Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

VIRUS RECYCLER NA PAMETOVCE

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Zpráva
Autor
Maaca
Návštěvník
Návštěvník
Příspěvky: 44
Registrován: 16 čer 2012 12:17
Bydliště: Břeclav
Kontaktovat uživatele:

VIRUS RECYCLER NA PAMETOVCE

#1 Příspěvek od Maaca »

Mám tradiční problém. Na pametovce a tim padem v pocitaci se mi usidlil virus recycler. z pametovky ho nejde smazat, i po zformatovani je tam skryta slozka recycler znovu. Je to nějak propojené s počítačem.

Našel jsem ho i v registru, ale odstranit nejde:
\HKEY_USERS\S-1-5-21-725345543-1993962763-2147133589-1004\Software\Microsoft\Windows\CurrentVersion\Run\Bwtstt
Removable: No

Log z HJT je zde:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 13:49:48, on 16.6.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Documents and Settings\All Users\Data aplikací\Anti-phishing Domain Advisor\visicom_antiphishing.exe
C:\Documents and Settings\Monika\MSOCache\patch\files\wifiap.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Sophos\Sophos Anti-Rootkit\sargui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Documents and Settings\Monika\Plocha\hijackthis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - (no file)
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.5.4.11.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: blekko search bar - {b57a9eb1-0e57-4850-a701-4d169538e6ed} - C:\Program Files\blekkotb_032\blekkotb_019X.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: blekko search bar - {b57a9eb1-0e57-4850-a701-4d169538e6ed} - C:\Program Files\blekkotb_032\blekkotb_019X.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\system32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Anti-phishing Domain Advisor] "C:\Documents and Settings\All Users\Data aplikací\Anti-phishing Domain Advisor\visicom_antiphishing.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AutorunRemover.exe] C:\Program Files\AutorunRemover\AutorunRemover.exe -Hide
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Program Files\ICQ7.6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.6 - {7644E42D-B096-457F-8B5B-901238FC81AE} - C:\Program Files\ICQ7.6\ICQ.exe
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.5.4.11.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 7216548875
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/200 ... ader55.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: 1267214146 (.1267214146) - Unknown owner - C:\Program Files\1267214146\Monika1267214146L.exe (file missing)
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe

--
End of file - 7441 bytes

Maaca
Návštěvník
Návštěvník
Příspěvky: 44
Registrován: 16 čer 2012 12:17
Bydliště: Břeclav
Kontaktovat uživatele:

Re: VIRUS RECYCLER NA PAMETOVCE

#2 Příspěvek od Maaca »

A ještě log z usbfixu:

############################## | UsbFix 7.059 | [Deletion]

User: Monika (Administrator) # MONIKA-PC [ ]
Updated 16/09/2011 by El Desaparecido
Started at 14:06:25 | 16/06/2012
Website: http://eldesaparecido.com
Submit your sample: http://eldesaparecido.com/support.php
Contact: contact@eldesaparecido.com

CPU: AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Home Edition (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Windows Firewall: Enabled
Antivirus: ESET NOD32 Antivirus 4.2 4.2 [(!) Disabled | Updated]
RAM -> 1023 Mb
C:\ (%systemdrive%) -> Fixed drive # 20 Gb (2 Mb free - 13%) [System] # NTFS
D:\ -> Fixed drive # 57 Gb (6 Mb free - 10%) [Data] # NTFS
E:\ -> CD-ROM
G:\ -> Removable drive # 480 Mb (480 Mb free - 100%) [CANON_DC] # FAT32

################## | Files # Infected Folders |

Deleted ! G:\autorun.inf.lnk
Deleted ! C:\Recycler\S-1-5-21-725345543-1993962763-2147133589-1004
Deleted ! D:\Recycler\S-1-5-21-725345543-1993962763-2147133589-1004
Deleted ! G:\Recycler\desktop.ini

(!) Temporary files deleted.


################## | Registry |

Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun
Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Adobe Reader Speed Launcher

################## | Mountpoints2 |


################## | Listing |

[16/08/2011 - 22:01:31 | D ] C:\ATI
[26/02/2010 - 21:53:34 | N | 0] C:\AUTOEXEC.BAT
[15/06/2012 - 22:50:21 | RASHD ] C:\autorun.inf
[26/02/2010 - 21:47:32 | N | 211] C:\Boot.bak
[18/01/2012 - 20:31:24 | N | 327] C:\boot.ini
[02/03/2006 - 14:00:00 | N | 4952] C:\Bootfont.bin
[18/01/2012 - 20:31:24 | D ] C:\cmdcons
[04/08/2004 - 00:00:04 | N | 261312] C:\cmldr
[26/02/2010 - 21:53:34 | N | 0] C:\CONFIG.SYS
[26/02/2010 - 21:58:01 | D ] C:\Documents and Settings
[08/05/2012 - 20:02:41 | D ] C:\Downloads
[26/02/2010 - 21:53:34 | N | 864] C:\hlnja6hw.sys
[26/02/2010 - 21:53:34 | N | 0] C:\IO.SYS
[07/06/2012 - 20:43:04 | D ] C:\KBCertifikat
[26/02/2010 - 21:53:34 | N | 0] C:\MSDOS.SYS
[02/03/2006 - 14:00:00 | N | 47564] C:\NTDETECT.COM
[26/02/2010 - 23:53:58 | N | 250576] C:\ntldr
[16/08/2011 - 23:27:20 | D ] C:\NV24123876.TMP
[16/08/2011 - 23:26:31 | D ] C:\NV24882388.TMP
[16/08/2011 - 23:27:21 | D ] C:\NV38923868.TMP
[16/06/2012 - 11:11:49 | ASH | 1610612736] C:\pagefile.sys
[16/06/2012 - 13:47:11 | D ] C:\Program Files
[16/06/2012 - 14:07:32 | SHD ] C:\RECYCLER
[15/06/2012 - 17:40:45 | SHD ] C:\System Volume Information
[25/12/2010 - 19:38:23 | D ] C:\totalcmd
[16/06/2012 - 14:07:32 | D ] C:\UsbFix
[16/06/2012 - 14:09:35 | A | 1379] C:\UsbFix.txt
[16/06/2012 - 13:01:06 | D ] C:\WINDOWS
[17/08/2011 - 00:07:03 | D ] D:\ac73ff1a9c3af932f74b556813
[06/12/2011 - 21:48:20 | D ] D:\auto
[15/06/2012 - 22:50:22 | RASHD ] D:\autorun.inf
[15/08/2011 - 17:07:48 | D ] D:\filmy
[06/01/2011 - 21:01:59 | D ] D:\hudba nase
[25/12/2010 - 19:59:40 | D ] D:\NHL2008
[16/06/2012 - 14:07:32 | SHD ] D:\RECYCLER
[26/04/2011 - 13:48:57 | D ] D:\South Park Season 8 DvDrip-McTav
[15/06/2012 - 17:40:46 | SHD ] D:\System Volume Information
[07/05/2011 - 17:14:48 | D ] D:\tablo-gbv-2011
[16/06/2012 - 12:49:36 | SHD ] G:\autorun.inf
[16/06/2012 - 13:25:54 | HD ] G:\RECYCLER

################## | Vaccin |

C:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
G:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)

################## | Upload |

Please send the file: C:\UsbFix_Upload_Me_MONIKA-PC.zip
http://eldesaparecido.com/support.php
Thank you for your contribution.

################## | E.O.F |

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: VIRUS RECYCLER NA PAMETOVCE

#3 Příspěvek od motji »

Zdravím,
po použití Usb fixu se stále vytváří?
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

Maaca
Návštěvník
Návštěvník
Příspěvky: 44
Registrován: 16 čer 2012 12:17
Bydliště: Břeclav
Kontaktovat uživatele:

Re: VIRUS RECYCLER NA PAMETOVCE

#4 Příspěvek od Maaca »

Ano, usbfix vyřeší virus na pametovce, ale jak ji vložím do PC, znovu se na ni nahraje. Musí to být někde ve windowsech schovane, ale ne a ne to najit a smazat.

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: VIRUS RECYCLER NA PAMETOVCE

#5 Příspěvek od motji »

Usbfix smaže virus i v pc, ale bude tam pravděpodobně ještě nějaký zdroj.

:arrow: Zapojte do pc všechny usb klíče, flashky...co používáte

:!: Zazálohujte si důležitá data, pro jistotu :)

:arrow: Stáhněte na plochu, ukončete všechna aktivní okna a spusťte ComboFix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-souhlaste s instalací konzole pro zotavení

- ComboFix je třeba spustit pod účtem s právy administrátora

- Před použitím vypněte všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary

- Po spuštění se zobrazí podmínky užití, potvrďte je stiskem tlačítka Ano

- Dále postupujte dle pokynů, během aplikování ComboFixu neklikejte do zobrazujícího se okna :!:

- Po dokončení skenování, trvajícího maximálně 10 minut, by měl program vytvořit log - C:\ComboFix.txt, zkopírujte celý jeho obsah sem
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

Maaca
Návštěvník
Návštěvník
Příspěvky: 44
Registrován: 16 čer 2012 12:17
Bydliště: Břeclav
Kontaktovat uživatele:

Re: VIRUS RECYCLER NA PAMETOVCE

#6 Příspěvek od Maaca »

ComboFix 12-07-08.01 - Monika 08.07.2012 16:56:53.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1023.557 [GMT 2:00]
Spuštěný z: c:\documents and settings\Monika\Plocha\ComboFix.exe
AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-06-08 do 2012-07-08 )))))))))))))))))))))))))))))))
.
.
2012-06-22 11:06 . 2012-06-22 11:06 -------- d-----w- c:\program files\Common Files\Windows Live
2012-06-22 11:06 . 2012-06-22 11:06 -------- d-----w- c:\windows\system32\winrm
2012-06-22 11:05 . 2012-06-22 11:06 -------- dc-h--w- c:\windows\$968930Uinstall_KB968930$
2012-06-22 11:05 . 2012-06-22 11:19 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Data aplikací\Adobe
2012-06-22 11:04 . 2012-06-22 11:04 -------- d-----w- c:\documents and settings\Monika\Data aplikací\Windows Desktop Search
2012-06-22 11:04 . 2012-06-22 11:12 -------- d-----w- c:\program files\Windows Desktop Search
2012-06-22 11:04 . 2012-06-22 11:04 -------- d-----w- c:\windows\system32\GroupPolicy
2012-06-17 07:57 . 2012-06-17 07:57 770384 ----a-w- c:\program files\Mozilla Firefox\msvcr100.dll
2012-06-17 07:57 . 2012-06-17 07:57 421200 ----a-w- c:\program files\Mozilla Firefox\msvcp100.dll
2012-06-16 12:40 . 2008-07-08 11:54 148496 ----a-w- c:\windows\system32\drivers\24392970.sys
2012-06-16 12:06 . 2012-06-16 13:19 -------- d-----w- C:\UsbFix
2012-06-16 10:58 . 2012-06-16 10:57 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-06-16 10:58 . 2012-06-16 10:57 476936 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-06-15 20:54 . 2012-06-15 20:54 -------- d-----w- c:\documents and settings\Monika\Local Settings\Data aplikací\GHISLER
2012-06-15 20:34 . 2012-06-15 20:34 -------- d-----w- c:\program files\Sophos
2012-06-15 20:23 . 2012-06-15 20:23 -------- d-----w- c:\documents and settings\Monika\Data aplikací\blekkotb_019
2012-06-15 15:44 . 2012-07-08 15:07 441798688 --sha-w- c:\windows\system32\drivers\fidbox.dat
2012-06-15 15:44 . 2008-07-08 11:54 148496 ----a-w- c:\windows\system32\drivers\87520850.sys
2012-06-15 15:44 . 2012-06-16 18:41 -------- d-----w- c:\program files\Virus Removal Tool
2012-06-15 15:44 . 2012-06-15 15:44 -------- d-----w- c:\documents and settings\All Users\Data aplikací\blekko toolbars
2012-06-15 15:44 . 2012-06-15 20:23 -------- d-----w- c:\documents and settings\Monika\Data aplikací\blekkotb_032
2012-06-15 15:44 . 2012-06-15 15:44 -------- d-----w- c:\program files\blekkotb_032
2012-06-15 15:44 . 2012-06-15 17:08 -------- d-----w- c:\documents and settings\Monika\Local Settings\Data aplikací\blekkotb_032
2012-06-15 15:44 . 2012-06-15 15:44 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Anti-phishing Domain Advisor
2012-06-13 14:21 . 2012-06-13 14:21 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Data aplikací\PCHealth
2012-06-13 13:59 . 2012-05-11 14:44 521728 -c----w- c:\windows\system32\dllcache\jsdbgui.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-25 13:10 . 2012-04-05 15:51 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-06-25 13:10 . 2011-05-14 12:37 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-16 13:19 . 2012-06-16 12:09 2004 ----a-w- C:\UsbFix_Upload_Me_MONIKA-PC.zip
2012-06-16 10:57 . 2010-05-12 16:26 472840 ----a-w- c:\windows\system32\deployJava1.dll
2012-06-04 15:35 . 2010-08-24 07:18 222448 ----a-w- c:\windows\system32\muweb.dll
2012-06-02 13:19 . 2010-02-26 20:36 15384 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2010-02-26 20:36 22552 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2010-02-26 19:50 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2010-02-26 19:50 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2010-02-26 19:50 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2010-02-26 20:36 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2010-02-26 20:36 18456 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2010-02-26 20:36 15384 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2010-02-26 19:50 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2010-02-26 19:50 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2006-03-02 12:00 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2010-02-26 19:50 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2010-02-26 19:50 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 13:19 . 2010-08-24 07:18 17648 ----a-w- c:\windows\system32\mucltui.dll.mui
2012-06-02 13:18 . 2010-08-24 07:18 275696 ----a-w- c:\windows\system32\mucltui.dll
2012-05-31 13:22 . 2006-03-02 12:00 602112 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:09 . 2006-03-02 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-15 13:55 . 2006-03-02 12:00 1863168 ----a-w- c:\windows\system32\win32k.sys
2012-05-11 14:44 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-05-11 14:44 . 2006-03-02 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
2012-05-05 03:14 . 2006-03-02 12:00 2194816 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-17 15:45 2071296 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2010-02-26 19:48 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-06-17 07:57 . 2011-03-22 18:50 85472 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2012-01-14 17:36 . 11CCA710674739E3DB8F7450A5B650B6 . 924632 . . [9.0.1] . . c:\windows\ERDNT\cache\firefox.exe
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\windows\system32\qttask.exe" [2010-02-26 98304]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-03-31 2145000]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"Anti-phishing Domain Advisor"="c:\documents and settings\All Users\Data aplikací\Anti-phishing Domain Advisor\visicom_antiphishing.exe" [2012-05-03 217256]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Hlavní panel ATI CATALYST.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Hlavní panel ATI CATALYST.lnk
backup=c:\windows\pss\Hlavní panel ATI CATALYST.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
2006-09-25 07:12 45056 ----a-w- c:\program files\ATI Technologies\ATI.ACE\CLI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2005-06-28 20:05 344064 -c--a-w- c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRaidService]
2004-06-11 03:15 83968 ----a-r- c:\windows\system32\nvraidservice.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-02-26 23:11 98304 ----a-w- c:\windows\system32\qttask.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\WINDOWS\\system32\\winver.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Winamp\\winamp.exe"=
"c:\\Program Files\\Sony Ericsson\\Update Engine\\Sony Ericsson Update Engine.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\ICQ7.6\\ICQ.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13309:TCP"= 13309:TCP:BitComet 13309 TCP
"13309:UDP"= 13309:UDP:BitComet 13309 UDP
"5985:TCP"= 5985:TCP:*:Disabled:Vzdálená správa systému Windows
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [31.3.2010 8:22 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [31.3.2010 8:23 95872]
R1 is-D72FGdrv;is-D72FGdrv;c:\windows\system32\drivers\24392970.sys [16.6.2012 14:40 148496]
R1 is-SGD7Ddrv;is-SGD7Ddrv;c:\windows\system32\drivers\87520850.sys [15.6.2012 17:44 148496]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [31.3.2010 8:23 810120]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [18.1.2012 18:49 366152]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [18.1.2012 18:49 22216]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S2 .1267214146;1267214146;c:\program files\1267214146\Monika1267214146L.exe --> c:\program files\1267214146\Monika1267214146L.exe [?]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [5.4.2012 17:51 250056]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [20.1.2011 19:18 13224]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\732.tmp --> c:\windows\system32\732.tmp [?]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [30.4.2012 9:55 113120]
.
Obsah adresáře 'Naplánované úlohy'
.
2012-07-08 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-05 13:10]
.
2012-07-08 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-725345543-1993962763-2147133589-1004.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]
.
2012-03-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-725345543-1993962763-2147133589-1004.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{7644E42D-B096-457F-8B5B-901238FC81AE} - c:\program files\ICQ7.6\ICQ.exe
TCP: DhcpNameServer = 10.0.0.138
FF - ProfilePath - c:\documents and settings\Monika\Data aplikací\Mozilla\Firefox\Profiles\8vlckoor.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.3.0&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.4.7&q=
pref('extensions.shownSelectionUI',true); pref('extensions.autoDisableScopes',0);
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKCU-Run-Y - (no file)
HKLM-RunOnce-<NO NAME> - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-08 17:06
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwEnumerateValueKey, ZwQueryDirectoryFile
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Bwtstt = c:\documents and settings\Monika\Data aplikac?\Bwtstt.exe
.
skenování skrytých souborů ...
.
.
c:\documents and settings\Monika\Data aplikací\Bwtstt.exe 207977 bytes executable
.
sken byl úspešně dokončen
skryté soubory: 1
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\732.tmp"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(236)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2012-07-08 17:10:22
ComboFix-quarantined-files.txt 2012-07-08 15:10
.
Před spuštěním: 1 637 294 080
Po spuštění: 1 633 329 152
.
- - End Of File - - ACEB115EEE21441D5FBEFEDC273FBF7F

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: VIRUS RECYCLER NA PAMETOVCE

#7 Příspěvek od motji »

Omlouvám se za zpoždění, ted jsme nějak nestíhala :oops:
Otestujte na www.virustotal.com
c:\documents and settings\Monika\Data aplikac?\Bwtstt.exe
(do spodního okénka nakopírujte cestu k souboru a dejte odeslat)
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

Maaca
Návštěvník
Návštěvník
Příspěvky: 44
Registrován: 16 čer 2012 12:17
Bydliště: Břeclav
Kontaktovat uživatele:

Re: VIRUS RECYCLER NA PAMETOVCE

#8 Příspěvek od Maaca »

Ta stránka pod odkazem mi nefunguje:( a cestu k tomu souboru stejne nedokazu najit, protoze ho tam nevidim...

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: VIRUS RECYCLER NA PAMETOVCE

#9 Příspěvek od motji »

Mě odkaz na virustotal funguje :?: . Pak dáte procházet a do spodního okénka nakopírujete celou cestu k souboru (kdyby Vám to nešlo, u slova aplikaci dejte místo otazníku í)
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

Maaca
Návštěvník
Návštěvník
Příspěvky: 44
Registrován: 16 čer 2012 12:17
Bydliště: Břeclav
Kontaktovat uživatele:

Re: VIRUS RECYCLER NA PAMETOVCE

#10 Příspěvek od Maaca »

V práci mi to funguje, doma na tom postiženém počítači mi tpo ukazuje prázdnou stránku s nápisem "welcome to nginx"

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: VIRUS RECYCLER NA PAMETOVCE

#11 Příspěvek od motji »

Předpokládám že ten soubor enznáte, já ho odprásknu, ju :)
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

Maaca
Návštěvník
Návštěvník
Příspěvky: 44
Registrován: 16 čer 2012 12:17
Bydliště: Břeclav
Kontaktovat uživatele:

Re: VIRUS RECYCLER NA PAMETOVCE

#12 Příspěvek od Maaca »

Jasně

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: VIRUS RECYCLER NA PAMETOVCE

#13 Příspěvek od motji »

:arrow: Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

File::
c:\documents and settings\Monika\Data aplikac?\Bwtstt.exe 
c:\windows\system32\732.tmp
c:\program files\1267214146\Monika1267214146L.exe

Driver::
MEMSWEEP2
1267214146


-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:

Obrázek


-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

Maaca
Návštěvník
Návštěvník
Příspěvky: 44
Registrován: 16 čer 2012 12:17
Bydliště: Břeclav
Kontaktovat uživatele:

Re: VIRUS RECYCLER NA PAMETOVCE

#14 Příspěvek od Maaca »

ComboFix 12-07-08.01 - Monika 25.07.2012 8:04.3.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1023.557 [GMT 2:00]
Spuštěný z: c:\documents and settings\Monika\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Monika\Plocha\CFScript.txt
AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Vytvořen nový Bod Obnovení
.
FILE ::
"c:\program files\1267214146\Monika1267214146L.exe"
"c:\windows\system32\732.tmp"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MEMSWEEP2
-------\Service_MEMSWEEP2
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-06-25 do 2012-07-25 )))))))))))))))))))))))))))))))
.
.
2012-07-17 07:36 . 2012-07-18 12:48 -------- d-----w- c:\program files\Red Alert 2 Yuri's Revenge
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-07-12 15:10 . 2012-04-05 15:51 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-12 15:10 . 2011-05-14 12:37 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-16 13:19 . 2012-06-16 12:09 2004 ----a-w- C:\UsbFix_Upload_Me_MONIKA-PC.zip
2012-06-16 10:57 . 2012-06-16 10:58 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-06-16 10:57 . 2012-06-16 10:58 476936 ----a-w- c:\windows\system32\npdeployJava1.dll
2012-06-16 10:57 . 2010-05-12 16:26 472840 ----a-w- c:\windows\system32\deployJava1.dll
2012-06-13 13:55 . 2006-03-02 12:00 1866112 ----a-w- c:\windows\system32\win32k.sys
2012-06-05 15:49 . 2008-04-14 03:21 1372672 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2006-03-02 12:00 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 15:35 . 2010-08-24 07:18 222448 ----a-w- c:\windows\system32\muweb.dll
2012-06-04 04:32 . 2006-03-02 12:00 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2010-02-26 20:36 15384 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2010-02-26 20:36 22552 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2010-02-26 19:50 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2010-02-26 19:50 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2010-02-26 19:50 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2010-02-26 20:36 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2010-02-26 20:36 18456 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2010-02-26 20:36 15384 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2010-02-26 19:50 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2010-02-26 19:50 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2006-03-02 12:00 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2010-02-26 19:50 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2010-02-26 19:50 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 13:19 . 2010-08-24 07:18 17648 ----a-w- c:\windows\system32\mucltui.dll.mui
2012-06-02 13:18 . 2010-08-24 07:18 275696 ----a-w- c:\windows\system32\mucltui.dll
2012-05-31 13:22 . 2006-03-02 12:00 602112 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:09 . 2006-03-02 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-11 14:44 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-05-11 14:44 . 2006-03-02 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
2012-05-05 03:14 . 2006-03-02 12:00 2194816 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2004-08-17 15:45 2071296 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2010-02-26 19:48 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-07-18 06:50 . 2011-03-22 18:50 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2012-01-14 17:36 . 11CCA710674739E3DB8F7450A5B650B6 . 924632 . . [9.0.1] . . c:\windows\ERDNT\cache\firefox.exe
.
((((((((((((((((((((((((((((( SnapShot@2012-07-08_15.06.53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-07-25 06:16 . 2012-07-25 06:16 16384 c:\windows\Temp\Perflib_Perfdata_28c.dat
+ 2012-07-12 15:10 . 2012-07-12 15:10 686280 c:\windows\system32\Macromed\Flash\FlashUtil32_11_3_300_265_Plugin.exe
+ 2012-07-12 14:11 . 2012-07-12 14:11 686280 c:\windows\system32\Macromed\Flash\FlashUtil32_11_3_300_265_ActiveX.exe
+ 2012-07-12 14:11 . 2012-07-12 14:11 465096 c:\windows\system32\Macromed\Flash\FlashUtil32_11_3_300_265_ActiveX.dll
+ 2012-04-05 15:51 . 2012-07-12 15:10 250056 c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
- 2012-04-05 15:51 . 2012-06-25 13:10 250056 c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
+ 2010-02-26 20:38 . 2012-07-11 14:42 210488 c:\windows\system32\FNTCACHE.DAT
- 2010-02-26 20:38 . 2012-06-14 19:10 210488 c:\windows\system32\FNTCACHE.DAT
+ 2009-06-25 08:27 . 2012-06-04 04:32 152576 c:\windows\system32\dllcache\schannel.dll
- 2010-02-26 19:50 . 2010-11-09 14:52 536576 c:\windows\system32\dllcache\msado15.dll
+ 2010-02-26 19:50 . 2012-05-28 18:16 536576 c:\windows\system32\dllcache\msado15.dll
+ 2012-07-16 09:13 . 2012-07-16 09:13 371272 c:\windows\Installer\{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}\SkypeIcon.exe
- 2011-06-17 12:43 . 2011-06-17 12:43 371272 c:\windows\Installer\{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}\SkypeIcon.exe
+ 2006-03-02 12:00 . 2012-06-08 14:25 8466944 c:\windows\system32\shell32.dll
+ 2012-07-12 15:10 . 2012-07-12 15:10 9465032 c:\windows\system32\Macromed\Flash\NPSWF32_11_3_300_265.dll
+ 2009-08-14 15:15 . 2012-06-13 13:55 1866112 c:\windows\system32\dllcache\win32k.sys
+ 2008-06-17 19:02 . 2012-06-08 14:25 8466944 c:\windows\system32\dllcache\shell32.dll
+ 2008-04-14 03:21 . 2012-06-05 15:49 1372672 c:\windows\system32\dllcache\msxml6.dll
- 2008-04-14 03:21 . 2009-07-31 09:05 1372672 c:\windows\system32\dllcache\msxml6.dll
- 2010-02-26 20:44 . 2010-06-14 07:43 1172480 c:\windows\system32\dllcache\msxml3.dll
+ 2010-02-26 20:44 . 2012-06-05 15:49 1172480 c:\windows\system32\dllcache\msxml3.dll
+ 2010-02-26 22:32 . 2012-07-11 14:38 57442464 c:\windows\system32\MRT.exe
+ 2012-06-15 15:44 . 2012-07-25 06:15 492591136 c:\windows\system32\drivers\fidbox.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\windows\system32\qttask.exe" [2010-02-26 98304]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-03-31 2145000]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"Anti-phishing Domain Advisor"="c:\documents and settings\All Users\Data aplikací\Anti-phishing Domain Advisor\visicom_antiphishing.exe" [2012-05-03 217256]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Hlavní panel ATI CATALYST.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Hlavní panel ATI CATALYST.lnk
backup=c:\windows\pss\Hlavní panel ATI CATALYST.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
2006-09-25 07:12 45056 ----a-w- c:\program files\ATI Technologies\ATI.ACE\CLI.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2005-06-28 20:05 344064 -c--a-w- c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRaidService]
2004-06-11 03:15 83968 ----a-r- c:\windows\system32\nvraidservice.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-02-26 23:11 98304 ----a-w- c:\windows\system32\qttask.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\WINDOWS\\system32\\winver.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Winamp\\winamp.exe"=
"c:\\Program Files\\Sony Ericsson\\Update Engine\\Sony Ericsson Update Engine.exe"=
"c:\\Program Files\\ICQ7.6\\ICQ.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Red Alert 2 Yuri's Revenge\\gamemd.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13309:TCP"= 13309:TCP:BitComet 13309 TCP
"13309:UDP"= 13309:UDP:BitComet 13309 UDP
"5985:TCP"= 5985:TCP:*:Disabled:Vzdálená správa systému Windows
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [31.3.2010 8:22 114984]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [31.3.2010 8:23 95872]
R1 is-D72FGdrv;is-D72FGdrv;c:\windows\system32\drivers\24392970.sys [16.6.2012 14:40 148496]
R1 is-SGD7Ddrv;is-SGD7Ddrv;c:\windows\system32\drivers\87520850.sys [15.6.2012 17:44 148496]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [31.3.2010 8:23 810120]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [18.1.2012 18:49 366152]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [18.1.2012 18:49 22216]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S2 .1267214146;1267214146;c:\program files\1267214146\Monika1267214146L.exe --> c:\program files\1267214146\Monika1267214146L.exe [?]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [5.4.2012 17:51 250056]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [20.1.2011 19:18 13224]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [30.4.2012 9:55 113120]
.
Obsah adresáře 'Naplánované úlohy'
.
2012-07-22 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-05 15:10]
.
2012-07-25 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-725345543-1993962763-2147133589-1004.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]
.
2012-03-12 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-725345543-1993962763-2147133589-1004.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-11-05 10:33]
.
.
------- Doplňkový sken -------
.
uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe" //mailurl:mailto:reklama@europrinty.eu
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Stáhnout odkaz s použitím BitCometu - c:\program files\BitComet\BitComet.exe/AddLink.htm
IE: Stáhnout všechny odkazy s použitím BitCometu - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: {{7644E42D-B096-457F-8B5B-901238FC81AE} - c:\program files\ICQ7.6\ICQ.exe
TCP: DhcpNameServer = 10.0.0.138
FF - ProfilePath - c:\documents and settings\Monika\Data aplikací\Mozilla\Firefox\Profiles\8vlckoor.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.3.0&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.4.7&q=
pref('extensions.shownSelectionUI',true); pref('extensions.autoDisableScopes',0);
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKCU-Run-Y - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-25 08:17
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwEnumerateValueKey, ZwQueryDirectoryFile
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Bwtstt = c:\documents and settings\Monika\Data aplikac?\Bwtstt.exe
.
skenování skrytých souborů ...
.
.
c:\documents and settings\Monika\Data aplikací\Bwtstt.exe 207977 bytes executable
.
sken byl úspešně dokončen
skryté soubory: 1
.
**************************************************************************
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bwtstt"="c:\\Documents and Settings\\Monika\\Data aplikací\\Bwtstt.exe"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(692)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3812)
c:\documents and settings\All Users\Data aplikací\Anti-phishing Domain Advisor\visicom_antiphishing.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\SOUNDMAN.EXE
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Celkový čas: 2012-07-25 08:23:38 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-07-25 06:23
ComboFix2.txt 2012-07-08 15:10
.
Před spuštěním: 362 831 872
Po spuštění: 301 051 904
.
- - End Of File - - 174D9538DE8486CDB5833F3A86FCA979

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: VIRUS RECYCLER NA PAMETOVCE

#15 Příspěvek od motji »

tak ještě jeden skriptík, potvůrce se nechce z vašeho pc :)

:arrow: Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

Collect::
c:\\Documents and Settings\\Monika\\Data aplikací\\Bwtstt.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bwtstt"=-

Driver::
.1267214146


-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:

Obrázek


-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

Zamčeno