gmer.exe; Driver: C:\DOCUME~1\ALEKSA~1\USTAWI~1\Temp\pxtdypob.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB449E940]

SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB449E9A8]

 

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess

Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 8A5CE1F8

Device \FileSystem\Fastfat \Fat 886D8500

 

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab)

 

---- Threads - GMER 1.0.15 ----

 

Thread System [4:584] 8906F100

Thread System [4:588] 8906F100

Thread System [4:592] 8903B640

Thread System [4:596] 8903B640

Thread System [4:604] 8903D630

Thread System [4:608] 8903D630

Thread System [4:612] 8903D630

Thread System [4:616] 8903B640

Thread System [4:2848] 88C0D360

Thread System [4:3488] 889DC890

Thread System [4:3492] 889DC890

 

---- EOF - GMER 1.0.15 ----

 

OTL

 

OTL Extras logfile created on: 2010-07-23 15:04:59 - Run 1

OTL by OldTimer - Version 3.2.9.1 Folder = C:\Documents and Settings\Aleksander\Pulpit\trojan

Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 73,00% Memory free

4,00 Gb Paging File | 3,00 Gb Available in Paging File | 91,00% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 20,00 Gb Total Space | 9,60 Gb Free Space | 47,99% Space Free | Partition Type: NTFS

Drive D: | 100,01 Gb Total Space | 15,63 Gb Free Space | 15,63% Space Free | Partition Type: NTFS

Drive E: | 50,00 Gb Total Space | 6,32 Gb Free Space | 12,63% Space Free | Partition Type: NTFS

Drive F: | 62,87 Gb Total Space | 12,80 Gb Free Space | 20,35% Space Free | Partition Type: NTFS

G: Drive not present or media not loaded

H: Drive not present or media not loaded

Drive I: | 3,74 Gb Total Space | 2,30 Gb Free Space | 61,50% Space Free | Partition Type: FAT32

 

Computer Name: MUSC

Current User Name: Aleksander

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: Current user

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 30 Days

Output = Standard

 

========== Extra Registry (SafeList) ==========

 

 

========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

 

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 

========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- "C:\Program Files\Microsoft Office\OFFICE11\msohtmed.exe" %1 (Microsoft Corporation)

http [open] -- Reg Error: Key error.

https [open] -- Reg Error: Key error.

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 

========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 1

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring" = 1

"" =

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"17999:TCP" = 17999:TCP:*:Enabled:BitComet 17999 TCP

"17999:UDP" = 17999:UDP:*:Enabled:BitComet 17999 UDP

 

========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\Polish\setup.exe" = C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\Polish\setup.exe:*:Enabled:Kaspersky Internet Security 2009 Setup -- (Kaspersky Lab)

"C:\Program Files\BitComet\BitComet.exe" = C:\Program Files\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client -- (www.BitComet.com)

"C:\Program Files\Nowe Gadu-Gadu\gg.exe" = C:\Program Files\Nowe Gadu-Gadu\gg.exe:*:Enabled:Nowe Gadu-Gadu -- (GG Network S.A.)

 

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{10E1E87C-656C-4D08-86D6-5443D28583BE}" = TrayApp

"{13F00518-807A-4B3A-83B0-A7CD90F3A398}" = MarketResearch

"{1753255A-0AEB-4220-8C75-607B73F0C133}" = Copy

"{22466889-7642-488d-AA0E-F619704CF7AB}" = DeviceDiscovery

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20

"{28BE306E-5DA6-4F9C-BDB0-DBA3C8C6FFFD}" = QuickTime

"{29FA38B4-0AE4-4D0D-8A51-6165BB990BB0}" = WebReg

"{2F28B3C9-2C89-4206-8B33-8ADC9577C49B}" = Scan

"{350C9415-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{415CDA53-9100-476F-A7B2-476691E117C7}" = HP Smart Web Printing

"{487B0B9B-DCD4-440D-89A0-A6EDE1A545A3}" = HPSSupply

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{543E938C-BDC4-4933-A612-01293996845F}" = UnloadSupport

"{553255F3-78FD-40F1-A6F8-6882140265FE}" = Apple Application Support

"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder

"{6956856F-B6B3-4BE0-BA0B-8F495BE32033}" = Apple Software Update

"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin

"{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{824D3839-DAA1-4315-A822-7AE3E620E528}" = VideoToolkit01

"{8389382B-53BA-4A87-8854-91E3D80A5AC7}" = HP Photosmart Essential2.01

"{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}" = Kaspersky Internet Security 2009

"{90110409-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{A6B90148-02C5-4fd3-8D7A-EF2386835CB9}" = F4100_Help

"{A6C265BE-E2C1-483e-843D-6B4C1E912AE0}" = F4100

"{AB40272D-92AB-4F30-B36B-22EDE16F8FE5}" = HP Update

"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder

"{AEA07F97-9088-497c-8821-0F36BD5DC251}" = HPProductAssistant

"{AF7FC1CA-79DF-43c3-90A3-33EFEB9294CE}" = AIO_Scan

"{B4509BCE-7BAD-4a8c-B1AE-4D0CE7467C42}" = F4100_doccd

"{B4F35A00-24FD-4fb3-BF5E-413D5423434D}" = DJ_AIO_Software_min

"{BCD6CD1A-0DBE-412E-9F25-3B500D1E6BA1}" = SolutionCenter

"{C3CBE4AD-CC84-484F-8E44-CFB303BFDA4D}" = SRS Audio Sandbox

"{CA50045C-5119-48e7-9BA7-6B317379857A}" = DJ_AIO_Software

"{D0E39A1D-0CEE-4D85-B4A2-E3BE990D075E}" = Destination Component

"{E2662C24-B31E-4349-A084-32EB76E8B760}" = BufferChm

"{E548726E-F4E8-459f-BAB8-45551BC071E9}" = DJ_AIO_ProductContext

"{E9C18EBD-85BE-47D0-AA73-3FEDCC976B04}" = Toolbox

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}" = 32 Bit HP CIO Components Installer

"{F4F4F84E-804F-4E9A-84D7-C34283F0088F}" = RealUpgrade 1.0

"{F72E2DDC-3DB8-4190-A21D-63883D955FE7}" = PSSWCORE

"{FA8A44D7-3E8A-4034-9C4F-088FA6B72BC4}" = HP Deskjet All-In-One Software 9.0

"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio

"{FD8D8B04-BEAD-4A55-AA1D-62D2373E7DEA}" = Status

"6A1545AE87FC8D98ACA7539CE7AA69DF2A5C7E1C" = Pakiet sterowników systemu Windows - Advanced Micro Devices (AmdK8) Processor (05/27/2006 1.3.2.0)

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

"AIMP2" = AIMP2

"BitComet" = BitComet 0.96

"CCleaner" = CCleaner

"HP Imaging Device Functions" = HP Imaging Device Functions 9.0

"HP Photosmart Essential" = HP Photosmart Essential 2.01

"HP Solution Center & Imaging Support Tools" = HP Solution Center 9.0

"HPExtendedCapabilities" = HP Customer Parti[Filtr wulgaryzmów]tion Program 9.0

"InstallWIX_{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}" = Kaspersky Internet Security 2009

"Internet Download Manager" = Internet Download Manager

"KLiteCodecPack_is1" = K-Lite Codec Pack 5.4.0 (Full)

"Mozilla Firefox (3.6.7)" = Mozilla Firefox (3.6.7)

"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP

"Nowe Gadu-Gadu" = Nowe Gadu-Gadu

"NVIDIA Drivers" = NVIDIA Drivers

"Pack Vista Inspirat 2" = Pack Vista Inspirat 2 1.0

"RealAlt_is1" = Real Alternative 1.51

"RealPlayer 12.0" = RealPlayer

"Usbfix" = Usbfix By C_XX & El Desaparecido

"Windows Media Format Runtime" = Windows Media Format 11 runtime

"Windows Media Player" = Windows Media Player 11

"Windows XP Service Pack" = Windows XP Service Pack 3

"WinRAR archiver" = Archiwizator WinRAR

"WMFDist11" = Windows Media Format 11 runtime

"wmp11" = Windows Media Player 11

"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

 

========== HKEY_CURRENT_USER Uninstall List ==========

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

 

========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 2010-07-22 05:20:03 | Computer Name = MUSC | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd realplayerspgold.exe, wersja 12.0.0.879,

moduł powodujący błąd unknown, wersja 0.0.0.0, adres błędu 0x00000004.

 

Error - 2010-07-22 05:33:43 | Computer Name = MUSC | Source = MsiInstaller | ID = 1013

Description = Produkt: Kaspersky Internet Security 2009 -- Przed kontynuacją instalacji

musisz ponownie uruchomić komputer.

 

Error - 2010-07-22 05:35:21 | Computer Name = MUSC | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

 

Error - 2010-07-22 05:42:11 | Computer Name = MUSC | Source = MsiInstaller | ID = 11904

Description = Produkt: SolutionCenter -- Error 1904. Nie można zarejestrować modułu

C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx. HRESULT -2147220473. Skontaktuj

się z personelem pomocy technicznej.

 

Error - 2010-07-22 06:45:20 | Computer Name = MUSC | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd mrt.exe, wersja 3.9.3901.0, moduł powodujący

błąd mrt.exe, wersja 3.9.3901.0, adres błędu 0x0002a301.

 

Error - 2010-07-22 06:45:24 | Computer Name = MUSC | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd drwtsn32.exe, wersja 5.1.2600.0, moduł powodujący

błąd dbghelp.dll, wersja 5.1.2600.2180, adres błędu 0x0001295d.

 

Error - 2010-07-22 10:05:09 | Computer Name = MUSC | Source = Application Hang | ID = 1002

Description = Aplikacja zawieszająca MRT.exe, wersja 3.9.3901.0, moduł zawieszenia

hungapp, wersja 0.0.0.0, adres zawieszenia 0x00000000.

 

Error - 2010-07-22 16:17:36 | Computer Name = MUSC | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd iexplore.exe, wersja 8.0.6001.18702, moduł

powodujący błąd hpswp_subclasser.dll, wersja 2.15.7.0, adres błędu 0x00004798.

 

Error - 2010-07-22 16:20:29 | Computer Name = MUSC | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd extexport.exe, wersja 8.0.6001.18702, moduł

powodujący błąd sqlite3.dll, wersja 3.6.22.0, adres błędu 0x0001072b.

 

Error - 2010-07-22 18:41:27 | Computer Name = MUSC | Source = Application Error | ID = 1000

Description = Aplikacja powodująca błąd explorer.exe, wersja 6.0.2900.5512, moduł

powodujący błąd unknown, wersja 0.0.0.0, adres błędu 0x151f010a.

 

[ System Events ]

Error - 2010-07-22 16:08:26 | Computer Name = MUSC | Source = Dhcp | ID = 1002

Description = Adres IP połączenia 192.168.0.100 dla karty sieciowej o adresie 001D7D925C8E

został zabroniony przez serwer DHCP 192.168.0.1 (Serwer DHCP wysłał komunikat DHCPNACK).

 

Error - 2010-07-22 16:15:43 | Computer Name = MUSC | Source = Dhcp | ID = 1002

Description = Adres IP połączenia 192.168.0.100 dla karty sieciowej o adresie 001D7D925C8E

został zabroniony przez serwer DHCP 192.168.0.1 (Serwer DHCP wysłał komunikat DHCPNACK).

 

Error - 2010-07-22 16:46:36 | Computer Name = MUSC | Source = Dhcp | ID = 1002

Description = Adres IP połączenia 192.168.0.100 dla karty sieciowej o adresie 001D7D925C8E

został zabroniony przez serwer DHCP 192.168.0.1 (Serwer DHCP wysłał komunikat DHCPNACK).

 

Error - 2010-07-22 16:52:07 | Computer Name = MUSC | Source = Dhcp | ID = 1002

Description = Adres IP połączenia 192.168.0.100 dla karty sieciowej o adresie 001D7D925C8E

został zabroniony przez serwer DHCP 192.168.0.1 (Serwer DHCP wysłał komunikat DHCPNACK).

 

Error - 2010-07-22 16:56:47 | Computer Name = MUSC | Source = Dhcp | ID = 1002

Description = Adres IP połączenia 192.168.0.100 dla karty sieciowej o adresie 001D7D925C8E

został zabroniony przez serwer DHCP 192.168.0.1 (Serwer DHCP wysłał komunikat DHCPNACK).

 

Error - 2010-07-22 18:40:55 | Computer Name = MUSC | Source = Dhcp | ID = 1002

Description = Adres IP połączenia 192.168.0.100 dla karty sieciowej o adresie 001D7D925C8E

został zabroniony przez serwer DHCP 192.168.0.1 (Serwer DHCP wysłał komunikat DHCPNACK).

 

Error - 2010-07-23 05:04:05 | Computer Name = MUSC | Source = Dhcp | ID = 1002

Description = Adres IP połączenia 192.168.0.100 dla karty sieciowej o adresie 001D7D925C8E

został zabroniony przez serwer DHCP 192.168.0.1 (Serwer DHCP wysłał komunikat DHCPNACK).

 

Error - 2010-07-23 06:51:00 | Computer Name = MUSC | Source = Dhcp | ID = 1002

Description = Adres IP połączenia 192.168.0.100 dla karty sieciowej o adresie 001D7D925C8E

został zabroniony przez serwer DHCP 192.168.0.1 (Serwer DHCP wysłał komunikat DHCPNACK).

 

Error - 2010-07-23 08:48:08 | Computer Name = MUSC | Source = Dhcp | ID = 1002

Description = Adres IP połączenia 192.168.0.100 dla karty sieciowej o adresie 001D7D925C8E

został zabroniony przez serwer DHCP 192.168.0.1 (Serwer DHCP wysłał komunikat DHCPNACK).

 

Error - 2010-07-23 09:04:10 | Computer Name = MUSC | Source = Dhcp | ID = 1002

Description = Adres IP połączenia 192.168.0.100 dla karty sieciowej o adresie 001D7D925C8E

został zabroniony przez serwer DHCP 192.168.0.1 (Serwer DHCP wysłał komunikat DHCPNACK).

 

 

< End of report >

[Landuss]

Zabrakło podstawowego loga z OTL (otl.txt). Uzupełnij to bo bez tego nie ruszymy.

[gdt]

już dodaje;)

OTL.Txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
autorun.inf /alldrives
RECYCLER /alldrives
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i nowy log z USBFix.

 

 

 

[gdt]

ok:

OTL.Txt

UsbFix.txt

[Landuss]

Infekcja pomyślnie usunięta. Drobnostki na koniec o wykonania.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Użyj opcji Vaccinate z USBfix co spowoduje nałożenie zabezpieczenia przeciwko tym infekcjom.

 

3. Zaktualizuj IE do stanu Internet Explorer 8. To konieczne nawet jeśli z niej nie korzystasz.

[gdt]

wszystko zrobione, działa wszystko jak należy. Dziękuje bardzo za szybką i porządną pomoc;)