Neočekávaný restart během CF

[Rudy]

MBR je OK a CF smazal ten rootkit. Zbytek logu vypadá čistý.

[Unesto]

Ok, ale kýžená změna nenastala...
Při dalším spuštění CF hlásí, že byl nalezen Rootkit.ZeroAccess, 60s restart také zůstal, pevFind Syntax Error také, MBAM se neaktualizuje... atd...

+ Start systému je rychlejší...

[Rudy]

Tak ještě jednou ComboFix. Otevřte poznámkový blok a zkopírujte do něj:

Collect::
c:\docume~1\MiK!\LOCALS~1\Temp\esihdrv.sys

Driver::
esihdrv

Uložte na plochu jako CFScript.txt. pak jej myší přetáhněte nad ikonu ComboFix a pusťte. CF se spustí a vykoná příkazy ze skriptu.

[Unesto]

Žádná změna mimo zrychlení startu systému... (CF trval asi 10x déle než jindy...)

ComboFix 11-07-25.02 - MiK! 25.07.2011 20:25:15.12.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.2046.1471 [GMT 2:00]
Spuštěný z: c:\documents and settings\MiK!\Plocha\www.exe
Použité ovládací přepínače :: c:\documents and settings\MiK!\Plocha\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\win\regedit.com
c:\win\system32\taskmgr.com
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_ESIHDRV
-------\Service_esihdrv
-------\Service_sptd
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-06-25 do 2011-07-25 )))))))))))))))))))))))))))))))
.
.
2011-07-24 20:29 . 2011-07-24 20:29 -------- d-----w- c:\program files\LSoft Technologies
2011-07-24 12:56 . 2011-07-14 06:05 134104 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-07-24 12:52 . 2011-07-24 14:35 -------- d-----w- c:\program files\FileHippo.com
2011-07-23 22:35 . 2011-07-23 22:46 -------- d-----w- c:\program files\Soluto
2011-07-23 21:52 . 2011-07-23 21:53 -------- d-----w- c:\documents and settings\Administrator
2011-07-23 19:00 . 2011-07-23 19:00 -------- d-----w- c:\program files\trend micro
2011-07-20 11:54 . 2011-07-20 11:54 -------- d-----w- c:\program files\Encore
2011-07-19 15:29 . 2011-07-20 10:54 -------- d-----w- c:\program files\JoWooD
2011-07-18 07:04 . 2011-07-23 16:31 -------- d-----w- c:\documents and settings\Marka.MIK-8DCD0E24655
2011-07-17 15:47 . 2011-07-17 15:47 -------- d-----w- c:\program files\CCleaner
2011-07-16 09:05 . 2011-07-16 09:05 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-07-16 08:19 . 2011-07-16 08:19 -------- d-----w- c:\program files\Western Digital Corporation
2011-07-14 17:55 . 2011-07-16 10:18 -------- d-----w- c:\program files\PeaZip
2011-07-12 18:53 . 2011-07-12 18:55 -------- d-----w- c:\program files\Inkscape
2011-07-08 22:27 . 2011-07-08 22:27 -------- d-----w- c:\program files\PhotoScape
2011-07-08 14:29 . 2011-07-25 18:20 -------- d-----w- c:\documents and settings\MiK!
2011-07-05 15:16 . 2011-07-05 15:16 -------- d-----w- c:\program files\Common Files\Protexis
2011-07-05 10:35 . 2011-07-05 10:35 -------- d-----w- c:\program files\Nitro PDF
2011-07-05 10:35 . 2011-07-05 10:35 -------- d-----w- c:\program files\Common Files\Nitro PDF
2011-07-02 16:07 . 2002-12-02 13:22 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\DotNetInstaller.exe
2011-07-02 15:36 . 2011-07-02 16:12 -------- d-----w- c:\program files\Eidos
2011-07-02 13:11 . 2011-07-16 07:56 -------- d-----w- c:\program files\Windows Desktop Search
2011-07-01 19:51 . 2011-07-01 19:52 -------- d-----w- C:\fc749650d191fb66ceac3d5a31
2011-06-30 18:26 . 2011-06-30 18:26 -------- d---a-w- C:\MiK
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-06 11:35 . 2006-03-02 12:00 1858944 ----a-w- c:\win\system32\win32k.sys
2011-04-29 17:25 . 2006-03-02 12:00 151552 ----a-w- c:\win\system32\schannel.dll
2011-04-29 16:19 . 2006-03-02 12:00 456320 ----a-w- c:\win\system32\drivers\mrxsmb.sys
2011-07-14 06:05 . 2011-07-24 12:56 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-07-25_14.54.56 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-07-29 06:05 . 2008-07-29 06:05 62976 c:\win\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90rus.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 46080 c:\win\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90kor.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 46592 c:\win\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90jpn.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 64512 c:\win\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90ita.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 39936 c:\win\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90cht.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 38912 c:\win\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90chs.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 66048 c:\win\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90fra.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 65024 c:\win\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esp.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 65024 c:\win\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esn.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 56832 c:\win\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90enu.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 66560 c:\win\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90deu.dll
+ 2008-07-29 04:07 . 2008-07-29 04:07 59904 c:\win\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90u.dll
+ 2008-07-29 04:07 . 2008-07-29 04:07 59904 c:\win\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfcm90.dll
+ 2011-07-25 18:39 . 2011-07-25 18:39 16384 c:\win\temp\Perflib_Perfdata_514.dat
+ 2011-07-25 18:19 . 2011-07-25 18:19 16384 c:\win\temp\Perflib_Perfdata_504.dat
+ 2006-03-02 12:00 . 2011-07-25 16:09 79016 c:\win\system32\perfc009.dat
- 2006-03-02 12:00 . 2011-07-23 22:20 79016 c:\win\system32\perfc009.dat
- 2006-03-02 12:00 . 2011-07-23 22:20 91696 c:\win\system32\perfc005.dat
+ 2006-03-02 12:00 . 2011-07-25 16:09 91696 c:\win\system32\perfc005.dat
+ 2011-07-25 15:33 . 2011-07-25 15:33 21064 c:\win\system32\drivers\hitmanpro35.sys
+ 2008-07-29 06:05 . 2008-07-29 06:05 655872 c:\win\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcr90.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 572928 c:\win\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcp90.dll
+ 2008-07-29 01:54 . 2008-07-29 01:54 225280 c:\win\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\msvcm90.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 161784 c:\win\WinSxS\x86_Microsoft.VC90.ATL_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_d01483b2\atl90.dll
+ 2011-07-25 16:39 . 2008-04-14 06:52 137216 c:\win\system32\T.COM
+ 2006-03-02 12:00 . 2011-07-25 16:09 480560 c:\win\system32\perfh009.dat
- 2006-03-02 12:00 . 2011-07-23 22:20 480560 c:\win\system32\perfh009.dat
+ 2006-03-02 12:00 . 2011-07-25 16:09 476652 c:\win\system32\perfh005.dat
- 2006-03-02 12:00 . 2011-07-23 22:20 476652 c:\win\system32\perfh005.dat
+ 2011-07-25 16:39 . 2011-07-25 16:39 632064 c:\win\system32\msvcr80.dll
+ 2011-07-25 16:39 . 2011-07-25 16:39 554240 c:\win\system32\msvcp80.dll
+ 2011-07-25 16:39 . 2008-04-14 06:52 147968 c:\win\R.COM
+ 2011-07-25 16:59 . 2010-09-07 13:39 150392 c:\win\junction.exe
+ 2011-07-25 17:03 . 2011-07-25 17:03 228352 c:\win\Installer\1bd302.msi
+ 2008-07-29 06:05 . 2008-07-29 06:05 3783672 c:\win\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90u.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 3768312 c:\win\WinSxS\x86_Microsoft.VC90.MFC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_405b0943\mfc90.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AshSnap"="c:\program files\Ashampoo\Ashampoo Snap 4\ashsnap.exe" [2011-04-01 1528176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\win\system32\NvCpl.dll" [2011-05-25 13895272]
"NvMediaCenter"="c:\win\system32\NvMcTray.dll" [2011-05-25 111208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\win\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PSI_SVC_2"=2 (0x2)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"RTHDCPL"=RTHDCPL.EXE
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Documents and Settings\\MiK!\\Dokumenty\\Stažené soubory\\solutoinstaller.exe"=
"c:\\Program Files\\LSoft Technologies\\Active Boot Disk\\ActiveUpdate.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [9.6.2011 12:19 136360]
R2 NitroReaderDriverReadSpool2;NitroPDFReaderDriverCreatorReadSpool2;c:\program files\Nitro PDF\Reader\NitroPDFReaderDriverService2.exe [21.6.2011 18:57 196912]
S4 sptd;sptd;c:\win\system32\Drivers\sptd.sys --> c:\win\system32\Drivers\sptd.sys [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.mystart.com/?pr=vmn&id=pandasecuritytb&v=2_0
mSearch Bar = hxxp://www.google.com/ie
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 10.0.0.138
FF - ProfilePath - c:\documents and settings\MiK!\Data aplikací\Mozilla\Firefox\Profiles\5dvtbp2k.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-25 20:39
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
.
c:\win\$NtUninstallKB31792$:SummaryInformation 0 bytes hidden from API
.
sken byl úspešně dokončen
skryté soubory: 1
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Active Setup\Installed Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
@="Aktualizace verze aplikace Internet Explorer"
"ComponentID"="IEUDINIT"
"DontAsk"=dword:00000002
"IsInstalled"=dword:00000001
"Locale"="*"
"StubPath"="c:\\WIN\\system32\\ieudinit.exe"
"Version"="8,0,6001,0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
@="Browser Customizations"
"ComponentiD"="BRANDING.CAB"
"IsInstalled"=dword:00000001
"Locale"="*"
"LocalizedName"="@c:\\WIN\\system32\\iedkcs32.dll.mui,-3052"
"StubPath"="\"c:\\WIN\\system32\\rundll32.exe\" \"c:\\WIN\\system32\\iedkcs32.dll\",BrandIEActiveSetup SIGNUP"
"Version"="8,0,6001,18702"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Active Setup\Installed Components\Microsoft Base Smart Card Crypto Provider Package]
"IsInstalled"=dword:00000001
"Version"="1,0,0,0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Active Setup\Installed Components\{5056b317-8d4c-43ee-8543-b9d1e234b8f4}]
@="Aktualizace zabezpečení systému Windows XP (KB923789)"
"IsInstalled"=dword:00000001
"Version"="6,0,88,0"
"ComponentID"="KB923789"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Active Setup\Installed Components\{EF289A85-8E57-408d-BE47-73B55609861A}]
@="RootsUpdate"
"IsInstalled"=dword:00000001
"Version"="28,0,2195,0"
"Locale"="*"
"ComponentID"="Windows Roots Update"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(3296)
c:\win\system32\msi.dll
c:\win\system32\webcheck.dll
c:\win\system32\WPDShServiceObj.dll
c:\program files\WinSCP\DragExt.dll
c:\win\system32\PortableDeviceTypes.dll
c:\win\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\win\system32\RUNDLL32.EXE
c:\win\system32\wscntfy.exe
c:\program files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Celkový čas: 2011-07-25 20:41:41 - počítač byl restartován

.
Před spuštěním: Volných bajtů: 165 330 501 632
Po spuštění: Volných bajtů: 166 048 956 416
.
- - End Of File - - 5547130B6E788758BAEAECADF32415B0

[Rudy]

Log po smazání vypadá čistý. Žádný rootkit, ani jiný šmejd tam nevidím.

[Unesto]

Problémy však přetrvávají dál... i tak děkuji za dosavadní pomoc...
Navíc nevím, jestli to s tím souvisí, ale mám pocit, že mi někdo z disku ukrojil 18 GB (ukazuje se celková kapacita menší o 18 GB), je to obvyklé?

[Rudy]

Ještě zkuste použít IceSwsord: http://www.viry.cz/forum/viewtopic.php?f=29&t=11394 .

[Unesto]

Hmm, můžu požádat o detailnější návod? Protože nevím, z čeho ten log chcete...

[Rudy]

Log z Process a KernelModule.

[Unesto]

Process:

System Idle Process
System
C:\WIN\system32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WIN\system32\smss.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WIN\system32\csrss.exe
C:\WIN\system32\winlogon.exe
C:\WIN\system32\services.exe
C:\WIN\system32\lsass.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WIN\system32\svchost.exe
C:\WIN\system32\svchost.exe
C:\WIN\system32\svchost.exe
C:\WIN\system32\svchost.exe
C:\WIN\system32\svchost.exe
C:\WIN\system32\svchost.exe
C:\WIN\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WIN\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nitro PDF\Reader\NitroPDFReaderDriverService2.exe
C:\WIN\system32\svchost.exe
C:\WIN\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\Documents and Settings\MiK!\Plocha\IceSword122en\IceSword.exe
C:\WIN\system32\alg.exe
C:\WIN\system32\ctfmon.exe
C:\WIN\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WIN\explorer.exe
C:\WIN\system32\wscntfy.exe
C:\Documents and Settings\MiK!\Plocha\IceSword122en\IceSword.exe
***

Kernel Module:

ACPI.sys
Combo-Fix.sys
KSecDD.sys
MountMgr.sys
Mup.sys
NDIS.sys
Ntfs.sys
PartMgr.sys
VolSnap.sys
WudfPf.sys
\??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
\??\C:\WIN\system32\Drivers\PROCEXP113.SYS
\SystemRoot\System32\ATMFD.DLL
\SystemRoot\System32\DRIVERS\RDPCDD.sys
\SystemRoot\System32\Drivers\Beep.SYS
\SystemRoot\System32\Drivers\Cdfs.SYS
\SystemRoot\System32\Drivers\Fips.SYS
\SystemRoot\System32\Drivers\Fs_Rec.SYS
\SystemRoot\System32\Drivers\HTTP.sys
\SystemRoot\System32\Drivers\IsDrv122.sys
\SystemRoot\System32\Drivers\Msfs.SYS
\SystemRoot\System32\Drivers\NDProxy.SYS
\SystemRoot\System32\Drivers\Npfs.SYS
\SystemRoot\System32\Drivers\Null.SYS
\SystemRoot\System32\Drivers\ParVdm.SYS
\SystemRoot\System32\Drivers\dump_WMILIB.SYS
\SystemRoot\System32\Drivers\dump_atapi.sys
\SystemRoot\System32\Drivers\mnmdd.SYS
\SystemRoot\System32\Drivers\smqsbna.sys
\SystemRoot\System32\drivers\Dxapi.sys
\SystemRoot\System32\drivers\afd.sys
\SystemRoot\System32\drivers\dxg.sys
\SystemRoot\System32\drivers\dxgthk.sys
\SystemRoot\System32\drivers\vga.sys
\SystemRoot\System32\nv4_disp.dll
\SystemRoot\System32\watchdog.sys
\SystemRoot\System32\win32k.sys
\SystemRoot\system32\DRIVERS\AmdPPM.sys
\SystemRoot\system32\DRIVERS\HDAudBus.sys
\SystemRoot\system32\DRIVERS\HIDCLASS.SYS
\SystemRoot\system32\DRIVERS\HIDPARSE.SYS
\SystemRoot\system32\DRIVERS\NVENETFD.sys
\SystemRoot\system32\DRIVERS\NVNRM.SYS
\SystemRoot\system32\DRIVERS\TDI.SYS
\SystemRoot\system32\DRIVERS\USBD.SYS
\SystemRoot\system32\DRIVERS\USBPORT.SYS
\SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
\SystemRoot\system32\DRIVERS\arp1394.sys
\SystemRoot\system32\DRIVERS\audstub.sys
\SystemRoot\system32\DRIVERS\avgntflt.sys
\SystemRoot\system32\DRIVERS\cdrom.sys
\SystemRoot\system32\DRIVERS\hidusb.sys
\SystemRoot\system32\DRIVERS\imapi.sys
\SystemRoot\system32\DRIVERS\ipnat.sys
\SystemRoot\system32\DRIVERS\ipsec.sys
\SystemRoot\system32\DRIVERS\kbdclass.sys
\SystemRoot\system32\DRIVERS\kbdhid.sys
\SystemRoot\system32\DRIVERS\ks.sys
\SystemRoot\system32\DRIVERS\mouclass.sys
\SystemRoot\system32\DRIVERS\mouhid.sys
\SystemRoot\system32\DRIVERS\mrxdav.sys
\SystemRoot\system32\DRIVERS\mrxsmb.sys
\SystemRoot\system32\DRIVERS\msgpc.sys
\SystemRoot\system32\DRIVERS\mssmbios.sys
\SystemRoot\system32\DRIVERS\ndistapi.sys
\SystemRoot\system32\DRIVERS\ndiswan.sys
\SystemRoot\system32\DRIVERS\netbios.sys
\SystemRoot\system32\DRIVERS\netbt.sys
\SystemRoot\system32\DRIVERS\nic1394.sys
\SystemRoot\system32\DRIVERS\nv4_mini.sys
\SystemRoot\system32\DRIVERS\nvnetbus.sys
\SystemRoot\system32\DRIVERS\parport.sys
\SystemRoot\system32\DRIVERS\psched.sys
\SystemRoot\system32\DRIVERS\ptilink.sys
\SystemRoot\system32\DRIVERS\rasacd.sys
\SystemRoot\system32\DRIVERS\rasl2tp.sys
\SystemRoot\system32\DRIVERS\raspppoe.sys
\SystemRoot\system32\DRIVERS\raspptp.sys
\SystemRoot\system32\DRIVERS\raspti.sys
\SystemRoot\system32\DRIVERS\rdbss.sys
\SystemRoot\system32\DRIVERS\redbook.sys
\SystemRoot\system32\DRIVERS\serenum.sys
\SystemRoot\system32\DRIVERS\serial.sys
\SystemRoot\system32\DRIVERS\srv.sys
\SystemRoot\system32\DRIVERS\swenum.sys
\SystemRoot\system32\DRIVERS\tcpip.sys
\SystemRoot\system32\DRIVERS\termdd.sys
\SystemRoot\system32\DRIVERS\update.sys
\SystemRoot\system32\DRIVERS\usbccgp.sys
\SystemRoot\system32\DRIVERS\usbehci.sys
\SystemRoot\system32\DRIVERS\usbhub.sys
\SystemRoot\system32\DRIVERS\usbohci.sys
\SystemRoot\system32\DRIVERS\wanarp.sys
\SystemRoot\system32\drivers\RtkHDAud.sys
\SystemRoot\system32\drivers\drmk.sys
\SystemRoot\system32\drivers\kmixer.sys
\SystemRoot\system32\drivers\portcls.sys
\SystemRoot\system32\drivers\sysaudio.sys
\SystemRoot\system32\drivers\wdmaud.sys
\WIN\system32\BOOTVID.dll
\WIN\system32\DRIVERS\1394BUS.SYS
\WIN\system32\DRIVERS\CLASSPNP.SYS
\WIN\system32\DRIVERS\PCIIDEX.SYS
\WIN\system32\DRIVERS\WMILIB.SYS
\WIN\system32\KDCOM.DLL
\WIN\system32\hal.dll
\WIN\system32\ntdll.dll
\WIN\system32\ntkrnlpa.exe
atapi.sys
disk.sys
fltmgr.sys
ftdisk.sys
isapnp.sys
ohci1394.sys
pci.sys
pciide.sys
sr.sys

[Rudy]

Vraťte se k CF a spusťte jej tímto skriptem:

Collect::
C:\windows\system32\Drivers\smqsbna.sys

Driver::
smqsbna

[Unesto]

ComboFix 11-07-25.02 - MiK! 25.07.2011 22:32:40.13.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.2046.1445 [GMT 2:00]
Spuštěný z: c:\documents and settings\MiK!\Plocha\www.exe
Použité ovládací přepínače :: c:\documents and settings\MiK!\Plocha\CFScript.txt
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_SMQSBNA
-------\Legacy_cmdGuard
-------\Legacy_cmdHlp
-------\Legacy_Inspect
-------\Service_cmdGuard
-------\Service_cmdHlp
-------\Service_Inspect
-------\Service_sptd
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-06-25 do 2011-07-25 )))))))))))))))))))))))))))))))
.
.
2011-07-25 19:28 . 2011-07-25 19:42 -------- d-----w- c:\program files\COMODO
2011-07-25 18:54 . 2011-07-25 18:54 -------- d-----w- c:\program files\Hitman Pro 3.5
2011-07-25 18:24 . 2011-07-25 18:41 -------- d-----w- C:\www
2011-07-24 20:29 . 2011-07-24 20:29 -------- d-----w- c:\program files\LSoft Technologies
2011-07-24 12:56 . 2011-07-14 06:05 134104 ----a-w- c:\program files\Mozilla Firefox\components\browsercomps.dll
2011-07-24 12:52 . 2011-07-24 14:35 -------- d-----w- c:\program files\FileHippo.com
2011-07-23 21:52 . 2011-07-23 21:53 -------- d-----w- c:\documents and settings\Administrator
2011-07-23 19:00 . 2011-07-25 18:46 -------- d-----w- c:\program files\trend micro
2011-07-20 11:54 . 2011-07-20 11:54 -------- d-----w- c:\program files\Encore
2011-07-19 15:29 . 2011-07-20 10:54 -------- d-----w- c:\program files\JoWooD
2011-07-18 20:40 . 2011-07-20 10:42 -------- d-----w- c:\program files\Arovax AntiSpyware
2011-07-18 07:04 . 2011-07-23 16:31 -------- d-----w- c:\documents and settings\Marka.MIK-8DCD0E24655
2011-07-17 15:47 . 2011-07-17 15:47 -------- d-----w- c:\program files\CCleaner
2011-07-16 09:05 . 2011-07-25 18:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-07-16 08:19 . 2011-07-16 08:19 -------- d-----w- c:\program files\Western Digital Corporation
2011-07-14 17:55 . 2011-07-16 10:18 -------- d-----w- c:\program files\PeaZip
2011-07-12 18:53 . 2011-07-12 18:55 -------- d-----w- c:\program files\Inkscape
2011-07-08 22:27 . 2011-07-08 22:27 -------- d-----w- c:\program files\PhotoScape
2011-07-08 14:29 . 2011-07-25 18:49 -------- d-----w- c:\documents and settings\MiK!
2011-07-05 15:16 . 2011-07-05 15:16 -------- d-----w- c:\program files\Common Files\Protexis
2011-07-05 10:35 . 2011-07-05 10:35 -------- d-----w- c:\program files\Nitro PDF
2011-07-05 10:35 . 2011-07-05 10:35 -------- d-----w- c:\program files\Common Files\Nitro PDF
2011-07-02 16:07 . 2002-12-02 13:22 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\0701\Intel32\DotNetInstaller.exe
2011-07-02 15:36 . 2011-07-02 16:12 -------- d-----w- c:\program files\Eidos
2011-07-02 13:11 . 2011-07-16 07:56 -------- d-----w- c:\program files\Windows Desktop Search
2011-07-01 19:51 . 2011-07-01 19:52 -------- d-----w- C:\fc749650d191fb66ceac3d5a31
2011-06-30 18:26 . 2011-06-30 18:26 -------- d---a-w- C:\MiK
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-06 11:35 . 2006-03-02 12:00 1858944 ----a-w- c:\win\system32\win32k.sys
2011-04-29 17:25 . 2006-03-02 12:00 151552 ----a-w- c:\win\system32\schannel.dll
2011-04-29 16:19 . 2006-03-02 12:00 456320 ----a-w- c:\win\system32\drivers\mrxsmb.sys
2011-07-14 06:05 . 2011-07-24 12:56 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AshSnap"="c:\program files\Ashampoo\Ashampoo Snap 4\ashsnap.exe" [2011-04-01 1528176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\win\system32\NvCpl.dll" [2011-05-25 13895272]
"NvMediaCenter"="c:\win\system32\NvMcTray.dll" [2011-05-25 111208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-04-21 281768]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2011-06-30 2554696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\win\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\win\system32\guard32.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"PSI_SVC_2"=2 (0x2)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"RTHDCPL"=RTHDCPL.EXE
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Documents and Settings\\MiK!\\Dokumenty\\Stažené soubory\\solutoinstaller.exe"=
"c:\\Program Files\\LSoft Technologies\\Active Boot Disk\\ActiveUpdate.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [9.6.2011 12:19 136360]
R2 NitroReaderDriverReadSpool2;NitroPDFReaderDriverCreatorReadSpool2;c:\program files\Nitro PDF\Reader\NitroPDFReaderDriverService2.exe [21.6.2011 18:57 196912]
S4 sptd;sptd;c:\win\system32\Drivers\sptd.sys --> c:\win\system32\Drivers\sptd.sys [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.mystart.com/?pr=vmn&id=pandasecuritytb&v=2_0
mSearch Bar = hxxp://www.google.com/ie
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 10.0.0.138
TCP: Interfaces\{1D6DCFFE-F62C-422E-9EE3-9D05287F1AC0}: NameServer = 156.154.70.25,156.154.71.25
FF - ProfilePath - c:\documents and settings\MiK!\Data aplikací\Mozilla\Firefox\Profiles\5dvtbp2k.default\
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-25 22:45
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
.
c:\win\$NtUninstallKB31792$:SummaryInformation 0 bytes hidden from API
.
sken byl úspešně dokončen
skryté soubory: 1
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (LocalSystem)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f7,bc,57,67,e2,6e,bd,4f,8e,cb,e3,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f7,bc,57,67,e2,6e,bd,4f,8e,cb,e3,\
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Active Setup\Installed Components\<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}]
@="Aktualizace verze aplikace Internet Explorer"
"ComponentID"="IEUDINIT"
"DontAsk"=dword:00000002
"IsInstalled"=dword:00000001
"Locale"="*"
"StubPath"="c:\\WIN\\system32\\ieudinit.exe"
"Version"="8,0,6001,0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
@="Browser Customizations"
"ComponentiD"="BRANDING.CAB"
"IsInstalled"=dword:00000001
"Locale"="*"
"LocalizedName"="@c:\\WIN\\system32\\iedkcs32.dll.mui,-3052"
"StubPath"="\"c:\\WIN\\system32\\rundll32.exe\" \"c:\\WIN\\system32\\iedkcs32.dll\",BrandIEActiveSetup SIGNUP"
"Version"="8,0,6001,18702"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Active Setup\Installed Components\Microsoft Base Smart Card Crypto Provider Package]
"IsInstalled"=dword:00000001
"Version"="1,0,0,0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Active Setup\Installed Components\{5056b317-8d4c-43ee-8543-b9d1e234b8f4}]
@="Aktualizace zabezpečení systému Windows XP (KB923789)"
"IsInstalled"=dword:00000001
"Version"="6,0,88,0"
"ComponentID"="KB923789"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Active Setup\Installed Components\{EF289A85-8E57-408d-BE47-73B55609861A}]
@="RootsUpdate"
"IsInstalled"=dword:00000001
"Version"="28,0,2195,0"
"Locale"="*"
"ComponentID"="Windows Roots Update"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(1928)
c:\win\system32\msi.dll
c:\win\system32\webcheck.dll
c:\win\system32\WPDShServiceObj.dll
c:\program files\WinSCP\DragExt.dll
c:\win\system32\PortableDeviceTypes.dll
c:\win\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\COMODO\COMODO Internet Security\cmdagent.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\win\system32\RUNDLL32.EXE
c:\program files\Mozilla Firefox\firefox.exe
.
**************************************************************************
.
Celkový čas: 2011-07-25 22:48:08 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-07-25 20:48
.
Před spuštěním: Volných bajtů: 165 768 003 584
Po spuštění: Volných bajtů: 165 841 530 880
.
- - End Of File - - 30286431746A240538FF3976EAFBA522

[Rudy]

Smazáno. Změnilo se něco?

[Unesto]

Ne... Nělde jsem četl, že je to jeden z nejpokročilejších rootkitů vůbec... a vytváří vždycky náhodnej ovladač... no, stejně se říká, že počítač je nebezpečný používat i po odstranění rootkitu, takže jej nakonec přeinstaluju, bude to rychlejší...

Takže Vám děkuji za veškerou pomoc...

[Rudy]

Nemáte zač!