Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Defiler

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Zpráva
Autor
qwsaq
Návštěvník
Návštěvník
Příspěvky: 35
Registrován: 30 kvě 2010 06:59

Defiler

#1 Příspěvek od qwsaq »

Dobrý den,
mám tu PC které se chová podivně, nejdříve popíšu problémy:

Před nějakým měsícem začal zlobit WinMediaPlayer a to tak, že přestal přehrávat např ČT4 Sport ze stránek české televize. Všechna nastavení v pořádku, kodeky v pořádku..
Tohle jsme obešli a už se tím nezabývali
Antivir byl v té době ESET NOID32, nehlásil nic.

Po čase přestaly fungovat aktualizace antiviru. A mimo to Mozila po prvním spuštění po zapnutí PC nenačetla domovskou stránku s nějakou chybou, už nevím přesně 40x... a nedostupností proxy. Přitom Proxy není nikde v nastavení použit (v mozille, IE, ve vlastnosstech TCP/IP síťovky). Po restartu mozily nebo po startu IE internet normálně fungoval (a funguje).
Nicméně ty aktualizace ESETU nefungovaly s hláškou, že server není dostupný...a přes nápovědu to furt ukazovalo na to, že je nějak špatně nastaveno připojení přes proxy (což opakuji není/nebylo a internet jinak fungoval/funguje)

Eset jsme odinstalovali a nainstalovali AVG Free. Ten samý problém s aktualizacemi (Aktualizace selhala - server zamítl přístup).

Myslel jsem, že je někde v registrech či jinde nastavené proxy, ale teď koukám že systém je pořád nějak nabořen virem, který AVG indentifikuje jako "Defiler".

Co je problém:
Nejde spustit a provést kontrolu DrWeb CureIt!-em, ani v nouzovém režimu.
MalwareBytes Antimalware šlo stáhnout, nainstalovat ale po spuštění asi po 5 vteřinách se shodí, vypne.
RSIT taktéž -nicméně ten při spadnutí vyhodí hlášku o problému a zda to chceme odeslat Microsoftu - A POKUD ji nezavřu/nepotvrdím ale odsunu stranou, tak RSIT můžu spustit a výsledek protokolu LOG dávám do dalšího příspěvku...

qwsaq
Návštěvník
Návštěvník
Příspěvky: 35
Registrován: 30 kvě 2010 06:59

Re: Defiler

#2 Příspěvek od qwsaq »

Logfile of random's system information tool 1.08 (written by random/random)
Run by Administrator at 2010-09-17 17:25:01
Systém Microsoft Windows XP Professional Service Pack 3
System drive C: has 38 GB (38%) free of 100 GB
Total RAM: 1022 MB (37% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:25:10, on 17.9.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\AVG\AVG9\avgchsvx.exe
C:\Program Files\AVG\AVG9\avgrsx.exe
C:\Program Files\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe
C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\Program Files\lg_fwupdate\fwupdate.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\PROGRA~1\AVG\AVG9\avgtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\AVG\AVG9\avgwdsvc.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared files\RichVideo.exe
C:\Program Files\AVG\AVG9\avgnsx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.com
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\Plocha\RSIT.exe
C:\WINDOWS\system32\dwwin.exe
C:\Program Files\trend micro\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5"
O4 - HKLM\..\Run: [CLMLServer] "C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [RemoteControl8] "C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe"
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe"
O4 - HKLM\..\Run: [UpdatePPShortCut] "C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerProducer" UpdateWithCreateOnce "Software\CyberLink\PowerProducer\5.0"
O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Administrator\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Administrator\Nabídka Start\Programy\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1258810982015
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - avgrsstx.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe

--
End of file - 8463 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1078081533-1482476501-1644491937-500Core.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1078081533-1482476501-1644491937-500UA.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
Adobe PDF Link Helper - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll [2010-06-19 75200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}]
AVG Safe Search - C:\Program Files\AVG\AVG9\avgssie.dll [2010-09-07 1619296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2009-01-26 1879896]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72853161-30C5-4D22-B7F9-0BBC1D38A37E}]
Groove GFS Browser Helper - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe [2006-05-25 155648]
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe [2006-05-25 126976]
"GrooveMonitor"=C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [2006-10-27 31016]
"UpdateLBPShortCut"=C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe [2009-05-19 222504]
"CLMLServer"=C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe [2009-06-03 103720]
"UpdateP2GoShortCut"=C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [2009-05-19 222504]
"RemoteControl8"=C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe [2009-04-16 91432]
"PDVD8LanguageShortcut"=C:\Program Files\CyberLink\PowerDVD8\Language\Language.exe [2009-04-16 50472]
"UpdatePPShortCut"=C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe [2009-05-19 222504]
"LGODDFU"=C:\Program Files\lg_fwupdate\fwupdate.exe [2010-03-21 557056]
"UpdatePSTShortCut"=C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe [2009-09-29 210216]
"Adobe Reader Speed Launcher"=C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [2010-06-20 35760]
"Adobe ARM"=C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2010-06-09 976832]
"AVG9_TRAY"=C:\PROGRA~1\AVG\AVG9\avgtray.exe [2010-09-07 2065760]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe [2009-03-05 2260480]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-14 1695232]
"LightScribe Control Panel"=C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe [2009-08-20 2363392]
"Google Update"=C:\Documents and Settings\Administrator\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe [2010-05-30 136176]
"Skype"=C:\Program Files\Skype\\Phone\Skype.exe [2010-05-13 26192168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter]
C:\WINDOWS\system32\avgrsstx.dll [2010-09-07 12536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINDOWS\system32\igfxsrvc.dll [2006-05-25 348160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 2210608]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=1

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\ICQ6.5\ICQ.exe"="C:\Program Files\ICQ6.5\ICQ.exe:*:Enabled:ICQ6"
"C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"="C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\Program Files\Microsoft Office\Office12\GROOVE.EXE"="C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE"="C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe"="C:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe:*:Enabled:CyberLink PowerDVD 8.0"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent"
"C:\Program Files\Skype\Plugin Manager\skypePM.exe"="C:\Program Files\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Program Files\AVG\AVG9\avgupd.exe"="C:\Program Files\AVG\AVG9\avgupd.exe:*:Enabled:avgupd.exe"
"C:\Program Files\AVG\AVG9\avgnsx.exe"="C:\Program Files\AVG\AVG9\avgnsx.exe:*:Enabled:avgnsx.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe"="C:\Program Files\CyberLink\PowerDVD8\PowerDVD8.exe:*:Enabled:CyberLink PowerDVD 8.0"

======List of files/folders created in the last 1 months======

2010-09-17 17:25:02 ----D---- C:\Program Files\trend micro
2010-09-17 17:25:01 ----D---- C:\rsit
2010-09-17 16:49:41 ----A---- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2010-09-17 16:49:39 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-09-17 16:49:39 ----A---- C:\WINDOWS\system32\drivers\mbam.sys
2010-09-17 16:23:09 ----AD---- C:\WINDOWS\VDLL.DLL
2010-09-17 16:23:09 ----AD---- C:\WINDOWS\system32\runouce.exe
2010-09-17 16:23:09 ----AD---- C:\WINDOWS\RUNDL132.EXE
2010-09-17 16:23:09 ----AD---- C:\WINDOWS\logo_1.exe
2010-09-17 16:21:40 ----A---- C:\WINDOWS\system32\msvcr80.dll
2010-09-17 16:21:39 ----A---- C:\WINDOWS\system32\msvcp80.dll
2010-09-17 16:21:38 ----A---- C:\WINDOWS\system32\eEmpty.exe
2010-09-17 16:21:35 ----A---- C:\WINDOWS\system32\TASKMGR.COM
2010-09-17 16:21:35 ----A---- C:\WINDOWS\system32\T.COM
2010-09-17 16:21:35 ----A---- C:\WINDOWS\REGEDIT.COM
2010-09-17 16:21:35 ----A---- C:\WINDOWS\R.COM
2010-09-17 16:21:33 ----D---- C:\Program Files\Common Files\MicroWorld
2010-09-17 16:21:30 ----D---- C:\Documents and Settings\All Users\Data aplikací\MicroWorld
2010-09-17 16:10:43 ----HD---- C:\WINDOWS\system32\GroupPolicy
2010-09-17 15:38:17 ----A---- C:\WINDOWS\ntbtlog.txt
2010-09-07 18:01:30 ----A---- C:\WINDOWS\system32\avgrsstx.dll
2010-09-07 18:01:29 ----A---- C:\WINDOWS\system32\drivers\avgtdix.sys
2010-09-07 18:01:21 ----A---- C:\WINDOWS\system32\drivers\avgldx86.sys
2010-09-07 18:01:20 ----A---- C:\WINDOWS\system32\drivers\avgmfx86.sys
2010-09-07 18:01:12 ----D---- C:\WINDOWS\system32\drivers\Avg
2010-09-07 18:00:58 ----D---- C:\Program Files\AVG
2010-09-07 18:00:57 ----D---- C:\Documents and Settings\All Users\Data aplikací\avg9

======List of files/folders modified in the last 1 months======

2010-09-17 17:25:02 ----RD---- C:\Program Files
2010-09-17 17:19:57 ----A---- C:\WINDOWS\wincmd.ini
2010-09-17 17:09:28 ----A---- C:\WINDOWS\lgfwup.ini
2010-09-17 17:09:25 ----D---- C:\Program Files\lg_fwupdate
2010-09-17 17:09:23 ----D---- C:\WINDOWS\Temp
2010-09-17 17:05:27 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-09-17 17:05:17 ----D---- C:\Documents and Settings\Administrator\Data aplikací\Skype
2010-09-17 16:49:41 ----D---- C:\WINDOWS\system32\drivers
2010-09-17 16:33:53 ----D---- C:\WINDOWS
2010-09-17 16:23:09 ----D---- C:\WINDOWS\system32
2010-09-17 16:21:33 ----D---- C:\Program Files\Common Files
2010-09-17 16:19:57 ----D---- C:\WINDOWS\Prefetch
2010-09-17 16:17:45 ----D---- C:\WINDOWS\system32\CatRoot2
2010-09-17 15:47:15 ----D---- C:\Program Files\Mozilla Firefox
2010-09-17 15:27:04 ----D---- C:\Documents and Settings\Administrator\Data aplikací\AIMP
2010-09-14 00:11:54 ----D---- C:\Documents and Settings\Administrator\Data aplikací\vlc
2010-09-07 18:00:51 ----SHD---- C:\WINDOWS\Installer
2010-09-07 18:00:51 ----D---- C:\Config.Msi
2010-09-07 18:00:49 ----D---- C:\WINDOWS\WinSxS
2010-09-07 18:00:49 ----D---- C:\Program Files\Common Files\Microsoft Shared

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 PxHelp20;PxHelp20; C:\WINDOWS\System32\Drivers\PxHelp20.sys [2008-11-20 43872]
R1 AvgLdx86;AVG Free AVI Loader Driver x86; C:\WINDOWS\System32\Drivers\avgldx86.sys [2010-09-07 216400]
R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86; C:\WINDOWS\System32\Drivers\avgmfx86.sys [2010-09-07 29584]
R1 AvgTdiX;AVG Free Network Redirector; C:\WINDOWS\System32\Drivers\avgtdix.sys [2010-09-07 243024]
R1 intelppm;Řadič procesoru Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40192]
R3 aeaudio;aeaudio; C:\WINDOWS\system32\drivers\aeaudio.sys [2002-04-01 4816]
R3 E1000;Intel(R) PRO/1000 Adapter Driver; C:\WINDOWS\system32\DRIVERS\e1000325.sys [2003-07-11 121856]
R3 ialm;ialm; C:\WINDOWS\system32\DRIVERS\ialmnt5.sys [2006-05-25 807804]
R3 MBAMSwissArmy;MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys []
R3 smwdm;smwdm; C:\WINDOWS\system32\drivers\smwdm.sys [2003-02-28 545024]
R3 usbuhci;Ovladač Microsoft univerzálního hostitelského řadiče USB od společnosti Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
S0 sptd;sptd; C:\WINDOWS\System32\Drivers\sptd.sys []
S1 easdrv;easdrv; C:\WINDOWS\system32\DRIVERS\easdrv.sys []
S1 epfwtdir;epfwtdir; C:\WINDOWS\system32\DRIVERS\epfwtdir.sys []
S2 eamon;EAMON; C:\WINDOWS\system32\DRIVERS\eamon.sys []
S3 QV2KUX;Casio Digital Camera; C:\WINDOWS\system32\DRIVERS\qv2kux.sys [2001-08-17 3328]
S3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 avg9wd;AVG Free WatchDog; C:\Program Files\AVG\AVG9\avgwdsvc.exe [2010-09-07 308136]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2009-08-20 73728]
R2 RichVideo;Cyberlink RichVideo Service(CRVS); C:\Program Files\CyberLink\Shared files\RichVideo.exe [2009-04-15 271760]
S3 gusvc;Google Updater Service; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-11-20 136120]
S3 IDriverT;InstallDriver Table Manager; C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-04 69632]
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service; C:\Program Files\Microsoft Office\Office12\GrooveAuditService.exe [2006-10-27 65824]
S3 odserv;Microsoft Office Diagnostics Service; C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE [2006-10-26 441136]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2006-10-26 145184]
S3 WMPNetworkSvc;Služba Windows Media Player Network Sharing; C:\Program Files\Windows Media Player\WMPNetwk.exe [2007-01-05 913920]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]

-----------------EOF-----------------

qwsaq
Návštěvník
Návštěvník
Příspěvky: 35
Registrován: 30 kvě 2010 06:59

Re: Defiler

#3 Příspěvek od qwsaq »

Tady ještě přikládám výsledek testu AVG...

Test "Naplánovaný test" byl dokončen.
Infekce;"48";"24";"24"
Informace;"2"
Složky vybrané k testování:;"Test celého počítače"
Test zahájen:;"15. září 2010, 23:50:43"
Test dokončen:;"16. září 2010, 0:08:00 (17 minut(a) 17 sekund(a))"
Celkem otestováno objektů:;"168453"
Uživatel:;"SYSTEM"

Infekce
Soubor;"Infekce";"Výsledek"
C:\WINDOWS\system32\wscntfy.exe (3036);"Nalezen virus Defiler";""
C:\WINDOWS\system32\winlogon.exe (692);"Nalezen virus Defiler";""
C:\Program Files\CyberLink\Shared files\RichVideo.exe (1404);"Nalezen virus Defiler";""
C:\WINDOWS\system32\services.exe (744);"Nalezen virus Defiler";""
C:\Program Files\Common Files\LightScribe\LSSrvc.exe (1868);"Nalezen virus Defiler";""
C:\WINDOWS\system32\lsass.exe (756);"Nalezen virus Defiler";""
C:\Program Files\AVG\AVG9\avgwdsvc.exe (1288);"Nalezen virus Defiler";""
C:\WINDOWS\system32\svchost.exe (948);"Nalezen virus Defiler";""
C:\Program Files\Skype\Phone\Skype.exe (884);"Nalezen virus Defiler";""
C:\WINDOWS\System32\svchost.exe (1120);"Nalezen virus Defiler";""
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe (652);"Nalezen virus Defiler";""
C:\WINDOWS\system32\spoolsv.exe (1748);"Nalezen virus Defiler";""
C:\Program Files\Messenger\msmsgs.exe (664);"Nalezen virus Defiler";""
C:\WINDOWS\Explorer.EXE (200);"Nalezen virus Defiler";""
C:\WINDOWS\system32\ctfmon.exe (636);"Nalezen virus Defiler";""
C:\WINDOWS\system32\igfxtray.exe (292);"Nalezen virus Defiler";""
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (604);"Nalezen virus Defiler";""
C:\WINDOWS\system32\hkcmd.exe (332);"Nalezen virus Defiler";""
C:\PROGRA~1\AVG\AVG9\avgtray.exe (568);"Nalezen virus Defiler";""
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe (348);"Nalezen virus Defiler";""
C:\Program Files\lg_fwupdate\fwupdate.exe (488);"Nalezen virus Defiler";""
C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (396);"Nalezen virus Defiler";""
C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe (420);"Nalezen virus Defiler";""
C:\Program Files\AVG\AVG9\avgnsx.exe (1792);"Nalezen virus Defiler";""
C:\Program Files\lg_fwupdate\fwupdate.exe (488):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe (396):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\PROGRA~1\AVG\AVG9\avgtray.exe (568):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe (348):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (604):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\WINDOWS\system32\hkcmd.exe (332):\memory_10020000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\WINDOWS\system32\ctfmon.exe (636):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\WINDOWS\system32\igfxtray.exe (292):\memory_10020000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\Program Files\Messenger\msmsgs.exe (664):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\WINDOWS\Explorer.EXE (200):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe (652):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\WINDOWS\system32\spoolsv.exe (1748):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\Program Files\Skype\Phone\Skype.exe (884):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\WINDOWS\System32\svchost.exe (1120):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\Program Files\AVG\AVG9\avgwdsvc.exe (1288):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\WINDOWS\system32\svchost.exe (948):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\Program Files\Common Files\LightScribe\LSSrvc.exe (1868):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\WINDOWS\system32\lsass.exe (756):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\Program Files\CyberLink\Shared files\RichVideo.exe (1404):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\WINDOWS\system32\services.exe (744):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\Program Files\AVG\AVG9\avgnsx.exe (1792):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe (420):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\WINDOWS\system32\wscntfy.exe (3036):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."
C:\WINDOWS\system32\winlogon.exe (692):\memory_10000000;"Nalezen virus Defiler";"Objekt je nedostupný."

Informace
Soubor;"Informace";"Výsledek"
C:\Documents and Settings\Administrator\Plocha\windows media player 12 cz\Windows.Media.Player.12.v.2.CZ..exe:\ENERGY.exe;"Soubor má poškozený digitální podpis, který vydal(a): Microsoft Corporation.";""
C:\Documents and Settings\Administrator\Plocha\windows media player 12 cz\Windows.Media.Player.12.v.2.CZ..exe;"Soubor má poškozený digitální podpis, který vydal(a): Microsoft Corporation.";""

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Defiler

#4 Příspěvek od motji »

Dobrý večer :)

:arrow: Běžte do nouzového režimu s prací v síti ( po restartu mačkejte F8)

:arrow: Stahněte Rkill z jednoho z odkazů, pokud by ho vir blokoval, zkuste stahnout jiný

Rkill EXE:
http://download.bleepingcomputer.com/grinler/rkill.exe

Rkill COM:
http://download.bleepingcomputer.com/grinler/rkill.com

Rkill SCR:
http://download.bleepingcomputer.com/grinler/rkill.scr

Rkill PIF:
http://download.bleepingcomputer.com/grinler/rkill.pif

-spusťte ho a nechejte pracovat. Sám se ukončí.

- :!: Ted nerestartujte počítač! :!:


:arrow: Combofix stahněte takto:
- pravým myšítkem klikněte na odkaz combofixu --uložit jako.. ,a teď ho přejmenujte na Potvora.com a uložte.


:arrow: Stáhněte na plochu, ukončete všechna aktivní okna a spusťte ComboFix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-souhlaste s instalací konzole pro zotavení

- ComboFix je třeba spustit pod účtem s právy administrátora

- Před použitím vypněte všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary

- Po spuštění se zobrazí podmínky užití, potvrďte je stiskem tlačítka Ano

- Dále postupujte dle pokynů, během aplikování ComboFixu neklikejte do zobrazujícího se okna :!:

- Po dokončení skenování, trvajícího maximálně 10 minut, by měl program vytvořit log - C:\ComboFix.txt, zkopírujte celý jeho obsah sem
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

qwsaq
Návštěvník
Návštěvník
Příspěvky: 35
Registrován: 30 kvě 2010 06:59

Re: Defiler

#5 Příspěvek od qwsaq »

A vida, zase vy, zdravím zvlášť :)

Bohužel PC je u kamaráda, takže to bude na dýl... zajedu tam zítra, splním rozkazy (snad ty věci půjdou spustit) a dám vědět. Zatím díky a hezký večer!

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Defiler

#6 Příspěvek od motji »

Zkuste. Bohužel zítra se tu moc vyskytovat nebudu, ani večer. Když tak mi napište, kdy jindy přes týden budete u kamaráda, ať to můžeme dát dohromady :)
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

qwsaq
Návštěvník
Návštěvník
Příspěvky: 35
Registrován: 30 kvě 2010 06:59

Re: Defiler

#7 Příspěvek od qwsaq »

Tak jsem tu...
Kamarádovi ten počítač jinak funguje normálně (internet), nic instalovat nebude, takže se snad nic neděje a takhle korespondenčně ob den to třeba taky nějak pořešíme... jdu vyzkoušet ten váš postup, výsledky hodím do dalšího příspěvku...

qwsaq
Návštěvník
Návštěvník
Příspěvky: 35
Registrován: 30 kvě 2010 06:59

Re: Defiler

#8 Příspěvek od qwsaq »

rkill se stáhl z prvního odkazu, spustil a takřka ihned vyhodil hlášku:
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Administrator on 18.09.2010 at 16:27:39.


Services Stopped:


Processes terminated by Rkill or while it was running:


C:\Documents and Settings\Administrator\Plocha\rkill.exe


Rkill completed on 18.09.2010 at 16:27:45.






Načež se objevila hláška windows že systém je spuštěn v diagnostickém režimu..., pro pokračování stiskněte ano, pro obnovení systému Ne.

Teď jdu zkusit kombofix...

qwsaq
Návštěvník
Návštěvník
Příspěvky: 35
Registrován: 30 kvě 2010 06:59

Re: Defiler

#9 Příspěvek od qwsaq »

ComboFix 10-09-17.04 - Administrator 18.09.2010 16:48:59.1.2 - x86 NETWORK
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1022.821 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\Potvora.com
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\regedit.com
c:\windows\system32\taskmgr.com

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-08-18 do 2010-09-18 )))))))))))))))))))))))))))))))
.

2010-09-17 15:25 . 2010-09-17 15:25 -------- d-----w- c:\program files\trend micro
2010-09-17 15:25 . 2010-09-17 15:25 -------- d-----w- C:\rsit
2010-09-17 14:49 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-09-17 14:49 . 2010-09-17 14:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-17 14:49 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-09-17 14:23 . 2010-09-17 14:23 -------- d---a-w- c:\windows\VDLL.DLL
2010-09-17 14:23 . 2010-09-17 14:23 -------- d---a-w- c:\windows\system32\runouce.exe
2010-09-17 14:23 . 2010-09-17 14:23 -------- d---a-w- c:\windows\RUNDL132.EXE
2010-09-17 14:23 . 2010-09-17 14:23 -------- d---a-w- c:\windows\logo_1.exe
2010-09-17 14:21 . 2010-09-17 14:21 632064 ----a-w- c:\windows\system32\msvcr80.dll
2010-09-17 14:21 . 2010-09-17 14:21 554240 ----a-w- c:\windows\system32\msvcp80.dll
2010-09-17 14:21 . 2010-09-17 14:21 34048 ----a-w- c:\windows\system32\eEmpty.exe
2010-09-17 14:21 . 2008-04-14 12:00 147968 ----a-w- c:\windows\R.COM
2010-09-17 14:21 . 2008-04-14 12:00 137216 ----a-w- c:\windows\system32\T.COM
2010-09-17 14:21 . 2010-09-17 14:21 -------- d-----w- c:\program files\Common Files\MicroWorld
2010-09-17 14:10 . 2010-09-17 14:10 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-09-17 13:57 . 2010-09-17 13:57 -------- d-----w- c:\documents and settings\Administrator\DoctorWeb
2010-09-07 16:01 . 2010-09-07 16:01 12536 ----a-w- c:\windows\system32\avgrsstx.dll
2010-09-07 16:01 . 2010-09-07 16:01 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2010-09-07 16:01 . 2010-09-07 16:01 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2010-09-07 16:01 . 2010-09-07 16:01 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2010-09-07 16:01 . 2010-09-14 09:07 -------- d-----w- c:\windows\system32\drivers\Avg
2010-09-07 16:00 . 2010-09-07 16:00 -------- d-----w- c:\program files\AVG

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:01 . 2010-03-21 14:32 -------- d-----w- c:\program files\lg_fwupdate
2010-08-04 19:00 . 2010-08-04 18:59 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-08-04 18:24 . 2010-05-29 16:40 -------- d-----w- c:\program files\Windows Media Connect 2
2010-07-18 13:28 . 2010-07-18 13:28 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-07-14 08:00 . 2010-08-04 18:59 108032 ----a-w- c:\windows\system32\ff_vfw.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2009-08-20 2363392]
"Google Update"="c:\documents and settings\Administrator\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" [2010-05-30 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-05-25 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-05-25 126976]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"CLMLServer"="c:\program files\CyberLink\Power2Go\CLMLSvc.exe" [2009-06-03 103720]
"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"RemoteControl8"="c:\program files\CyberLink\PowerDVD8\PDVD8Serv.exe" [2009-04-15 91432]
"PDVD8LanguageShortcut"="c:\program files\CyberLink\PowerDVD8\Language\Language.exe" [2009-04-15 50472]
"UpdatePPShortCut"="c:\program files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" [2009-05-19 222504]
"LGODDFU"="c:\program files\lg_fwupdate\fwupdate.exe" [2010-03-21 557056]
"UpdatePSTShortCut"="c:\program files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" [2009-09-29 210216]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2010-09-07 2065760]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2010-09-07 16:01 12536 ----a-w- c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG9\\avgnsx.exe"=

R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [7.9.2010 18:01 243024]
S0 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [7.9.2010 18:01 216400]
S1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys --> c:\windows\system32\DRIVERS\epfwtdir.sys [?]
S2 avg9wd;AVG Free WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [7.9.2010 18:00 308136]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [17.9.2010 16:49 38224]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-08-20 12:24 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - c:\documents and settings\Administrator\Nabídka Start\Programy\IMVU\Run IMVU.lnk
FF - ProfilePath - c:\documents and settings\Administrator\Data aplikací\Mozilla\Firefox\Profiles\7p87rc1t.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\AVG\AVG9\Firefox\components\avgssff.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-18 16:55
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1078081533-1482476501-1644491937-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,1b,e4,25,9f,c2,01,0b,40,86,8e,32,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,1b,e4,25,9f,c2,01,0b,40,86,8e,32,\

[HKEY_USERS\S-1-5-21-1078081533-1482476501-1644491937-500\Software\SecuROM\License information*]
"datasecu"=hex:c3,16,97,a2,c6,d6,e6,25,ca,f1,00,23,87,11,66,0b,aa,98,5e,db,6a,
25,38,8d,9b,4d,e9,90,0f,45,19,4c,ba,ff,0f,c1,10,d1,ce,3a,e3,c1,51,36,2c,3c,\
"rkeysecu"=hex:fc,fd,46,79,ea,ea,a0,4b,16,c5,35,5c,af,d1,cc,aa
.
Celkový čas: 2010-09-18 16:57:38
ComboFix-quarantined-files.txt 2010-09-18 14:57

Před spuštěním: Volných bajtů: 43 153 727 488
Po spuštění: Volných bajtů: 43 346 898 944

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 9C66919F24D7CA96285002CE47E415B5

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Defiler

#10 Příspěvek od motji »

:arrow: Stahněte z mého podpisu AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

qwsaq
Návštěvník
Návštěvník
Příspěvky: 35
Registrován: 30 kvě 2010 06:59

Re: Defiler

#11 Příspěvek od qwsaq »

Hrome, tak rychlou reakci jsem nečekal a nevšiml jsem si, že jste online :o

Já už pak jen restartoval a nechal běžet to 14 dní staré AVG na komplet test. A odjel. Kamarád mi pak už jen volal, že AVG našlo 50 Defilerů, 25 jich vyléčilo, 25 ne. Tak je nechal smazat. A PC běží furt stejně (internet jde, jen ty aktualizace furt ne).

Tak zase zítra. Díky moc, hezký večer...

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Defiler

#12 Příspěvek od motji »

Udělejte ten Avptool. :)
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

qwsaq
Návštěvník
Návštěvník
Příspěvky: 35
Registrován: 30 kvě 2010 06:59

Re: Defiler

#13 Příspěvek od qwsaq »

Docela legrační věc :)

Přijedu tam, krok číslo jedna - stáhnout AVPTool
Kliknu na odkaz, stánka nenalezena, odkaz nefunguje. Ručně ze stránek http://support.kaspersky.com/viruses také nejde odkaz na stažení a navíc je stránka podivně zobrazena bez obrázků. Stejně tak v Nouzovém režimu.
Jinak všechny ostatní stránky na internetu fungují normálně...
Dogooglil jsem se k nějaké starší verzi z 30.30.2010 a nainstaloval ji. Ta ale po 45 minutách hledání nenašla vůbec nic. Ve výsledcích jsou jen údaje o tom, že začal, skončil a nic mezi tím...

Přijedu domů a tady odkaz normálně funguje!!! Noteboook jsem sebou neměl, ani Slax na cd nebo tak....

Takže pokračování příště.... Vezmu to sebou na cd. Ale myslím, že jednodužší a spolehlivější bude přeinstalovat XPčka :)

Hezký večer!
(teď už tam asi nepojedu...kamarád někam jel)

Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Defiler

#14 Příspěvek od motji »

:o něco to tam blokuje.
Stahněte si i gmer a mbam na flešku

:arrow: Stahněte MBAM z mého podpisu
-Nainstalujte,dejte úplný sken

NIC NEMAZAT :!:
-MBAM má občas falešné detekce,proto budeme mazat až po kontrole logu.
-Log zkopírujte sem.



:arrow: Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.

qwsaq
Návštěvník
Návštěvník
Příspěvky: 35
Registrován: 30 kvě 2010 06:59

Re: Defiler

#15 Příspěvek od qwsaq »

ono asi fakt bude snažší to přeinstalovat...

Mbam jsem zkoušel už před tím, jak jsem psal, nainstalovat šel, po spuštění po 5 vteřinách spadl (ještě než se vůbec dal start jakéhokoliv testu)

Ten gmer ještě zkusit můžu, i tento AVPTool .... v nouzovém nebo normálním režimu? AVG zapnuto, vypnuto nebo odinstalovat? Nástroj pro obnovení systému jsem, jak bylo uvedeno, vypnul.

Jo ještě jedna věc, nouzový režim jsem spusil až na potřetí, dvakrát se sekly win při spouštění a logu windows.

Naštěstí v PC skoro nic nemá, resp. se spouští/restartuje docela rychle..

Mimochodem, vaši trpělivost bych chtěl mít :lol:

Odpovědět