Prosím o kontrolu logu z RSIT

Zpráva

myrabel · #16 Příspěvek od **myrabel** » 28 črc 2011 12:16

protože je to nově zakoupený PC, zatím nepřejmenovaný z firmy

#17 Příspěvek od **vyosek** » 28 črc 2011 12:18

Aha, takze jste jej pekne jako novy hned testnul jak se umi zavirovat

Prejmenujte ComboFix na pitomec.com at si uvedomite ze na blbiny se neklika

Pokud nemate, tak presunte Combofix na plochu

Spustte poznamkovy blok (Start-spustit-notepad)
Zkopirujte skript nize

Kód: Vybrat vše

KillAll::

Folder::
c:\windows\ufa
c:\windows\av_ico
c:\windows\update.tray-2-0
c:\windows\update.tray-2-0-lnk
c:\windows\update.tray-7-0
c:\windows\update.tray-7-0-lnk
c:\documents and settings\datart\Data aplikací\TrojanHunter
c:\documents and settings\datart\Data aplikací\Simply Super Software
c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy

Collect::
c:\Documents and Settings\datart\Dokumenty\Downloads\\Flash-Player.exe
c:\windows\unrar.exe

DDS::
uStart Page = hxxp://www.crawler.com/homepage.aspx?tbid=60347
IE: Crawler Search - tbr:iemenu

Firefox::
FF - ProfilePath - c:\documents and settings\datart\Data aplikací\Mozilla\Firefox\Profiles\hhq56c2o.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.as ... ource=3&q={searchTerms}
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://www.crawler.com/homepage.aspx?tbid=60347
FF - Ext: Ant Video Downloader: anttoolbar@ant.com - %profile%\extensions\anttoolbar@ant.com

Driver::
BHDrvx86
NAVENG
NAVEX15
UnHackMeDrv
IDSxpx86

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\datart\\Dokumenty\\Downloads\\Flash-Player.exe"=-
"c:\\WINDOWS\\update.tray-2-0\\svchost.exe"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000000
"DisableThumbnailCache"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"=-
"QuickTime Task"=-
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-

Reboot::

Ulozte vytvoreny TXT jako CFScript.txt
Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

myrabel · #18 Příspěvek od **myrabel** » 28 črc 2011 12:27

není přejmenování souboru zbytečný krok navíc ?

#19 Příspěvek od **vyosek** » 28 črc 2011 12:40

Je ale je to preventivne bezpecnostni cinnost

myrabel · #20 Příspěvek od **myrabel** » 28 črc 2011 12:54

ComboFix 11-07-28.01 - datart 28.07.2011 13:37:56.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1013.590 [GMT 2:00]
Spuštěný z: c:\documents and settings\datart\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\datart\Plocha\CFScript.txt
AV: Ashampoo Anti-MalWare *Disabled/Outdated* {91BDFB4E-BA7E-4ABC-9472-A79BA394CA4B}
.
file zipped: c:\documents and settings\datart\Dokumenty\Downloads\\Flash-Player.exe
file zipped: c:\windows\unrar.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\datart\Dokumenty\Downloads\Flash-Player.exe
c:\windows\av_ico
c:\windows\av_ico\ico_avast_desktop.ico
c:\windows\av_ico\ico_avast_start.ico
c:\windows\av_ico\ico_Essentials_start.ico
c:\windows\av_ico\ico_NOD_AV_START.ico
c:\windows\av_ico\ico_NOD_SYSINSP.ico
c:\windows\av_ico\ico_NOD_SYSRESC.ico
c:\windows\av_ico\ico_NOD_TXT.ico
c:\windows\av_ico\ico_NOD_UNINSTALL.ico
c:\windows\ufa
c:\windows\ufa\ufa.exe
c:\windows\unrar.exe
c:\windows\update.tray-2-0-lnk
c:\windows\update.tray-2-0-lnk\svchost.exe
c:\windows\update.tray-2-0
c:\windows\update.tray-2-0\svchost.exe
c:\windows\update.tray-7-0-lnk
c:\windows\update.tray-7-0-lnk\svchost.exe
c:\windows\update.tray-7-0
c:\windows\update.tray-7-0\svchost.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_BHDRVX86
-------\Legacy_IDSXPX86
-------\Legacy_NAVENG
-------\Legacy_NAVEX15
-------\Legacy_UNHACKMEDRV
-------\Service_IDSxpx86
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-06-28 do 2011-07-28 )))))))))))))))))))))))))))))))
.
.
2011-07-28 09:24 . 2011-07-28 09:28 -------- d-----w- c:\program files\trend micro
2011-07-28 09:24 . 2011-07-28 09:24 -------- d-----w- C:\rsit
2011-07-26 17:53 . 2011-07-26 17:53 -------- d-----w- c:\documents and settings\datart\Local Settings\Data aplikací\Ashampoo
2011-07-26 17:25 . 2011-07-26 17:25 -------- d-----w- c:\program files\Ashampoo
2011-07-26 15:43 . 2011-07-26 15:43 -------- d-----r- C:\comment.htt
2011-07-26 15:14 . 2011-07-27 05:26 24416 ----a-w- c:\windows\system32\drivers\regguard.sys
2011-07-26 15:10 . 2011-07-26 15:10 37600 ----a-w- c:\windows\system32\Partizan.exe
2011-07-26 15:10 . 2011-07-26 15:10 35816 ----a-w- c:\windows\system32\drivers\Partizan.sys
2011-07-26 15:09 . 2011-07-26 15:09 2 --shatr- c:\windows\winstart.bat
2011-07-26 15:09 . 2010-11-11 10:44 12808 ----a-w- c:\windows\system32\drivers\UnHackMeDrv.sys
2011-07-26 15:09 . 2011-07-26 15:25 -------- d-----w- c:\program files\UnHackMe
2011-07-26 13:48 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-07-26 13:48 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-07-26 13:43 . 2011-07-04 11:36 309848 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-07-26 13:43 . 2011-07-04 11:32 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-07-26 13:43 . 2011-07-04 11:35 43608 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-07-26 13:43 . 2011-07-04 11:32 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-07-26 13:43 . 2011-07-04 11:36 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-07-26 13:43 . 2011-07-04 11:35 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-07-26 13:43 . 2011-07-04 11:35 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-07-26 13:43 . 2011-07-04 11:32 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-07-26 13:43 . 2011-07-04 11:43 40112 ----a-w- c:\windows\avastSS.scr
2011-07-26 13:43 . 2011-07-04 11:43 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-07-26 13:43 . 2011-07-26 13:43 -------- d-----w- c:\program files\AVAST Software
2011-07-26 11:21 . 2011-07-26 11:21 -------- d-----w- c:\documents and settings\datart\Data aplikací\Simply Super Software
2011-07-26 11:20 . 2011-07-26 11:20 -------- d-----w- c:\documents and settings\datart\Data aplikací\TrojanHunter
2011-07-25 20:04 . 2010-04-01 11:49 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2011-07-25 19:23 . 2011-07-25 19:23 -------- d-----w- c:\program files\Crawler
2011-07-25 18:16 . 2010-04-01 11:47 -------- d---a-w- c:\documents and settings\All Users\Data aplikací\TEMP
2011-07-25 18:13 . 2011-07-25 19:07 -------- d-----w- c:\documents and settings\All Users\Data aplikací\PC Tools
2011-07-25 17:29 . 2011-07-25 17:29 -------- d-----w- c:\program files\CCleaner
2011-07-22 15:26 . 2011-07-22 15:26 -------- d-----w- c:\program files\Common Files\Adobe
2011-07-22 15:23 . 2011-07-22 15:23 -------- d-----w- c:\documents and settings\LocalService\Nabídka Start
2011-07-07 17:09 . 2011-07-07 17:09 -------- d-----w- c:\program files\Common Files\Java
2011-07-05 04:48 . 2011-07-05 04:48 -------- d-----w- c:\program files\MSECache
2011-06-29 12:15 . 2011-06-29 12:15 -------- d-----w- c:\documents and settings\datart\Local Settings\Data aplikací\ESET
2011-06-29 12:13 . 2011-06-29 12:13 -------- d-----w- c:\documents and settings\datart\Data aplikací\Sony Setup
2011-06-29 12:13 . 2011-06-29 12:15 -------- d-----w- c:\program files\Sony Setup
2011-06-29 12:12 . 2008-04-14 06:51 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2011-06-29 12:12 . 2008-04-14 06:51 21504 ----a-w- c:\windows\system32\hidserv.dll
2011-06-29 12:12 . 2008-04-14 05:59 14592 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys
2011-06-29 12:12 . 2008-04-14 05:59 14592 ----a-w- c:\windows\system32\drivers\kbdhid.sys
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-06-18 07:35 . 2011-06-18 07:35 80 ----a-w- c:\documents and settings\datart\Data aplikací\tintsnft.sys
2011-06-06 11:35 . 1980-01-01 00:00 1858944 ----a-w- c:\windows\system32\win32k.sys
2011-05-04 02:52 . 2011-04-28 15:15 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-05-04 00:25 . 2011-04-28 15:15 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-05-02 15:32 . 2010-09-28 09:54 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-04-29 17:25 . 1980-01-01 00:00 151552 ----a-w- c:\windows\system32\schannel.dll
2011-04-29 16:19 . 1980-01-01 00:00 456320 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-16 20:37 . 2011-02-16 20:36 568696 ----a-w- c:\program files\ChromeSetup.exe
.
.
((((((((((((((((((((((((((((( SnapShot@2011-07-28_10.25.09 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-07-28 11:43 . 2011-07-28 11:43 16384 c:\windows\temp\Perflib_Perfdata_6e0.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-06-15 15141768]
"UnHackMe Monitor"="c:\program files\UnHackMe\hackmon.exe" [2010-11-11 594200]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2010-07-16 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2010-07-16 173592]
"Persistence"="c:\windows\system32\igfxpers.exe" [2010-07-16 141336]
"RTHDCPL"="RTHDCPL.EXE" [2010-03-18 19520544]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-08-28 1557800]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
SRS Premium Sound.lnk - c:\program files\SRS Labs\SRS Premium Sound\SRSPremiumSound_XP.exe [2009-10-28 3372336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableSecureUIAPaths"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0Partizan\0
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Winamp\\winamp.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R0 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [26.7.2011 17:10 35816]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [21.12.2010 15:04 115008]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [21.12.2010 13:47 94872]
R2 AAMWService;Ashampoo Anti-Malware Service;c:\program files\Ashampoo\Ashampoo Anti-Malware\AAMW_Service.exe [26.7.2011 19:26 1312640]
R3 ReallusionVirtualAudio;Reallusion Virtual Audio;c:\windows\system32\drivers\RLVrtAuCbl.sys [28.9.2010 19:17 31616]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [28.9.2010 17:37 1323040]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [28.9.2010 15:36 1691480]
S3 RegGuard;RegGuard;c:\windows\system32\drivers\regguard.sys [26.7.2011 17:14 24416]
S3 RtsUIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - UNHACKMEDRV
*Deregistered* - UnHackMeDrv
.
Obsah adresáře 'Naplánované úlohy'
.
2011-07-07 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Doplňkový sken -------
.
TCP: DhcpNameServer = 192.168.11.11
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll
FF - ProfilePath - c:\documents and settings\datart\Data aplikací\Mozilla\Firefox\Profiles\hhq56c2o.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
FF - Ext: Ant Video Downloader: anttoolbar@ant.com - %profile%\extensions\anttoolbar@ant.com
FF - Ext: BS Player Community Toolbar: {fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - %profile%\extensions\{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Crawler Toolbar: {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - c:\program files\Crawler\Toolbar\firefox
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-28 13:43
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
c:\program files\UnHackMe\unhackme_setup.exe
c:\docume~1\datart\LOCALS~1\Temp\is-VN9B9.tmp\is-4FQFJ.tmp
.
**************************************************************************
.
Celkový čas: 2011-07-28 13:49:37 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-07-28 11:49
ComboFix2.txt 2011-07-28 10:27
.
Před spuštěním: Volných bajtů: 15 156 580 352
Po spuštění: Volných bajtů: 15 099 043 840
.
- - End Of File - - E5323E8B9BD4C8C013C635D3442CF108
Nahr nˇ probŘhlo ŁspŘçnŘ

#21 Příspěvek od **vyosek** » 28 črc 2011 12:58

Jak se chova PC

myrabel · #22 Příspěvek od **myrabel** » 28 črc 2011 13:02

chová se jako pc, hřeje a vrní

vše nabíhá rychle, nic zvláštního se neděje... počkat... pouze hlásí výstrahu zabezpečení. žádný antivir.

#23 Příspěvek od **vyosek** » 28 črc 2011 13:05

S antiviry musime udelat poradek, havet jej poskodila - doporucuji Ashampo odinstalovat a nainstalovat Avast free - je daleko kvalitnejsi

Odinstalujte Combofix

Prejmenujte ComboFix na Uninstall
Spustte jej
Tohle smaze Combofix a jeho slozky

T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe

Stahnete a spustte
Pro potvrzeni volby mackejte A, Enter
Po pouziti utilitu smazte
Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)

OTC http://oldtimer.geekstogo.com/OTC.exe

Stahnete a spustte
Kliknete na CleanUp a potvrdte YES
Program uklidi a restartuje PC

TFC http://oldtimer.geekstogo.com/TFC.exe

Stahnete a spustte
Kliknete na Start a potvrdte OK
Program uklidi a restartuje pc
Po pouziti utilitu smazte

Stahnete Ccleaner (viz muj podpis)
Panel čistič

Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner

Panel registry

dejte Hledej problémy
nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
postup opakujte dokud nebude bez problemu - vetsinou cca 3x

Panel nástroje

Zde muzete odinstalovat nepotrebne programy

CCleaner doporucuji pouzivat cca jednou za tyden

Projedte PC postupne temito utilitami at to vycistime od tech zbytku antiviru

v nouzovem rezimu http://files.avast.com/files/eng/aswclear.exe
v nouzovem rezimu tohle http://download.eset.com/special/ESETUninstaller.exe postup http://www.viry.cz/forum/viewtopic.php?p=889437#p889437

Nainstalujte Avast free http://www.avast.com/cs-cz/free-antivirus-download

Napiste co PC

myrabel · #24 Příspěvek od **myrabel** » 28 črc 2011 13:42

Vše provedeno až do "projedte pc postupně těmito utilitami" - v nouzovém režimu - jak se zapíná pc do nouzového režimu, prosím

myrabel · #25 Příspěvek od **myrabel** » 28 črc 2011 14:36

směju se své debilitě, opět se ptám na něco, co je vysvětleno v postupu... No nakopnout jedině

pokračuju tedy dál, děkuju za trpělivost, musí to bejt sranda radit

myrabel · #26 Příspěvek od **myrabel** » 28 črc 2011 14:53

Moc děkuji

vypadá to dobře, všecky srágory jsou asi pryč, pc fachá skvěle,..

#27 Příspěvek od **vyosek** » 28 črc 2011 15:51

Pokud tedy nejsou problemy ci dotazy, je to z me strany vse

myrabel · #28 Příspěvek od **myrabel** » 28 črc 2011 16:37

Dííky za pomoc !!

#29 Příspěvek od **vyosek** » 28 črc 2011 16:38

Nemate zac, rado se stalo

VIRY.CZ

Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT

Re: Prosím o kontrolu logu z RSIT