Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Pěkně prosím o kontrolu

Nemáte v tuto chvíli žádný problém s pc a chcete se jen ujistit, že je vše v pořádku?
Vložte log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Odpovědět
Zpráva
Autor
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Pěkně prosím o kontrolu

#16 Příspěvek od vyosek »

Fajn, jdeme dale :James008:

PROSIM CTETE DUKLADNE NAVOD - TATO UTILITA MA VELKOU SCHOPNOST MAZAT A JE NUTNE JI APLIKOVAT JEN NA DOPORUCENI, JINAK VAM MUZE JIT SYSTEM DO KYTEK
:arrow: Stahnete a ulozte na plochu Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe
  • Vypnete vsechny rezidentni bezpecnostní programy - firewally, antiviry, antispywary apod.
  • Pokud mate Win XP spustte pod uctem Spravce\Administratora
  • Pokud mate Win Vista ci Win 7, kliknete na Combofix pravym a dejte Run As Administrator ci Spustit jako spravce
  • Ihned po startu se zobrazi stranka s licencnim ujednanim, pokracujte kliknutim na Ano
  • Pokud Vam CF nabidne instalaci Konzoly pro zotaveni, tak souhlaste
  • Dale postupujte dle pokynu, behem scanu nechte PC naprosto v klidu - nespoustejte zadne aplikace a neklikejte do zobrazujiciho se okna
  • Scan by mel trvat cca 10 min, ale pokud bude PC hodne zaneseno, muze se cas prodlouzit
  • Po dokonceni skenu a pripadnem restartu CF zobrazi log, pripadne jej najdete zde C:\ComboFix.txt, jeho obsah sem vlozte
  • Detailni postup vc. obrazku mate zde http://www.bleepingcomputer.com/combofi ... t-combofix
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
popsie11
Návštěvník
Návštěvník
Příspěvky: 17
Registrován: 19 lis 2010 06:07

Re: Pěkně prosím o kontrolu

#17 Příspěvek od popsie11 »

ComboFix 11-08-10.03 - Administrator 10.08.2011 22:01:06.1.1 - x86 NETWORK
Spuštěný z: c:\documents and settings\Administrator.ACER-06B43E7B74.000\Dokumenty\Sta×enÚ soubory\ComboFix.exe
* Vytvořen nový Bod Obnovení
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\Cookies\Thumbs.db
c:\documents and settings\karatistka\WINDOWS
c:\documents and settings\karatistka\WINDOWS\Thumbs.db
c:\program files\Java\jre-11
c:\program files\Java\jre-11\bin\UF
c:\windows\IsUn0405.exe
c:\windows\iun6002.exe
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\spool\prtprocs\w32x86\BuEProNT.dll
c:\windows\system32\wpcap.dll
C:\www.google.com.htm
.
c:\windows\system32\winlogon.exe . . . je infikován!!
.
Nakažená kopie c:\windows\explorer.exe byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NPF
-------\Legacy_SSHNAS
-------\Service_NPF
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-07-10 do 2011-08-10 )))))))))))))))))))))))))))))))
.
.
2011-08-10 14:49 . 2011-08-10 14:49 -------- d-----w- c:\documents and settings\Administrator.ACER-06B43E7B74.000
2011-08-09 19:28 . 2011-08-09 19:28 -------- d-----w- C:\_OTL
2011-08-09 07:26 . 2011-08-10 16:22 -------- d-----w- c:\program files\CCleaner
2011-08-08 18:04 . 2011-08-08 18:04 512 ----a-w- C:\PhysicalMBR.bin
2011-08-08 17:51 . 2011-07-04 11:36 309848 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-08-08 17:51 . 2011-07-04 11:32 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-08-08 17:51 . 2011-07-04 11:36 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-08-08 17:51 . 2011-07-04 11:35 43608 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-08-08 17:51 . 2011-07-04 11:32 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-08-08 17:51 . 2011-07-04 11:35 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-08-08 17:51 . 2011-07-04 11:35 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-08-08 17:51 . 2011-07-04 11:32 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-08-08 17:50 . 2011-07-04 11:43 40112 ----a-w- c:\windows\avastSS.scr
2011-08-08 17:50 . 2011-07-04 11:43 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-08-08 07:53 . 2011-08-08 07:53 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-08-05 14:24 . 2011-08-05 14:24 -------- d-----w- c:\program files\Apple Software Update
2011-08-04 16:03 . 2011-08-04 16:03 -------- d-----w- c:\program files\Uložto File Manager
2011-08-03 16:41 . 2011-08-03 16:41 -------- d-----w- c:\program files\trend micro
2011-08-03 16:40 . 2011-08-03 16:41 -------- d-----w- C:\rsit
2011-07-25 11:01 . 2011-07-25 11:01 -------- d-----w- c:\program files\Zhuk
2011-07-20 13:52 . 2011-07-20 13:53 -------- d-----w- c:\program files\OpenOffice.org 3
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-02 13:29 . 2011-07-02 13:29 1409 ----a-w- c:\windows\QTFont.for
2004-10-01 14:00 . 2007-11-07 00:52 40960 ----a-w- c:\program files\Uninstall_CDS.exe
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-14 . CDDB1F8E1AEA356F3AD106F2CF9B7FEA . 507904 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\winlogon.exe
[-] 2008-04-14 . CDDB1F8E1AEA356F3AD106F2CF9B7FEA . 507904 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\winlogon.exe
[-] 2004-08-17 . 157C5A7AF7076D0781ABBDFAC9159713 . 502272 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
[-] 2008-04-14 . 27AFD587C462E280EE046B8CCA3C2CD1 . 1034240 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\explorer.exe
[-] 2008-04-14 . 27AFD587C462E280EE046B8CCA3C2CD1 . 1034240 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\explorer.exe
[-] 2007-06-13 . 5D6859CBFCDA11DB2A1C5C09138DD39A . 1033728 . . [6.00.2900.3156] . . c:\windows\explorer.exe
[7] 2007-06-13 . 9B32416BD5988C97B6397CE0B02CAF97 . 1033728 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-17 . 53114D57AB73A406AC7F602227781A99 . 1032704 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
[-] 2008-04-14 . 56A6034E7764E23D9114223EB3523925 . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\sfcfiles.dll
[-] 2008-04-14 . 56A6034E7764E23D9114223EB3523925 . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\sfcfiles.dll
[-] 2007-11-02 . 32870B6F41858B75B2358F143DA9C794 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-07-04 11:43 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-21 138008]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-29 16132608]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-07-04 3493720]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
.
c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
20Dollars2Surf.lnk - c:\program files\20Dollars2Surf\20dollars2surf.exe [2011-7-10 89088]
.
[HKLM\~\startupfolder\C:^Documents and Settings^karatistka^Nabídka Start^Programy^Po spuštění^OpenOffice.org 3.3.lnk]
path=c:\documents and settings\karatistka\Nabídka Start\Programy\Po spuštění\OpenOffice.org 3.3.lnk
backup=c:\windows\pss\OpenOffice.org 3.3.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mega Manager]
2010-11-03 09:00 2113024 ----a-w- c:\program files\Megaupload\Mega Manager\MegaManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
2008-03-11 10:16 1885464 ----a-w- c:\program files\Uniblue\RegistryBooster 2\RegistryBooster.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\ICQ7.2\\ICQ.exe"=
"c:\\Program Files\\ICQ7.2\\aolload.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22418:TCP"= 22418:TCP:BitComet 22418 TCP
"22418:UDP"= 22418:UDP:BitComet 22418 UDP
"17394:TCP"= 17394:TCP:BitComet 17394 TCP
"17394:UDP"= 17394:UDP:BitComet 17394 UDP
"23862:TCP"= 23862:TCP:BitComet 23862 TCP
"23862:UDP"= 23862:UDP:BitComet 23862 UDP
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"12001:UDP"= 12001:UDP:SMART WebServer Handshake Multicast Port
.
R1 aswSnx;aswSnx; [x]
R1 aswSP;aswSP; [x]
R2 aswFsBlk;aswFsBlk; [x]
R3 AVFSFilter;AVFSFilter; [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-05-22 717296]
.
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - MDMXSDK
.
.
------- Doplňkový sken -------
.
mLocal Page =
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
TCP: DhcpNameServer = 192.168.2.1 192.168.1.1
FF - ProfilePath - c:\documents and settings\Administrator.ACER-06B43E7B74.000\Data aplikací\Mozilla\Firefox\Profiles\3anrbxv2.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\AVAST Software\Avast\WebRep\FF
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-Cool's_Codec_pack_4.12 - c:\windows\iun6002.exe
AddRemove-Encyklopedie Přírody 2.0 - c:\windows\IsUn0405.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-10 22:19
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
Celkový čas: 2011-08-10 22:23:33 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-08-10 20:23
.
Před spuštěním: Volných bajtů: 18 707 660 800
Po spuštění: Volných bajtů: 21 393 186 816
.
WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - DF696A46DE05F3DCF6836A5EE9F9D4FE
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Pěkně prosím o kontrolu

#18 Příspěvek od vyosek »

Mate instalacni CD od windows :???: Je tam par infikovanych souboru, ktere bude treba nahradit
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
popsie11
Návštěvník
Návštěvník
Příspěvky: 17
Registrován: 19 lis 2010 06:07

Re: Pěkně prosím o kontrolu

#19 Příspěvek od popsie11 »

Dobře...mám ho.
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Pěkně prosím o kontrolu

#20 Příspěvek od vyosek »

Fajn, zkusime nejdrive obnovu pomoci ComboFixu a pak pripadne z CD :wink:

:arrow: Pokud nemate, tak presunte Combofix na plochu
  • Spustte poznamkovy blok (Start-spustit-notepad)
  • Zkopirujte skript nize

  • Kód: Vybrat vše

    KillAll::

Restore::
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe
c:\windows\system32\sfcfiles.dll
c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\winlogon.exe
c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\winlogon.exe
c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\explorer.exe
c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\explorer.exe
c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\sfcfiles.dll
c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\sfcfiles.dll

SRPeek::
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe
c:\windows\system32\sfcfiles.dll
c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\winlogon.exe
c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\winlogon.exe
c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\explorer.exe
c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\explorer.exe
c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\sfcfiles.dll
c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\sfcfiles.dll

Mia::
c:\windows\system32\winlogon.exe
c:\windows\explorer.exe
c:\windows\system32\sfcfiles.dll
c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\winlogon.exe
c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\winlogon.exe
c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\explorer.exe
c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\explorer.exe
c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\sfcfiles.dll
c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\sfcfiles.dll

Folder::
c:\program files\20Dollars2Surf\

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000

Reboot::
  • Ulozte vytvoreny TXT jako CFScript.txt
  • Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
    Obrázek
  • Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte
:arrow: Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
popsie11
Návštěvník
Návštěvník
Příspěvky: 17
Registrován: 19 lis 2010 06:07

Re: Pěkně prosím o kontrolu

#21 Příspěvek od popsie11 »

No, žádný log na mě nevypadl, ale na ploše se objevil soubor v .txt, ve kterém bylo

Kód: Vybrat vše

File "C:\ComboFix\MT_explorer.exe.tmp" added successfully
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Pěkně prosím o kontrolu

#22 Příspěvek od vyosek »

Opakujte prosim postup se skriptem v nouzovem rezimu (restart PC, mackat F8, zvolit Stav nouze s praci v siti)
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
popsie11
Návštěvník
Návštěvník
Příspěvky: 17
Registrován: 19 lis 2010 06:07

Re: Pěkně prosím o kontrolu

#23 Příspěvek od popsie11 »

ComboFix 11-08-10.03 - Administrator 11.08.2011 14:32:28.3.1 - x86 NETWORK
Spuštěný z: c:\documents and settings\Administrator.ACER-06B43E7B74.000\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator.ACER-06B43E7B74.000\Plocha\CFScript.txt
* Vytvořen nový Bod Obnovení
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\20Dollars2Surf
c:\program files\20Dollars2Surf\20d2s.exe
c:\program files\20Dollars2Surf\20dollars2surf.exe
c:\program files\20Dollars2Surf\unins000.dat
c:\program files\20Dollars2Surf\unins000.exe
.
---- Předchozí spuštění -------
.
c:\documents and settings\karatistka\Cookies\Thumbs.db
c:\program files\20Dollars2Surf\20d2s.exe
c:\program files\20Dollars2Surf\20dollars2surf.exe
c:\program files\20Dollars2Surf\unins000.dat
c:\program files\20Dollars2Surf\unins000.exe
.
Nakažená kopie c:\windows\explorer.exe byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
.
c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\sfcfiles.dll . . . je infikován!!
.
c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\winlogon.exe . . . je infikován!!
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-07-11 do 2011-08-11 )))))))))))))))))))))))))))))))
.
.
2011-08-10 14:49 . 2011-08-10 14:49 -------- d-----w- c:\documents and settings\Administrator.ACER-06B43E7B74.000
2011-08-09 19:28 . 2011-08-09 19:28 -------- d-----w- C:\_OTL
2011-08-09 07:26 . 2011-08-10 16:22 -------- d-----w- c:\program files\CCleaner
2011-08-08 18:04 . 2011-08-08 18:04 512 ----a-w- C:\PhysicalMBR.bin
2011-08-08 17:51 . 2011-07-04 11:36 309848 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-08-08 17:51 . 2011-07-04 11:32 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-08-08 17:51 . 2011-07-04 11:36 441176 ----a-w- c:\windows\system32\drivers\aswSnx.sys
2011-08-08 17:51 . 2011-07-04 11:35 43608 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-08-08 17:51 . 2011-07-04 11:32 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-08-08 17:51 . 2011-07-04 11:35 102616 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-08-08 17:51 . 2011-07-04 11:35 96344 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-08-08 17:51 . 2011-07-04 11:32 30808 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-08-08 17:50 . 2011-07-04 11:43 40112 ----a-w- c:\windows\avastSS.scr
2011-08-08 17:50 . 2011-07-04 11:43 199304 ----a-w- c:\windows\system32\aswBoot.exe
2011-08-08 07:53 . 2011-08-08 07:53 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-08-05 14:24 . 2011-08-05 14:24 -------- d-----w- c:\program files\Apple Software Update
2011-08-04 16:03 . 2011-08-04 16:03 -------- d-----w- c:\program files\Uložto File Manager
2011-08-03 16:41 . 2011-08-03 16:41 -------- d-----w- c:\program files\trend micro
2011-08-03 16:40 . 2011-08-03 16:41 -------- d-----w- C:\rsit
2011-07-25 11:01 . 2011-07-25 11:01 -------- d-----w- c:\program files\Zhuk
2011-07-20 13:52 . 2011-07-20 13:53 -------- d-----w- c:\program files\OpenOffice.org 3
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-07-02 13:29 . 2011-07-02 13:29 1409 ----a-w- c:\windows\QTFont.for
2004-10-01 14:00 . 2007-11-07 00:52 40960 ----a-w- c:\program files\Uninstall_CDS.exe
.
.
(((((((((((((((((((((((((((((((((((((((((( SR_Search ))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-14 . CDDB1F8E1AEA356F3AD106F2CF9B7FEA . 507904 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\winlogon.exe
[-] 2008-04-14 . CDDB1F8E1AEA356F3AD106F2CF9B7FEA . 507904 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\winlogon.exe
[-] 2004-08-17 . 157C5A7AF7076D0781ABBDFAC9159713 . 502272 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
[-] 2008-04-14 . 27AFD587C462E280EE046B8CCA3C2CD1 . 1034240 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\explorer.exe
[-] 2008-04-14 . 27AFD587C462E280EE046B8CCA3C2CD1 . 1034240 . . [6.00.2900.5512] . . c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\explorer.exe
[-] 2007-06-13 . 5D6859CBFCDA11DB2A1C5C09138DD39A . 1033728 . . [6.00.2900.3156] . . c:\windows\explorer.exe
[7] 2007-06-13 . 9B32416BD5988C97B6397CE0B02CAF97 . 1033728 . . [6.00.2900.3156] . . c:\windows\$hf_mig$\KB938828\SP2QFE\explorer.exe
[7] 2004-08-17 . 53114D57AB73A406AC7F602227781A99 . 1032704 . . [6.00.2900.2180] . . c:\windows\$NtUninstallKB938828$\explorer.exe
.
[-] 2008-04-14 . 56A6034E7764E23D9114223EB3523925 . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\44c8256673ca0542cb198384f8131b68\sfcfiles.dll
[-] 2008-04-14 . 56A6034E7764E23D9114223EB3523925 . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\ab04a73630759d84a46114bfca20f64c\sfcfiles.dll
[-] 2007-11-02 . 32870B6F41858B75B2358F143DA9C794 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-07-04 11:43 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-03-21 174872]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-07 102400]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-04-21 138008]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-29 16132608]
"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-07-04 3493720]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
.
c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
20Dollars2Surf.lnk - c:\program files\20Dollars2Surf\20dollars2surf.exe [N/A]
.
[HKLM\~\startupfolder\C:^Documents and Settings^karatistka^Nabídka Start^Programy^Po spuštění^OpenOffice.org 3.3.lnk]
path=c:\documents and settings\karatistka\Nabídka Start\Programy\Po spuštění\OpenOffice.org 3.3.lnk
backup=c:\windows\pss\OpenOffice.org 3.3.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mega Manager]
2010-11-03 09:00 2113024 ----a-w- c:\program files\Megaupload\Mega Manager\MegaManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue RegistryBooster 2]
2008-03-11 10:16 1885464 ----a-w- c:\program files\Uniblue\RegistryBooster 2\RegistryBooster.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\ICQ7.2\\ICQ.exe"=
"c:\\Program Files\\ICQ7.2\\aolload.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22418:TCP"= 22418:TCP:BitComet 22418 TCP
"22418:UDP"= 22418:UDP:BitComet 22418 UDP
"17394:TCP"= 17394:TCP:BitComet 17394 TCP
"17394:UDP"= 17394:UDP:BitComet 17394 UDP
"23862:TCP"= 23862:TCP:BitComet 23862 TCP
"23862:UDP"= 23862:UDP:BitComet 23862 UDP
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"12001:UDP"= 12001:UDP:SMART WebServer Handshake Multicast Port
.
R1 aswSnx;aswSnx; [x]
R1 aswSP;aswSP; [x]
R2 aswFsBlk;aswFsBlk; [x]
R3 AVFSFilter;AVFSFilter; [x]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2008-05-22 717296]
.
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - MDMXSDK
.
.
------- Doplňkový sken -------
.
mLocal Page =
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
TCP: DhcpNameServer = 192.168.2.1 192.168.1.1
FF - ProfilePath - c:\documents and settings\Administrator.ACER-06B43E7B74.000\Data aplikací\Mozilla\Firefox\Profiles\3anrbxv2.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\AVAST Software\Avast\WebRep\FF
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-{1EE9BBA1-312F-4EC0-9DEA-A8FE22BBABAA}_is1 - c:\program files\20Dollars2Surf\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-08-11 14:50
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
Celkový čas: 2011-08-11 14:53:40 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-08-11 12:53
ComboFix2.txt 2011-08-10 20:23
.
Před spuštěním: Volných bajtů: 22 952 034 304
Po spuštění: Volných bajtů: 22 929 158 144
.
- - End Of File - - 263E7DC4BF3A4C32D2F8D632E88D79B9
Naposledy upravil(a) vyosek dne 11 srp 2011 15:31, celkem upraveno 1 x.
Důvod: Log odstranen z code - je lepe citelny
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Pěkně prosím o kontrolu

#24 Příspěvek od vyosek »

Jeste tam zkuste pustit AVPTool dle tohoto navodu http://viry.cz/forum/viewtopic.php?f=29&t=58179
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
popsie11
Návštěvník
Návštěvník
Příspěvky: 17
Registrován: 19 lis 2010 06:07

Re: Pěkně prosím o kontrolu

#25 Příspěvek od popsie11 »

Status: Will be disinfected when the computer is restarted (events: 1)
11.8.2011 17:48:51 Will be disinfected when the computer is restarted Trojan program Trojan.Win32.Patched.kl C:\WINDOWS\system32\winlogon.exe High
Status: Disinfected (events: 9)
11.8.2011 19:37:20 Disinfected Trojan program Trojan-SMS.J2ME.Jifake.eu C:\Documents and Settings\karatistka\Plocha\Soubory\Java\QUIP.jar High
11.8.2011 19:37:20 Disinfected Trojan program Trojan-SMS.J2ME.Jifake.eu C:\Documents and Settings\karatistka\Plocha\Soubory\Java\QUIP.jar/q.class High
11.8.2011 21:46:47 Disinfected Trojan program Trojan.Win32.Patched.kl C:\Qoobox\Quarantine\C\WINDOWS\explorer.exe.vir High
11.8.2011 21:53:58 Disinfected Trojan program Trojan.Win32.Patched.kl C:\System Volume Information\_restore{2E5463BC-2F90-4B11-85C6-5D77EC0C542C}\RP179\A0369990.exe High
11.8.2011 21:54:01 Disinfected Trojan program Trojan.Win32.Patched.kl C:\System Volume Information\_restore{2E5463BC-2F90-4B11-85C6-5D77EC0C542C}\RP179\A0370006.exe High
11.8.2011 21:54:41 Disinfected Trojan program Trojan.Win32.Patched.kl C:\System Volume Information\_restore{2E5463BC-2F90-4B11-85C6-5D77EC0C542C}\RP180\A0370256.exe High
11.8.2011 21:54:44 Disinfected Trojan program Trojan.Win32.Patched.kl C:\System Volume Information\_restore{2E5463BC-2F90-4B11-85C6-5D77EC0C542C}\RP180\A0370241.exe High
11.8.2011 21:54:46 Disinfected Trojan program Trojan.Win32.Patched.kl C:\System Volume Information\_restore{2E5463BC-2F90-4B11-85C6-5D77EC0C542C}\RP180\A0370373.exe High
11.8.2011 21:54:50 Disinfected Trojan program Trojan.Win32.Patched.kl C:\System Volume Information\_restore{2E5463BC-2F90-4B11-85C6-5D77EC0C542C}\RP180\A0370389.exe High
Status: Detected (events: 1)
11.8.2011 19:47:50 Detected Trojan program Trojan.Win32.Delf.wse C:\Documents and Settings\uživatel\Dokumenty\kasperski\Kaspesky-kis6[1].0.2.621.part4.rar//Kaspesky-kis6.0.2.621/KIS_6.0.2.621_SK_1.0.exe//KIS_6.0.2.621_SK_1.0/KIS602621_SK.exe High
Status: Deleted (events: 4)
11.8.2011 19:51:50 Deleted Trojan program Trojan.Win32.Delf.wse C:\Documents and Settings\uživatel\Dokumenty\kasperski\Kaspesky-kis6.0.2.621\KIS_6.0.2.621_SK_1.0.exe High
11.8.2011 19:51:50 Deleted Trojan program Trojan.Win32.Delf.wse C:\Documents and Settings\uživatel\Dokumenty\kasperski\Kaspesky-kis6.0.2.621\KIS_6.0.2.621_SK_1.0.exe//KIS_6.0.2.621_SK_1.0/KIS602621_SK.exe High
11.8.2011 21:52:31 Deleted Trojan program Trojan-Ransom.Win32.Hexzone.kfi C:\System Volume Information\_restore{2E5463BC-2F90-4B11-85C6-5D77EC0C542C}\RP176\A0369192.exe High
11.8.2011 21:52:31 Deleted Trojan program Trojan-Ransom.Win32.Hexzone.kfi C:\System Volume Information\_restore{2E5463BC-2F90-4B11-85C6-5D77EC0C542C}\RP176\A0369192.exe//data0000 High
Status: Will be deleted when the computer is restarted (events: 1)
11.8.2011 23:20:18 Will be deleted when the computer is restarted Trojan program Trojan-Dropper.Win32.Drooptroop.kkn C:\WINDOWS\system32\hlp.dat High
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Pěkně prosím o kontrolu

#26 Příspěvek od vyosek »

Fajn, spustte nyni COmboFix (bez skriptu), jen jej nehcte probehnout - log pak sem
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
popsie11
Návštěvník
Návštěvník
Příspěvky: 17
Registrován: 19 lis 2010 06:07

Re: Pěkně prosím o kontrolu

#27 Příspěvek od popsie11 »

Ráda bych, ale nejde mi zapnout PC - pořád se restartuje, už opravdu nevím, co dělat =/
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Pěkně prosím o kontrolu

#28 Příspěvek od vyosek »

Zkuste mackat pri startu F8 a zvolit stav nouze s praci v siti ci pojede...je tam poskozeno mnoho systemovych souboru
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
kaminek15
Návštěvník
Návštěvník
Příspěvky: 1
Registrován: 12 srp 2011 15:10

Re: Pěkně prosím o kontrolu

#29 Příspěvek od kaminek15 »

popsie11 píše:Ráda bych, ale nejde mi zapnout PC - pořád se restartuje, už opravdu nevím, co dělat =/
Nahoru
Uživatelský avatar
vyosek
VIP
VIP
Příspěvky: 56373
Registrován: 07 lis 2006 15:24
Bydliště: Šalingrad - Brno

Re: Pěkně prosím o kontrolu

#30 Příspěvek od vyosek »

Zkuste jeste opravnou instalaci - postup viz kolega
Čarls píše:
vlozte instalacni cd do CD rom, nechte nabootovat (predtim ovsem v biosu nastavte first booting device CD rom), chvili vyckejte; pote se zobrazi prvni obrazovka, kde klavesou Enter potvrdte spusteni instalace Windows, v dalsi obrazovce klavesou F8 potvrdte licencni ujednani, v dalsi obrazovce pak klavesou R zvolte Opravit stavajici instalaci Windows

podrobny postup zde
"Kdo víno má a nepije,kdo hrozny má a nejí je, kdo ženu má a nelíbá, kdo zábavě se vyhýbá, na toho vemte bič a hůl, to není člověk, to je vůl."
Člen Obrázek od 1. února 2011.
Nahoru
Odpovědět

Zpět na „Preventivní kontroly logů“