[Resolvido!] Trojan Agent

Chicória · Novembro 22, 2008

Oi, MGuitar!

Meu computador não entra no Modo de Segurança, logo apenas pude executar o procedimento no Modo Normal.

Ao final do scan apareceu a seguinte mensagem:

One or more files failed to scan or clean.

Do you wish to this remover after system reboot?

Após esta mensagem, cliquei em sim e ocorreu o seguinte erro:

Failed to setup boot rum of the virus remover (Error Code 2)

No mais, segue o log.

Abraços

-----------------------

<!> Relatório do Sality: < Sality - Log >

MGuitar · Novembro 23, 2008

Ok.

Peço que por favor, repita o scan no Kaspersky para vermos se a ferramenta teve sucesso na remoção do Sality.

Com o navegador Internet Explorer, acesse o Kaspersky Online Scanner e faça um scan seguindo o tutorial do link abaixo:
http://www.linhadefensiva.org/forum/index....showtopic=74159

No término do scan, salve o relatório com a extensão .txt em seu computador e poste este relatório em sua próxima resposta por favor.

Chicória · Novembro 24, 2008

Segue o solicitado.

Abraços

----------------------

<!> Eis o segundo relatório do Kaspersky: < Kaspersky 2 - Log >

DigRam · Novembro 25, 2008

Boa Noite! Chicória

<!> À pedido do amigo MGuitar,estou assumindo esta análise...até ao retorno do Analista.

-------------------------

<@> Crie um ponto limpo de Restauração do Sistema.

<@> Clique com o direito do mouse,em cima de Meu Computador --> Propriedades --> Restauração do Sistema.

<@> Marque: Desativar Restauração do Sistema --> Aplicar --> Ok.

<@> Depois,desmarque novamente! --> Aplicar --> Ok.

<@> Para maiores detalhes,vá em: < Docs >

-------------------------

<!> Execute,novamente,a vacina Antisality. ( rmsality.exe )

<!> Não precisa,neste caso,postar o relatório!

-------------------------

<@> Baixe: < FindyKill > ( ...par Chiquitine29 )

<@> Salve-a em Arquivos de Programas!

<@> Feche programas que estejam abertos.

<@> Desabilite a proteção residente de antivírus e antispywares.

<@> Instale a ferramenta,e aceite todas as condições pedidas.

<@> Terminando;execute a ferramenta com um duplo-clique,em: C:\Arquivos de Programas\FindyKill\FindyKill.bat <--

<@> No prompt,aperte o C. --> Enter. <-- Opção de linguas!

<@> À seguir,aperte o 2. ( "Eliminar los ficheros infectados" )

<@> Aperte Enter --> O computador vai reiniciar,por duas vezes! --> Aguarde!

<@> Terminando,clique em uma área vazia do prompt! --> Aperte Enter.

<@> Abrir-se-à o Bloco de Notas,com o relatório: C:\FindyKill.txt <-- Rapport!

-------------------------

<!> Poste,na sua resposta: FindyKill.txt

Abraços!

Chicória · Novembro 25, 2008

Oi, DigRam!

Eu não tenho ponto de restauração do sistema, porque possuo instalado o windows server 2003.

Executei a vacina Antisality, apenas no Modo Normal, porque o meu computador não entra no Modo de Segurança.

Baixei o Findykill e executei-o, entretanto a máquina reiniciou apenas uma vez e não apareceu o prompt para eu clicar e obter o bloco de notas.

Abraços

DigRam · Novembro 26, 2008

Oi, DigRam!

Eu não tenho ponto de restauração do sistema, porque possuo instalado o windows server 2003.

Executei a vacina Antisality, apenas no Modo Normal, porque o meu computador não entra no Modo de Segurança.

Baixei o Findykill e executei-o, entretanto a máquina reiniciou apenas uma vez e não apareceu o prompt para eu clicar e obter o bloco de notas.

Abraços

-----------------------

Opa! Chicória

<!> Repita,mais uma vez,o scan com o FyndKill.

-----------------------

<!> Baixe e execute,na ordem,estes programas: Dr.WebCureit --> Kaspersky Virus Removal Tool

-----------------------

<@> Baixe: < >

< ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe >

<@> Salve-o no Desktop!

<@> Execute o arquivo: drweb-cureit.exe

<@> Clique em Iniciar e escolha a verificação express scan.

<@> Se for encontrado,algum ficheiro infectado,clique no botão yes,para acionar a cura.

<@> Quando o scan rápido terminar,clique em Opções --> Alterar Definições.

<@> Na aba Verificação,desmarque a Análise Heurística e confirme!

<@> De volta à janela principal,marque os drives que você deseja examinar.

<@> Selecione todos! Um ponto vermelho,vai indicar os drives selecionados.

<@> Clique na seta verde,para iniciar o exame.

<@> Caso haja uma solicitação,para curar/mover o arquivo,clique em Sim,para todos.

<@> Quando o exame terminar,observe se o ícone "objetos encontrados" < > está habilitado.

<@> Se estiver,clique nele!

<@> À seguir clique no ícone,logo abaixo,e selecione: Mover incuráveis

<@> Caso o programa não possa curá-los,ele irá move-los para a pasta Quarentena,no diretório DoctorWeb.

<@> Feito isto, vá no menu superior e clique na opção Ficheiros --> Guardar listas de arquivos.

<@> Salve a lista no desktop. ( DrWeb.csv ) <-- Relatório para postagem!

<@> Feche o programa!

<@> Reinicie o computador,para que o programa termine de deletar/mover,os arquivos que estavam sendo utilizados.

-------------------------

<@> BAIXE: < Kaspersky Virus Removal Tool >

-------------------------

<@> Faça o download da atualização mais recente! <-- Observe as datas!

<@> Salve-o em Arquivos de Programas!

<@> Reinicie o computador,se possível,em Modo de Segurança! <-- Importante!

<@> Execute a ferramenta com um duplo-clique,em seu executável.

<@> Abrir-se-á,a seguinte janela:

<@> Na opção: Manual Cure,marque todas as caixas e clique em Scan.

<@> Ps: Na ausência da opção,escolha: Automatic Scan

<@> Terminando,a verificação,copie e poste o relatório.

Ps: Confirme a solicitação de remoção,aos arquivos detectados!

<!> Poste: DrWeb.csv + Relatório do KVRT + FyndKill.txt.

Abraços!

Chicória · Novembro 29, 2008

Oi, DigRam!

Realizei todos os procedimentos.

Entretanto, fechei o Kasperksy, pensando que ele salvava o log automaticamente, logo perdi os dados da primeira varredura, que detectou bastante coisa. Então, efetuei outro scan que não identificou nada para que eu pudesse postar.

Efetuei o scan com o FyndKill, todavia o computador só reiniciou uma vez e não apareceu o prompt para que eu pudesse obter o log.

Executei a varredura com o Dr.WebCureit, cujo log segue abaixo.

Abraços

--------------------------------

<!> Vai aqui o link,ao relatório do Dr.WebCureit: < http://www.badongo.com/file/12281115 >

DigRam · Novembro 29, 2008

Bom Dia! Chicória

<!> Delete o antivírus: Dr.WebCureit

<!> Faça o download do mesmo...em uma versão atualizada!

<!> Execute,novamente,o Dr.WebCureit e poste o relatório.

--------------------------

<!> Siga,também,estas recomendações: < Win32/Sality >

Abraços!

Chicória · Novembro 29, 2008

Oi, DigRam!

Executei o procedimento solicitado.

O antivírus Dr.WebCureit nada detectou.

Quanto ao Win32/Sality segue o log abaixo.

Poderias sugerir-me algum antivírus, compatível com o Windows Server 2003, para eu instalar no meu computador?

Grata pela atenção.

Abraços

----------------------------

<!> Vai,aqui,o link ao relatório do Win32/Sality: < http://www.badongo.com/file/12293291 >

----------------------------

<!> Quanto ao antivírus,para o Windows Server 2003,tente este:

< Symantec AntiVirus for Microsoft ISA Server for Windows 2000 Server/2003 Server >

Abraços!

DigRam · Novembro 30, 2008

Bom Dia! Chicória

<!> Pelo visto,a infecção foi removida! ^_^

---------------------------

<@> Faça um scan online em: < Kaspersky >

<@> Utilize para isso,o navegador Internet Explorer.

<!> Acesse o site,e clique em: < >

<@> Na próxima página,clique em: I Accept

<@> Isto,para que se instale o controle ActiveX e,em seguida,atualize o banco de dados.

<@> Na próxima página,clique em: My Computer e faça o scan.

<@> Tenha paciência!

<@> Aguarde a atualização da base de dados,e também do exame,que é demorado.

<@> Terminando,salve e poste o relatório.

<@> Clique em Save Report As... para salvar o log.

<@> Salve o resultado como .txt,segundo a imagem abaixo:

<@> Poste,também,HijackThis atualizado.

Abraços!

Chicória · Novembro 30, 2008

Oi, DigRam!

Segue os logs solicitados.

Abraços

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:36:02, on 30/11/2008

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Arquivos de programas\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Arquivos de programas\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\hijack\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://shdoclc.dll/hardAdmin.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com.br/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn1\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn1\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Arquivos de programas\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Arquivos de programas\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Arquivos de programas\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Arquivos de programas\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Barra de Ferramentas do Yahoo! com bloqueador de pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Arquivos de programas\Yahoo!\Companion\Installs\cpn1\yt.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Arquivos de programas\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIÇO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIÇO DE REDE')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIÇO DE REDE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Startup: is-VN7V5.lnk = C:\Documents and Settings\Administrador.BRASIL-5B74E091\Desktop\Virus Removal Tool1\is-VN7V5\startup.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: E&xportar para o Microsoft Excel - res://C:\ARQUIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Pesquisar - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARQUIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Arquivos de programas\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1222816986937

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u1...ows-i586-jc.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Arquivos de programas\Java\jre6\bin\jqs.exe

--

End of file - 4981 bytes

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Sunday, November 30, 2008

Operating System: Microsoft Windows Server 2003, Enterprise Edition Service Pack 2 (build 3790)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Sunday, November 30, 2008 12:19:23

Records in database: 1428490

--------------------------------------------------------------------------------

Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes

Scan area - My Computer:

A:\

C:\

D:\

E:\

Scan statistics:

Files scanned: 38839

Threat name: 2

Infected objects: 6

Suspicious objects: 0

Duration of the scan: 02:20:18

File name / Threat name / Threats count

C:\Documents and Settings\Administrador.BRASIL-5B74E091\DoctorWeb\Quarantine\FindyKill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k 1

C:\Documents and Settings\Administrador.BRASIL-5B74E091\DoctorWeb\Quarantine\Kill.exe Infected: not-a-virus:RiskTool.Win32.PsKill.k 1

C:\Documents and Settings\Administrador.BRASIL-5B74E091\DoctorWeb\Quarantine\gbuaqt.pif Infected: Virus.Win32.Sality.aa 1

C:\Documents and Settings\Administrador.BRASIL-5B74E091\DoctorWeb\Quarantine\jkqie.exe Infected: Virus.Win32.Sality.aa 1

C:\Documents and Settings\Administrador.BRASIL-5B74E091\DoctorWeb\Quarantine\dnekw.exe Infected: Virus.Win32.Sality.aa 1

C:\Documents and Settings\Administrador.BRASIL-5B74E091\DoctorWeb\Quarantine\bqygsv.pif Infected: Virus.Win32.Sality.aa 1

The selected area was scanned.

DigRam · Dezembro 1, 2008

Boa Noite! Chicória

<!> Limpe a quarentena do Dr.WebCureit.

<!> Faça outro scan com o Malwarebytes,e poste o relatório.

---------------------

<!> Amiga,como está o computador,tudo Ok?

Abraços!

Chicória · Dezembro 2, 2008

Oi, DigRam!

O computador está bom! Parece mais leve...risos

Estive tentando instalar o antivírus, por meio daquele link fornecido por ti, mas não consegui. Quando clico no arquivo, aparece a seguinte mensagem:

The Symatec virus definition files are used to detect virus. Inteligent updater updates the virus definition file to the laste version automatically.

For programa options, type the name of this programa ende/?. Do you want to update your virus definition files?

Clico em sim, faz uma breve varredura e aparece a seguinte mensagem:

No updateable version of Norton antivírus was found. This version of the intelligent updater is designed for use with all Norton antivírus 32 bit products, as well as all Norton antivírus 16 bit products.

Eu não entendo muito do assunto, parece que ele está procurando o Norton (antivírus) que deveria estar instalado no computador para atualizar. Ocorre que o arquivo que baixei, por aquele link, não permite a instalação.

No mais, segui os procedimentos que foram solicitados e os logs estão abaixo.

Grata pela atenção.

Abraços

Malwarebytes' Anti-Malware 1.30

Versão do banco de dados: 1440

Windows 5.2.3790 Service Pack 2

1/12/2008 07:52:26

mbam-log-2008-12-01 (07-52-26).txt

Tipo de Verificação: Completa (C:\|D:\|)

Objetos verificados: 88482

Tempo decorrido: 14 minute(s), 16 second(s)

Processos da Memória infectados: 0

Módulos de Memória Infectados: 0

Chaves do Registro infectadas: 0

Valores do Registro infectados: 0

Ítens do Registro infectados: 1

Pastas infectadas: 0

Arquivos infectados: 30

Processos da Memória infectados:

(Nenhum ítem malicioso foi detectado)

Módulos de Memória Infectados:

(Nenhum ítem malicioso foi detectado)

Chaves do Registro infectadas:

(Nenhum ítem malicioso foi detectado)

Valores do Registro infectados:

(Nenhum ítem malicioso foi detectado)

Ítens do Registro infectados:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Pastas infectadas:

(Nenhum ítem malicioso foi detectado)

Arquivos infectados:

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0089955.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0090058.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0090081.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0090107.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091134.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091216.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091253.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091280.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091314.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091350.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091377.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091414.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091513.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091548.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091584.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091627.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091665.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091703.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0091741.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0094779.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0094817.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0094855.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0095036.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0095071.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0095109.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0096165.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0096207.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0096249.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{EF69B92A-A044-46FD-B5BE-EA4842FFD0AD}\RP376\A0096287.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

D:\Li\quicktime6\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:27:43, on 1/12/2008