Niekto na mi hrozí internetovým útokom - prosba o pomoc

[AL1212]

O.k., tak tento krok podstúpim až po tom, čo mi na druhom počítači dobehne ten CureIt tak, aby som si mohol na ňom zobraziť inštrukcie k tomuto kroku. Takže to zrejme bude až za nejakú tú hodinu. Súhlasíte?

[vyosek]

Oki, neni problem

[AL1212]

Tak som zapojil ďalší počítač, ten CureIt beží strašne pomaly, to by sme sa nikam nedostali. Mám otázku: Mám teda ukončiť úplne všetko? Priznám sa, že neviem presne, ako toho docieliť. Mohol by ste ma naviesť? Čo mám nechať bežať v Správcovi úloh na záložke procesy? A ešte dotaz k pripojeniu na internet, ten mám asi tiež zakázať, že áno? Napadlo ma - mám použiť štart v núdzovom režime? Resp. ako potlačím beh antiviru a antispamu - ten rezidentný režim???

Už som na to prišiel, vypínam rezidentní štít AVG a Spyware Terminatora i firewall Windows, odpojil som sa od internetu, ešte niečo mám pozastaviť, než spustím to ComboFix, prosím?

Tak už som našiel asi všetky odpovede, netrápte sa tým, som hrozný, počkajte na log...

Vyosek, predsa len ma zaujíma tá zmienka o tom, že pri reštarte bude od teraz ponúkaná voľba medzi Konzolou pre obnovenie a Windows. Je to tak? Log už sa generuje, za chvíľu posielam...

[vyosek]

Ano, bude tam nabidka 2 vteriny ktera da na vyber mezi Konzolou a Windows, pote, pokud nezasahnete, nabehnout windows...Pockam ted yna log z CF...CureIt je uchylne pomaly, ale zas je to velmi dusledny skener

[AL1212]

Prikladám log z ComboFix

ComboFix 11-12-17.05 - Alojz Lacko . 12. 2011 19:38:17.1.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.2039.1437 [GMT 1:00]
Spuštěný z: c:\documents and settings\Alojz Lacko\Plocha\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Alojz Lacko\Data aplikací\Microsoft\AddIns\unins000.exe
c:\windows\EventSystem.log
c:\windows\msmqinst.log
c:\windows\system32\_000005_.tmp.dll
c:\windows\system32\_000006_.tmp.dll
c:\windows\system32\TZLog.log
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-11-18 do 2011-12-18 )))))))))))))))))))))))))))))))
.
.
2011-12-18 11:22 . 2011-12-18 01:24 133208 ----a-w- c:\windows\system32\drivers\84722564.sys
2011-12-17 23:40 . 2011-12-18 01:24 133208 ----a-w- c:\windows\system32\drivers\95120711.sys
2011-12-17 23:32 . 2011-12-17 23:33 -------- d-----w- c:\windows\system32\NtmsData
2011-12-17 22:56 . 2011-12-17 22:56 -------- d-----w- c:\program files\CleanUp!
2011-12-17 17:31 . 2011-12-17 17:32 -------- d-----w- c:\program files\trend micro
2011-12-17 17:31 . 2011-12-17 17:32 -------- d-----w- C:\rsit
2011-12-16 22:52 . 2011-12-16 22:52 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Adobe
2011-12-16 22:50 . 2011-12-16 22:50 -------- d-----w- c:\documents and settings\Administrator\Data aplikací\AVG2012
2011-12-16 22:50 . 2011-12-16 22:50 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Identities
2011-12-16 22:50 . 2011-12-16 22:50 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Ahead
2011-12-16 22:50 . 2011-12-16 23:03 -------- d-----w- c:\documents and settings\Administrator\Data aplikací\Spyware Terminator
2011-12-16 22:49 . 2011-12-16 22:49 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2011-12-11 20:55 . 2011-12-11 20:55 -------- d-----w- c:\windows\system32\wbem\Repository
2011-12-10 14:48 . 2011-12-10 14:48 -------- d-----w- c:\documents and settings\Alojz Lacko\Local Settings\Data aplikací\Nokia
2011-12-10 14:47 . 2011-12-10 14:47 -------- d-----w- c:\documents and settings\All Users\Data aplikací\PC Suite
2011-12-10 14:47 . 2011-12-10 15:18 -------- d-----w- c:\documents and settings\Alojz Lacko\Data aplikací\PC Suite
2011-12-10 14:44 . 2011-12-11 20:54 -------- d-----w- c:\program files\Common Files\Nokia
2011-12-10 14:44 . 2011-12-11 20:54 -------- d-----w- c:\program files\PC Connectivity Solution
2011-12-10 14:42 . 2011-12-11 20:54 -------- d-----w- c:\program files\Nokia
2011-12-10 14:42 . 2011-12-10 14:42 -------- d-----w- c:\documents and settings\All Users\Data aplikací\NokiaInstallerCache
2011-12-02 15:29 . 2011-12-02 15:29 -------- d-----w- c:\windows\system32\config\systemprofile\IETldCache
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-23 14:40 . 2004-08-18 12:00 1859584 ----a-w- c:\windows\system32\win32k.sys
2011-11-16 09:02 . 2011-05-14 15:25 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-04 19:13 . 2004-08-18 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2004-08-18 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2011-11-04 19:13 . 2004-08-18 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-11-04 11:23 . 2004-08-18 12:00 385024 ------w- c:\windows\system32\html.iec
2011-11-01 16:07 . 2004-08-18 12:00 1288192 ----a-w- c:\windows\system32\ole32.dll
2011-10-28 05:32 . 2004-08-18 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-26 10:49 . 2004-08-18 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-10-26 10:49 . 2004-08-17 15:45 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-10-18 11:13 . 2004-08-18 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-10-10 14:22 . 2009-05-06 11:30 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-10-07 05:23 . 2011-10-07 05:23 230608 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2011-10-04 05:21 . 2011-10-04 05:21 16720 ----a-w- c:\windows\system32\drivers\AVGIDSShim.sys
2011-10-03 04:06 . 2010-08-27 20:35 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-10-03 01:37 . 2009-09-07 19:56 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-09-28 07:06 . 2004-08-18 12:00 602112 ----a-w- c:\windows\system32\crypt32.dll
2011-09-26 09:41 . 2011-09-26 09:41 613376 ------w- c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41 . 2004-08-18 12:00 22528 ----a-w- c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2004-08-18 12:00 220160 ----a-w- c:\windows\system32\oleacc.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}"= "c:\program files\BS_Player\prxtbBS_0.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2011-01-17 14:54 175912 ----a-w- c:\program files\ConduitEngine\prxConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}]
2011-11-06 19:16 1451336 ----a-w- c:\program files\AVG Secure Search\8.0.0.40\AVG Secure Search_toolbar.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}]
2011-01-17 14:54 175912 ----a-w- c:\program files\BS_Player\prxtbBS_0.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}"= "c:\program files\BS_Player\prxtbBS_0.dll" [2011-01-17 175912]
"{95B7759C-8C7F-4BF1-B163-73684A933233}"= "c:\program files\AVG Secure Search\8.0.0.40\AVG Secure Search_toolbar.dll" [2011-11-06 1451336]
.
[HKEY_CLASSES_ROOT\clsid\{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}]
.
[HKEY_CLASSES_ROOT\clsid\{95b7759c-8c7f-4bf1-b163-73684a933233}]
[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj.1]
[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj]
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{FED66DC5-1B74-4A04-8F5C-15C5ACE2B9A5}"= "c:\program files\BS_Player\prxtbBS_0.dll" [2011-01-17 175912]
.
[HKEY_CLASSES_ROOT\clsid\{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-06 39408]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-07-18 451872]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-18 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-18 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-18 455168]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-10-19 177456]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 139264]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-11-20 488752]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-05-08 2176000]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-08-20 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-08-20 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-08-20 137752]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-03-30 937920]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"vProt"="c:\program files\AVG Secure Search\vprot.exe" [2011-11-06 218464]
"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2011-12-03 2415456]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\BitSpirit\\BitSpirit.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgmfapx.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgnsx.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgemcx.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Skupiny sítě Peer-to-Peer
"3540:UDP"= 3540:UDP:Protokol PNRP (Peer Name Resolution Protocol)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 84722564;84722564;c:\windows\system32\drivers\84722564.sys [18. 12. 2011 12:22 133208]
R0 95120711;95120711;c:\windows\system32\drivers\95120711.sys [18. 12. 2011 0:40 133208]
R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [11. 7. 2011 1:14 23120]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [13. 9. 2011 6:30 32592]
R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [7. 10. 2011 6:23 230608]
R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [11. 7. 2011 1:14 295248]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [8. 5. 2009 22:10 142592]
R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [2. 8. 2011 6:09 192776]
R2 vToolbarUpdater;vToolbarUpdater;c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\8.0.1\ToolbarUpdater.exe [6. 11. 2011 20:17 246624]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [5. 2. 2010 19:44 135664]
S3 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [12. 10. 2011 6:25 4433248]
S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [11. 7. 2011 1:14 134608]
S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [11. 7. 2011 1:14 24272]
S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [4. 10. 2011 6:21 16720]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 15:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2011-12-18 c:\windows\Tasks\AVG PC Tuneup 2011 Integrator Start On Alojz Lacko Logon.job
- c:\program files\AVG\AVG PC Tuneup 2011\BoostSpeed.exe [2011-11-06 14:58]
.
2011-12-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 18:43]
.
2011-12-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 18:43]
.
2011-12-18 c:\windows\Tasks\User_Feed_Synchronization-{256B7D12-7213-415A-BFB0-78A3DE2AE28B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.viry.cz/forum/index.php
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Crawler Search - tbr:iemenu
IE: Download Using &BitSpirit - c:\program files\BitSpirit\bsurl.htm
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Send To &Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: ÓñČĚŘľ«ÁéĎÂÔŘ(&B)
Trusted Zone: mojebanka.cz\*
Trusted Zone: mojebanka.cz\*
TCP: DhcpNameServer = 10.0.0.138
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll
Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - c:\program files\Common Files\AVG Secure Search\ViProtocolInstaller\8.0.1\ViProtocol.dll
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - (no file)
AddRemove-TM Tornado Diagram_is1 - c:\documents and settings\Alojz Lacko\Data aplikací\microsoft\addins\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-12-18 19:43
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
Celkový čas: 2011-12-18 19:48:34
ComboFix-quarantined-files.txt 2011-12-18 18:48
.
Před spuštěním: Volných bajtů: 18 047 606 784
Po spuštění: Volných bajtů: 18 001 903 616
.
WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - FF8244B9D796823133537279D3F56160

[vyosek]

Pokud nemate, tak presunte Combofix na plochu

• Spustte poznamkovy blok (Start-spustit-notepad)
• Zkopirujte skript nize

• Kód: Vybrat vše

  KillAll::
  
  File::
  c:\windows\system32\drivers\84722564.sys
  c:\windows\system32\drivers\95120711.sys
  c:\program files\BS_Player\prxtbBS_0.dll
  c:\program files\ConduitEngine\prxConduitEngine.dll
  c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
  c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
  
  Registry::
  [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
  "{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}"=-
  [-HKEY_CLASSES_ROOT\clsid\{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5}]
  [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "swg"=-
  "SpybotSD TeaTimer"=-
  "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "NeroFilterCheck"=-
  "Adobe Reader Speed Launcher"=-
  "Adobe ARM"=-
  "SunJavaUpdateSched"=-
  
  Driver::
  84722564
  95120711
  
  DDS::
  E: ÓñČĚŘľ«ÁéĎÂÔŘ(&B)
  Trusted Zone: mojebanka.cz\*
  Trusted Zone: mojebanka.cz\*
  
  Reboot::

• Ulozte vytvoreny TXT jako CFScript.txt
• Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
  
• Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

[seno]

Zdravim,

nechcel som povodne vstupovat do tejto diskusie resp. do tohto vlakna, kedze sa tu riesia hlavne LOGy a pritomne viry vo vsetkych pocitacoch navstevnika fora AL1212, lenze ma toto vobec nejaky ucel ? to odvirovanie vsetkych PC ?! Urcite ano... viry sa odstrania... fajn... policia uz ma na stole trestne oznamenie na neznameho pachatela... ale co dalej ?! Co ak sa tam tieto viry dostanu zas ? Mozno uz na druhy den ?! Digitalne zakony na Slovensku su strasne zastarale. Policia sice ma pravo na vsetko, ale napr. servery diskusnych internetovych portalov nemaju povinnost ukladat zaznam z pisania sukromnych sprav na dobu 1 roka napriklad. Takze ak prejde nejaka doba, udaje resp. zaznam "rozhovoru" dvoch uzivatelov uz na servery nemusi byt. A nebude tak existovat ziaden priamy dokaz o vyhrazkach.

Problem cislo 1 je vzdy detajlnost opisu problemu. Pre dobre analyzovanie a riesenie celeho problemu je nutne problem od A po Z do podrobna opisat. A k potencialnemu utocnikovy - ci je to profik/hacker alebo looser - to sa da zistit. Su ludia, ktorym netreba ziadne programy tretich stran (virusi, trojany, Spyware, atd.) a do PC sa dostanu resp. k PC a potom vedia co maju spravit, kam kliknut, aby nezanechali stopy a aby vzali z daneho PC to, co potrebuju. A potom su looseri, ktori si stiahnu nejakeho "trojskeho kona", vypnu alebo odinstaluju v PC antivirovy program a nainstaluju do PC "trojskeho kona" a hovoria si "ja som hacker".

Ma tento potencialny zaskodnik, ktory sa vyhrazal aj fyzicky pristup k vsetkym Vasim PC ? Pretoze ak odstranite z vasich PC vsetok podozrivy ba priam uz spionazny software (SpyWare), tak zaskodnik moze k PC znova pribehnut (vydavajuc sa napr. za servisneho technika PC, ci upratovacku, moze podplatit upratovacku aby to tam nainstalovala, hehe) a znova tam nainstalovat nejaky ten "trojan" resp. program typu KeyLogger-u, teda program ktory dokaze vykonavat mnoho spionaznych funkcii, tieto programy sa dnes vytavaraju ako takpovediac univerzalne na vsetko - na zaznamenanie a odosielanie stlacenych tlacitiek na vasej klavesnici, zaznamenavanie screenshotov obrazovky podla nastavenych pravidiel, zaznamenavanie navstivenych webstranok, a mnohe dalsie fukncie). A ak by nainstalovany AntiVirovy system na konkretnom PC hlasil pritomnost virusov, tak zaskodnik moze pridat do vynimiek antiviru tieto programy/virusi a antivir tak vyluci zo svojej kontroly vsetky pridane.

Ak zaskodnik ma pristup k PC jedine skrz internet takpovediac "na dialku" alebo najcastejsie cez "emailove spravy", ktore si uz otvori kazdy uzivatel pracujuci na niektorom z Vasich PC osobitne a nasledne potom moze trebars kliknut na prijmanu prilohu v emailovej sprave, ktora odstartuje nejaky nechraneny proces (nekontrolovany antivirom) a nainstaluje sa Vam odznova do PC nejaky ten trojan ci KeyLogger... a to bude zle. Dalsim typom utokov na dialku (cez pocitacove siete) je vyhladavanie chyb serverov a routrov v ramci vasej lokalnej sieti LAN. Ak zaskodnik vie napr. ze pouzivate ku prikladu router ASUS WL-500g a vie ze tam je nahrany firmware napr. na baze Unixu s urcitou verziou a s urcitymi chybami, tak vie prejst aj cez tento router (server) aj do vasej lokalnej pocitacovej siete. Dalej musi vediet ake ma chyby dalsi stroj v sieti - WIN XP ci iny op.system alebo ci na niektorom z Vasich PC je este stale nainstalovany trojsky kon, na ktory by sa mohol dalej aj "na dialku" pripojit.

Inymi slovami ak ma zaskodnik vysoke IQ, bohate skusenosti s PC, ak si da namahu tak skodu napacha raz-dva. Staci ak napr. zisti taku blbost ako, ze si v praci (o ake pocitace sa vobec jedna ? ide o internetovu kaviaren ? banka ? sukromnu firmu s vlastnou podnikovou pocitac. sietou ?) pozerate Facebook, tak umiestni na Vasu stranku na Vas Facebook nejaky vhodny klamny odkaz, na ktory budete ochotne klikat a ktory Vam zase do PC moze nieco nainstalovat a ani o tom nebudete vediet.

Odporucal by som kvalitny antvirovy program do vsetkych Vasich PC, zakupit si napr. ESET Antivirus licencie (iba anvitirovy program) alebo ESET SmartSecurity licencie (so vstavanym sietovym firewallom) alebo dat na kazde PC aspon antivir zdarma (Avira, AVAST) a k tomu nejaky osobny firewall zdarma (napr. velmi dobry je COMODO Firewall, ktory je sice zdarma no niesom si isty, ci aj do komercneho vyuzivania).

Odporucam zaplatit si dobreho a skuseneho IT-ckara na pravidelnu kontrolu a spravovanie vasich PC a vasej (podnikovej ci firemnej) LAN siete a budete mat po problemoch. Ovsem... musi ist o predantneho a poctiveho cloveka, ktory prekontroluje vsetky PC aspon raz za tyzden na nejaku haved v PC. Ak je troska zdatnejsi, tak dokaze dokonca za pomoci firewallu v PC alebo na lepsiom servery/routeri vystopovat potencialneho utocnika/zaskodnika. Dokaze zistit aspon jeho IP a nasledne vdaka nej aspon pribliznu lokaciu utocnika. Je tam toho strasne vela a ked sa clovek do tychto veci nevyzna, tak sa proste "utokom" alebo aj "unikom dat" neubrani. Co ak ma uz davno napr. tento potencialny zaskodnik Vase hesla k Vasim emailovym uctom vdaka KeyLoggeru ? Napriklad existuju mnohe laicky nazvane "univerzalne KeyLoggery", ktore uz ani mnohe antivirove programy nezdetekuju nakolko sa jedna akoze o legalne programy, riadne zakupene v obchode so softwarom a teda ziaden anvitir ich nedetekuje a nehlasi ako zaskodnicke. Kludne Vam moze prist (alebo vasim kolegom pri inych PC) nejaky novy Email, kde bude vlozena nejaka priloha so slovami, ze ak to nainstalujete, budete mat zadarmo 100 eur ci ina kravina (napadov, jak donutit citatela Emailovej spravy spustit si a nainstalovat program v Emailovej prilohe je neskutocne mnoho !). Vobec tento vir ktory nainstalujete nemusi anvitirovy program detekovat ! Taktiez napadov jak do PC nieco nainstalovat "na dialku" je velmi mnoho a ak sa do toho nevyznate alebo nedavate si pozor vy a dalsi ludia pracujuci na konkretnych PC... tak zial bohu... hm...

Prajem vela stastia a dufam ze som aspon trochu poradil. A ak nie, tak moje ICQ je 131 454 830. Popularne Skype zial nepouzivam, je to virus a legalny spionazny program jak svina pouzivanim Skype dokonca suhlasite s licencnou zmluvou kde toto "spehovanie hlasu" je povolene. Nuz a Facebook detto - nepouzivam, je velmi nebezpecny co do sukromia !

P.S.
poslal by som to v sukromnej sprave, ale jedna sa bohuzial len o navstevnika fora, takze neni kam poslat sukromnu spravu alebo aspon emailovu spravu s obsahom mojho prispevku .-) takze sorry za dlhy prispevok

[vyosek]

Zdravim seno,

dekuji za obsahly, ale uzitecny post Ma to neco do sebe, zatim jsme zadny programy co by mohl slouzit k ovladani PC na dalku nenasli, takze tam, muze byt moznost jak pisete, ale toto je i pro nas docela velke sousto...

[seno]

mno... moj prispevok je vlastne reakcia na dotaz uplne hore, na zaciatku tohto vlakna reakcia na bezpecnost v internete a na vyhrazky nejakeho niekoho... skoda, ze napr. neni uvedene viac informacii v dotaze, napr. ze co konkretne zaslal potencialny zaskodnik v emailovej sprave

ved napr. jestvuje skript, ktory si otvorite z nejakej web stranky (HTML kod v Emailovej sprave - ak neni zakazany vzdialeny obsah - pre otvaranie web stranok cez IFRAME HTML kod a podobne) a ukaze sa vam obsah vaseho vlastneho lokalneho disku a v tej chvili si nie jeden amater pomysli - jezisi, ved on ma na internetovej stranke obsah mojeho vlastneho hard disku, hehe, pricom sa jedna len o spusteny skript pre browsovanie obsahom lokalneho hard disku a nema to vobec nic spolocne s internetom, jedna sa len o lokalny skript

a pritomnost nejakeho univerzalneho "keyloggera" jak tomu amateri nadavaju, tak ten som si asi poplietol z ineho vlakna, SORRY nejakemu inemu navstevnikovy tohoto fora prave vdaka kontrole LOG-u chlapi objavili prave tento druh havedi, dokonca s uz vytvorenymi screenshotmi (podla LOG-u boli prave tieto screenshoty nejakym nastrojom na odstranovanie havedi chvala bohu uz ako "deleted")

[AL1212]

Seno, dobrý deň, odpoviem len v rýchlosti na hlavné pointy:
Zmieňoval som, že sa jedná o počítače na domáce využitie, žiadny rodinný podnik na nich nebeží.
Sú chránené legálnym antivirom a antispywarom, žiadny z inštalovaných programov hrozbu nezachytil.
Útočník nemá fyzický prístup k zmieneným počítačom, nedokážem však vylúčiť ich infikovanie na diaľku. Pokiaľ vyosek usúdi, že potrebuje v rámci nezištnej pomoci, ktorú mi poskytuje, nejaké konkrétnejšie info k hrozbám, ktoré som obdržal, prípadne indície, ktoré ma viedli k záveru, že hrozba bola realizovaná, tak to radcovi rád poskytnem. V tejto oblasti som amatér a oceňujem pomoc, ktorú mi je niekto ochotný poskytnúť. Sám radím na iných fórach v otázkach MS excel a VBA a nesnažím sa pri tom mentorovať. Riadim sa heslom, kto veľa dáva, obvykle i veľa dostane. V otázke počítačovej bezpečnosti sa nechám poučiť a viesť niekým skúsenejším. Som rád za existenciu tohoto fóra a prítomnosť radcov na ňom.
S pozdravom
AL

[vyosek]

Jak jsem psal, zadne keylogery ci programy na ovladani na dalku jsem nenasel.

Jeste aplikujte ten skript pro ComboFix jak jsem psal vyse...

[AL1212]

vyosek, to zrealizujem, po návrate domov. Otázkou zostáva to druhé PC, ale tam najskôr urobím nejaký poriadok v súboroch (je tam v túto chvíľu spústa balastu a zistil som, že v takom stave ani nemám dostatočnú HW kapacitu na vytvorenie zálohy), aby tie scany bežali nejak rýchlejšie. Zatiaľ ďakujem a večer snáď pošlem ten log.

[vyosek]

Jasny, v pohode...

[AL1212]

Dobrý večer, prikladám žiadaný log:

ComboFix 11-12-17.05 - Alojz Lacko . 12. 2011 20:25:44.2.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.1.1029.18.2039.1218 [GMT 1:00]
Spuštěný z: c:\documents and settings\Alojz Lacko\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Alojz Lacko\Plocha\CFScript.txt
AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
FILE ::
"c:\program files\BS_Player\prxtbBS_0.dll"
"c:\program files\ConduitEngine\prxConduitEngine.dll"
"c:\windows\system32\drivers\84722564.sys"
"c:\windows\system32\drivers\95120711.sys"
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\BS_Player\prxtbBS_0.dll
c:\program files\ConduitEngine\prxConduitEngine.dll
c:\windows\system32\drivers\84722564.sys
c:\windows\system32\drivers\95120711.sys
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
.
Nakažená kopie c:\windows\system32\kernel32.dll byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\ERDNT\cache\kernel32.dll
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_84722564
-------\Legacy_95120711
-------\Service_84722564
-------\Service_95120711
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-11-19 do 2011-12-19 )))))))))))))))))))))))))))))))
.
.
2011-12-18 22:20 . 2011-06-21 10:24 32768 ----a-w- c:\windows\system32\drivers\sp_rsdrv2.sys
2011-12-18 22:20 . 2011-12-19 19:09 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Spyware Terminator
2011-12-18 22:20 . 2011-12-18 22:20 -------- d-----w- c:\documents and settings\Alojz Lacko\Data aplikací\Spyware Terminator
2011-12-18 22:20 . 2011-12-18 22:20 -------- d-----w- c:\program files\Spyware Terminator
2011-12-17 23:32 . 2011-12-17 23:33 -------- d-----w- c:\windows\system32\NtmsData
2011-12-17 22:56 . 2011-12-17 22:56 -------- d-----w- c:\program files\CleanUp!
2011-12-17 17:31 . 2011-12-17 17:32 -------- d-----w- c:\program files\trend micro
2011-12-17 17:31 . 2011-12-17 17:32 -------- d-----w- C:\rsit
2011-12-16 22:52 . 2011-12-16 22:52 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Adobe
2011-12-16 22:50 . 2011-12-16 22:50 -------- d-----w- c:\documents and settings\Administrator\Data aplikací\AVG2012
2011-12-16 22:50 . 2011-12-16 22:50 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Identities
2011-12-16 22:50 . 2011-12-16 22:50 -------- d-----w- c:\documents and settings\Administrator\Local Settings\Data aplikací\Ahead
2011-12-16 22:50 . 2011-12-16 23:03 -------- d-----w- c:\documents and settings\Administrator\Data aplikací\Spyware Terminator
2011-12-16 22:49 . 2011-12-16 22:49 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2011-12-11 20:55 . 2011-12-11 20:55 -------- d-----w- c:\windows\system32\wbem\Repository
2011-12-10 14:48 . 2011-12-10 14:48 -------- d-----w- c:\documents and settings\Alojz Lacko\Local Settings\Data aplikací\Nokia
2011-12-10 14:47 . 2011-12-10 14:47 -------- d-----w- c:\documents and settings\All Users\Data aplikací\PC Suite
2011-12-10 14:47 . 2011-12-10 15:18 -------- d-----w- c:\documents and settings\Alojz Lacko\Data aplikací\PC Suite
2011-12-10 14:44 . 2011-12-11 20:54 -------- d-----w- c:\program files\Common Files\Nokia
2011-12-10 14:44 . 2011-12-11 20:54 -------- d-----w- c:\program files\PC Connectivity Solution
2011-12-10 14:42 . 2011-12-11 20:54 -------- d-----w- c:\program files\Nokia
2011-12-10 14:42 . 2011-12-10 14:42 -------- d-----w- c:\documents and settings\All Users\Data aplikací\NokiaInstallerCache
2011-12-02 15:29 . 2011-12-02 15:29 -------- d-----w- c:\windows\system32\config\systemprofile\IETldCache
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-23 14:40 . 2004-08-18 12:00 1859584 ----a-w- c:\windows\system32\win32k.sys
2011-11-16 09:02 . 2011-05-14 15:25 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2011-11-04 19:13 . 2004-08-18 12:00 916992 ----a-w- c:\windows\system32\wininet.dll
2011-11-04 19:13 . 2004-08-18 12:00 43520 ------w- c:\windows\system32\licmgr10.dll
2011-11-04 19:13 . 2004-08-18 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2011-11-04 11:23 . 2004-08-18 12:00 385024 ------w- c:\windows\system32\html.iec
2011-11-01 16:07 . 2004-08-18 12:00 1288192 ----a-w- c:\windows\system32\ole32.dll
2011-10-28 05:32 . 2004-08-18 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
2011-10-26 10:49 . 2004-08-18 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-10-26 10:49 . 2004-08-17 15:45 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-10-18 11:13 . 2004-08-18 12:00 186880 ----a-w- c:\windows\system32\encdec.dll
2011-10-10 14:22 . 2009-05-06 11:30 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-10-07 05:23 . 2011-10-07 05:23 230608 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2011-10-04 05:21 . 2011-10-04 05:21 16720 ----a-w- c:\windows\system32\drivers\AVGIDSShim.sys
2011-10-03 04:06 . 2010-08-27 20:35 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-10-03 01:37 . 2009-09-07 19:56 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-09-28 07:06 . 2004-08-18 12:00 602112 ----a-w- c:\windows\system32\crypt32.dll
2011-09-26 09:41 . 2011-09-26 09:41 613376 ------w- c:\windows\system32\uiautomationcore.dll
2011-09-26 09:41 . 2004-08-18 12:00 22528 ----a-w- c:\windows\system32\oleaccrc.dll
2011-09-26 09:41 . 2004-08-18 12:00 220160 ----a-w- c:\windows\system32\oleacc.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-12-18_18.43.22 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-12-19 19:30 . 2011-12-19 19:30 16384 c:\windows\temp\Perflib_Perfdata_3c0.dat
+ 2011-12-19 19:30 . 2011-12-19 19:30 16384 c:\windows\temp\Perflib_Perfdata_188.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}]
2011-11-06 19:16 1451336 ----a-w- c:\program files\AVG Secure Search\8.0.0.40\AVG Secure Search_toolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{95B7759C-8C7F-4BF1-B163-73684A933233}"= "c:\program files\AVG Secure Search\8.0.0.40\AVG Secure Search_toolbar.dll" [2011-11-06 1451336]
.
[HKEY_CLASSES_ROOT\clsid\{95b7759c-8c7f-4bf1-b163-73684a933233}]
[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj.1]
[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-07-18 451872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-18 208952]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-18 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-18 455168]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-10-19 177456]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2005-10-12 139264]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-11-20 488752]
"SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-08-20 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-08-20 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-08-20 137752]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]
"EPSON Stylus Photo RX420 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 98304]
"vProt"="c:\program files\AVG Secure Search\vprot.exe" [2011-11-06 218464]
"AVG_TRAY"="c:\program files\AVG\AVG2012\avgtray.exe" [2011-12-03 2415456]
"SpywareTerminatorShield"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2011-11-22 2779824]
"SpywareTerminatorUpdater"="c:\program files\Spyware Terminator\SpywareTerminatorUpdate.exe" [2011-11-22 3621040]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~1\AVG\AVG2012\avgrsx.exe /sync /restart
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\BitSpirit\\BitSpirit.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgmfapx.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgnsx.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgdiagex.exe"=
"c:\\Program Files\\AVG\\AVG2012\\avgemcx.exe"=
"c:\\Program Files\\Spyware Terminator\\SpywareTerminator.exe"=
"c:\\Program Files\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Skupiny sítě Peer-to-Peer
"3540:UDP"= 3540:UDP:Protokol PNRP (Peer Name Resolution Protocol)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [11. 7. 2011 1:14 23120]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [13. 9. 2011 6:30 32592]
R1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [7. 10. 2011 6:23 230608]
R1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [11. 7. 2011 1:14 295248]
R1 sp_rsdrv2;Spyware Terminator 2012 Realtime Shield Driver;c:\windows\system32\drivers\sp_rsdrv2.sys [18. 12. 2011 23:20 32768]
R2 avgwd;AVG WatchDog;c:\program files\AVG\AVG2012\avgwdsvc.exe [2. 8. 2011 6:09 192776]
R2 ST2012_Svc;Spyware Terminator 2012 Realtime Shield Service;c:\program files\Spyware Terminator\st_rsser.exe [18. 12. 2011 23:20 482992]
R2 vToolbarUpdater;vToolbarUpdater;c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\8.0.1\ToolbarUpdater.exe [6. 11. 2011 20:17 246624]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [5. 2. 2010 19:44 135664]
S3 AVGIDSAgent;AVGIDSAgent;c:\program files\AVG\AVG2012\AVGIDSAgent.exe [12. 10. 2011 6:25 4433248]
S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [11. 7. 2011 1:14 134608]
S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [11. 7. 2011 1:14 24272]
S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [4. 10. 2011 6:21 16720]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-07-18 15:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2011-12-19 c:\windows\Tasks\AVG PC Tuneup 2011 Integrator Start On Alojz Lacko Logon.job
- c:\program files\AVG\AVG PC Tuneup 2011\BoostSpeed.exe [2011-11-06 14:58]
.
2011-12-19 c:\windows\Tasks\User_Feed_Synchronization-{256B7D12-7213-415A-BFB0-78A3DE2AE28B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.viry.cz/forum/index.php
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Crawler Search - tbr:iemenu
IE: Download Using &BitSpirit - c:\program files\BitSpirit\bsurl.htm
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: Send To &Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: ÓñČĚŘľ«ÁéĎÂÔŘ(&B)
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll
Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - c:\program files\Common Files\AVG Secure Search\ViProtocolInstaller\8.0.1\ViProtocol.dll
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
BHO-{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - (no file)
Toolbar-{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} - (no file)
WebBrowser-{FED66DC5-1B74-4A04-8F5C-15C5ACE2B9A5} - (no file)
WebBrowser-{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-12-19 20:31
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(3736)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\program files\ArcSoft\PhotoImpression 5\share\pihook.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\progra~1\AVG\AVG2012\avgrsx.exe
c:\program files\AVG\AVG2012\avgcsrvx.exe
c:\windows\system32\agrsmsvc.exe
c:\program files\Intel\Intel Matrix Storage Manager\iaantmon.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\AVG\AVG2012\avgnsx.exe
c:\windows\system32\tcpsvcs.exe
c:\program files\AVG\AVG2012\avgemcx.exe
c:\windows\System32\snmp.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Synaptics\SynTP\SynTPEnh.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
.
**************************************************************************
.
Celkový čas: 2011-12-19 20:35:09 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-12-19 19:35
ComboFix2.txt 2011-12-18 18:48
.
Před spuštěním: Volných bajtů: 20 415 778 816
Po spuštění: Volných bajtů: 20 309 602 304
.
- - End Of File - - C0188A836F4BB460032F7092FD6676AF

[vyosek]

Tyhle povolene porty v komunikaci znate

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Skupiny sítě Peer-to-Peer
"3540:UDP"= 3540:UDP:Protokol PNRP (Peer Name Resolution Protocol)