autochk.exe infikovan

[Dejv]

Dolbrý den, prosím o pomoc, sestře se něco vetřelo do notebooku. Combofix hlasí , že je infikován autochk.exe a pokud ho vyměním z instalačky win, tak po dalším spuštění je zase napaden.

ComboFix 12-04-20.02 - Nikola 20.04.2012 11:39:14.1.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3037.2370 [GMT 2:00]
Spuštěný z: c:\documents and settings\Nikola\Plocha\ComboFix.exe
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Nikola\Recent\cid.exe
c:\documents and settings\Nikola\Recent\CLSV.sys
c:\documents and settings\Nikola\Recent\ddv.tmp
c:\documents and settings\Nikola\Recent\delfile.exe
c:\documents and settings\Nikola\Recent\eb.dll
c:\documents and settings\Nikola\Recent\eb.drv
c:\documents and settings\Nikola\Recent\energy.drv
c:\documents and settings\Nikola\Recent\energy.tmp
c:\documents and settings\Nikola\Recent\exec.drv
c:\documents and settings\Nikola\Recent\exec.sys
c:\documents and settings\Nikola\Recent\exec.tmp
c:\documents and settings\Nikola\Recent\fan.dll
c:\documents and settings\Nikola\Recent\fan.sys
c:\documents and settings\Nikola\Recent\fix.sys
c:\documents and settings\Nikola\Recent\gid.drv
c:\documents and settings\Nikola\Recent\PE.exe
c:\documents and settings\Nikola\Recent\ppal.dll
c:\documents and settings\Nikola\Recent\runddl.sys
c:\documents and settings\Nikola\Recent\runddlkey.exe
c:\documents and settings\Nikola\Recent\sld.tmp
c:\documents and settings\Nikola\Recent\SM.tmp
c:\documents and settings\Nikola\Recent\tjd.dll
c:\documents and settings\Nikola\Recent\tjd.tmp
c:\windows\msmqinst.log
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system32\_000007_.tmp.dll
c:\windows\system32\AutoRun.inf
c:\windows\system32\ctrestrt.exe
c:\windows\system32\SET54.tmp
c:\windows\system32\SET5A.tmp
c:\windows\system32\SET5B.tmp
c:\windows\system32\SET5C.tmp
c:\windows\system32\SET60.tmp
c:\windows\system32\SET61.tmp
c:\windows\system32\SET62.tmp
c:\windows\system32\SET66.tmp
c:\windows\system32\SET68.tmp
.
c:\windows\system32\autochk.exe . . . je infikován!!
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-03-20 do 2012-04-20 )))))))))))))))))))))))))))))))
.
.
2012-04-20 09:29 . 2012-04-20 09:29 -------- d-----w- c:\windows\LastGood
2012-04-19 20:59 . 2012-04-20 09:26 17408 ----a-w- c:\windows\system32\rpcnetp.dll
2012-04-19 20:58 . 2012-04-20 09:25 17408 ----a-w- c:\windows\system32\rpcnetp.exe
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-10 10:25 . 2010-08-10 07:32 44544 ----a-w- c:\windows\system32\agremove.exe
2012-03-01 10:59 . 2008-04-14 06:52 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-03-01 10:59 . 2008-04-14 06:51 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-02-29 14:10 . 2008-04-14 06:51 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-14 05:50 385024 ----a-w- c:\windows\system32\html.iec
2012-02-03 09:57 . 2008-04-14 05:45 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-03-18 18:59 . 2012-02-20 14:55 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-12-03 149280]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-26 142360]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-26 141336]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-26 173592]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-03-23 33599488]
"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-03-30 418816]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]
"AmIcoSinglun"="c:\program files\AmIcoSingLun\AmIcoSinglun.exe" [2009-04-02 237568]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-09-07 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-3-23 603488]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ7.2\\ICQ.exe"=
"c:\\Program Files\\ICQ7.2\\aolload.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [18.12.2010 16:47 136360]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [11.10.2010 16:12 246520]
R3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\drivers\ETD.sys [2.12.2009 22:47 129024]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2.12.2009 22:35 1057280]
S0 eemnp;eemnp;c:\windows\system32\drivers\gotcrao.sys --> c:\windows\system32\drivers\gotcrao.sys [?]
S2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S3 ASUSProcObsrv;ASUS Process Creation/Termination Observer;\??\d:\i386\AsProcOb.sys --> d:\i386\AsProcOb.sys [?]
S3 CRFILTER;USB Mass Storage Filter;c:\windows\system32\drivers\CRFILTER.sys [7.4.2008 8:00 6656]
S3 gupdatem;Služba Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe /medsvc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
SUnknown rpcnetp;rpcnetp; [x]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uInternet Settings,ProxyServer = http=127.0.0.1:25496
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Odeslat do zařízení &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Odeslat do zařízení Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Nikola\Data aplikací\Mozilla\Firefox\Profiles\u0f19qwt.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 25496
FF - prefs.js: network.proxy.type - 0
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-04-20 11:44
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
.
c:\windows\system32\autochk(3).exe:BAK 22528 bytes executable
c:\windows\system32\autochk(5).exe:BAK 22528 bytes executable
c:\windows\system32\autochk(7).exe:BAK 22528 bytes executable
.
sken byl úspešně dokončen
skryté soubory: 3
.
**************************************************************************
.
Celkový čas: 2012-04-20 11:45:45
ComboFix-quarantined-files.txt 2012-04-20 09:45
.
Před spuštěním: 1 206 616 064
Po spuštění: Volných bajtů: 41 486 716 928
.
- - End Of File - - D8E23B4C0E3480FD456044D0C6D18A04

[Dejv]

Jméno souboru : autochk.exe
Velikost souboru : 601088 byte
Typ souboru : PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5 : 366c106c3b8d07af3c925d89062c43f4
SHA1 : cf2dd54f025aadaa910b902e9835b4be4e82dff7

Výsledek
Výsledek : 17% scannerů (6/36) nelezlo malware!
Čas : 2012/04/20 15:05:50 (CEST)
AV program Verze jádra Databáze Datum databáze Výsledek testu Čas
a-squared 5.1.0.4 20120420140134 2012-04-20
-
0.341
AhnLab V3 2012.03.26.00 2012.03.26 2012-03-26
-
2.439
AntiVir 8.2.10.24 7.11.25.222 2012-03-22
-
0.180
Antiy 2.0.18 2.0.18. 0002-18-00
-
0.180
Arcavir 2011 201204161059 2012-04-16
-
4.094
Authentium 5.1.1 201204192207 2012-04-19
W32/Heuristic-400!Eldorado (Heuristic)
3.348
AVAST! 4.7.4 120420-0 2012-04-20
-
0.280
AVG 12.0.1782 2409/4948 2012-04-20
-
0.304
BitDefender 7.90123.7079826 7.41977 2012-04-20
-
3.938
ClamAV 0.97.3 14822 2012-04-20
-
0.189
Comodo 5.1 12112 2012-04-20
-
2.432
CP Secure 1.3.0.5 2012.04.20 2012-04-20
-
0.260
Dr.Web 7.0.1.2210 2012.04.12 2012-04-12
-
12.751
F-Prot 4.6.2.117 20120420 2012-04-20
Possible W32/Heuristic-400!Eldorado (dropper, not disinfectable)
0.852
F-Secure 7.02.73807 2012.02.07.03 2012-02-07
-
0.239
Fortinet 4.3.392 15.443 2012-04-19
-
0.220
GData 22.4688 20120420 2012-04-20
-
5.263
ViRobot 20120420 2012.04.20 2012-04-20
-
0.413
Ikarus T3.1.32.20.0 2012.04.20.80990 2012-04-20
-
5.389
JiangMin 13.0.900 2012.04.20 2012-04-20
-
2.209
Kaspersky 5.5.10 2012.04.20 2012-04-20
-
0.290
KingSoft 2009.2.5.15 2012.4.20.14 2012-04-20
Win32.Troj.KyRootkitT.xm.642560
1.797
McAfee 5400.1158 6686 2012-04-19
-
9.552
Microsoft 1.8304 2012.04.20 2012-04-20
-
3.407
NOD32 3.0.21 7063 2012-04-17
-
0.166
Panda 9.05.01 2012.04.19 2012-04-19
-
2.509
Trend Micro 9.500-1005 8.926.03 2012-04-20
-
0.200
Quick Heal 11.00 2012.04.20 2012-04-20
-
1.177
Rising 20.0 24.06.04.01 2012-04-20
RootKit.Win32.Agent.fky
2.945
Sophos 3.30.0 4.76 2012-04-20
-
4.876
Sunbelt 3.9.2533.2 11816 2012-04-19
-
1.453
Symantec 1.3.0.24 20120419.002 2012-04-19
-
0.503
nProtect 20120419.01 11144756 2012-04-19
-
1.474
The Hacker 6.7.0.1 v00449 2012-04-19
Trojan/Agent.tkd
0.573
VBA32 3.12.16.4 20120419.1327 2012-04-19
-
4.056
VirusBuster 5.5.0.2 14.2.36.0/8405841 2012-04-20
Trojan.Agent!JsrPbG2LbKU
0.177

[vyosek]

Zdravim a pekny den preji

vy umite pracovat s ComboFixem - aplikovat, precist log a nasledne napsat docistovaci skript

Nebezpeci CFka

• Je urcen primarne pro radce - jeho svevolnym pouzitim ztracite narok na podporu
• Maze stopy po haveti, takze v logu z RSIT neni nic videt
• Jeho log je treba dolustit, jelikoz neumi smazat vse - to ovsem tezko zvladnete pokud k tomu nejste vyskolen
• CF muze mit bug = sunda Vam system, pokud nevite kam co uklada, jak co obnovit, mate system v kytkam a ceka Vas reinstal
• CF taky bohuzel prozatim nekontroluje nektere dulezite knihovny (napr. hal.dll) - ty treba mazou nektere typy haveti (napr. angela) - smaze Vam po restartu hal.dll = nenajede Vam system a jste o radek vyse = reinstal

Jesltli jste se snazil o cisteni logu, tak ne moc dokonale, pac tam toho spoooousty je

[Dejv]

No popravdě se pomocí google o to snažím a rád bych se to naučil. Combofix jsem zatím použil párkrát a vždy mi pomohl, ale zatím to zvládám jen z toho co čtu a proto tam asi zůstalo hodně potvor. S tímhle si asi neporadím , tak bych potřeboval zkušenější pomoc

[vyosek]

CF ma sirokou nastavbu v podobe tvorby skriptu, ale k jeho navodu se jen tak nedostanete, pokud nejste clenem ASAP ci fora, ktere je jeho clenem. Navod je tajemstvim radcu a je jen v internich sekcich a je velmi hlidan. I proto, ze je to velmi silny nastroj. A naucit se plnne vyuzivat CF a jeho schopnosti, to je na velmi dlouho, dale to chce pristup i do internich sekci na jinych zahr. forech (treba TSF ci BC) kde pusobi sUBs a je tam CF vyvivej. Proto doporucuji CF pouzivat jen na pokyn nekoho, kdo s nim umi, nebo skoncite jak jsem psal o post vyse. Obcas ma CF fakt bug - treba jednou mazal celou slozku Program Files nebo system32

Stahnete si instalacku Recovery Konzole odsud http://vyosek.ic.cz/pro_usery/rc.exe a ulozte ji primo na disk c:\ tak at neni v zadne slozce - je to nutne, pac na ni odkazuje skript

Pokud nemate, tak presunte Combofix na plochu

• Spustte poznamkovy blok (Start-spustit-notepad)
• Zkopirujte skript nize

• Kód: Vybrat vše

  KillAll::
  
  RecoveryConsole::
  c:\rc.exe
  
  Collect::
  c:\windows\system32\drivers\gotcrao.sys
  
  Restore::
  c:\windows\system32\autochk.exe
  
  Folder::
  c:\program files\ICQ6Toolbar
  
  Registry::
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "SunJavaUpdateSched"=-
  "HP Software Update"=-
  "Adobe Reader Speed Launcher"=-
  "Adobe ARM"=-
  
  Driver::
  eemnp
  gupdate
  gupdatem
  rpcnetp
  ICQ Service
  
  DDS::
  uInternet Settings,ProxyServer = http=127.0.0.1:25496
  
  Firefox::
  FF - ProfilePath - c:\documents and settings\Nikola\Data aplikací\Mozilla\Firefox\Profiles\u0f19qwt.default\
  FF - prefs.js: network.proxy.http - 127.0.0.1
  FF - prefs.js: network.proxy.http_port - 25496
  FF - prefs.js: network.proxy.type - 0
  
  ADS::
  c:\windows\system32\autochk(3).exe
  c:\windows\system32\autochk(5).exe
  c:\windows\system32\autochk(7).exe
  
  ClearJavaCache::
  
  AtJob::
  
  Reboot::

• Ulozte vytvoreny TXT jako CFScript.txt
• Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
  
• Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

[Dejv]

Tak to jsem netušil s těma bugama, ale já asi měl to parkrát štěstí, že jsem nestáhl CF s bugem, no raději ho nebudu moc pokoušet:)

Jdu na to za MOMEN JE TU LOG:

[vyosek]

Ono jsou treba vydany i tri verze CF za den, kdyz je bug vcas nahlasen a je opraven...A jak jsem zminil, spravne nemate mit ani podporu pokud si jej aplikujete jen tak sam...Navic sam vidite, ze pouhym spustenim se nevyresi vse, jelikoz CF maze jen to, co ma v databazi - a ta se dal na zaklade podkladu od nas od radcu...

[Dejv]

Hmm, to jsem netušil s tím CF.

ComboFix 12-04-20.02 - Nikola 20.04.2012 15:37:03.2.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3037.2494 [GMT 2:00]
Spuštěný z: c:\documents and settings\Nikola\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Nikola\Plocha\CFScript.txt
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\ICQ6Toolbar
c:\program files\ICQ6Toolbar\config.xml
c:\program files\ICQ6Toolbar\Icons.bmp
c:\program files\ICQ6Toolbar\ICQ Service.exe
c:\program files\ICQ6Toolbar\icq6Toolbar.ico
c:\program files\ICQ6Toolbar\ICQToolBar.dll
c:\program files\ICQ6Toolbar\ICQUnToolbar.exe
c:\program files\ICQ6Toolbar\logo_small.gif
c:\program files\ICQ6Toolbar\ServiceStarter.exe
c:\program files\ICQ6Toolbar\short.wav
c:\program files\ICQ6Toolbar\Version.txt
.
Nakažená kopie c:\windows\system32\autochk.exe byla nalezena a vyléčena.
Obnovena kopie z - c:\system volume information\_restore{0F4691C7-66BE-42B9-B4A6-58A813DC4697}\RP755\A0172583.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_GUPDATE
-------\Legacy_ICQ_SERVICE
-------\Service_eemnp
-------\Service_gupdate
-------\Service_gupdatem
-------\Service_ICQ Service
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-03-20 do 2012-04-20 )))))))))))))))))))))))))))))))
.
.
2012-04-20 13:42 . 2012-04-20 13:42 17408 ----a-w- c:\windows\system32\rpcnetp.dll
2012-04-20 13:41 . 2012-04-20 13:41 17408 ----a-w- c:\windows\system32\rpcnetp.exe
2012-04-20 13:29 . 2012-04-20 13:29 4631272 ----a-w- C:\rc.exe
2012-04-20 11:47 . 2012-04-20 11:47 -------- d-----w- c:\program files\Common Files\Java
2012-04-20 11:47 . 2012-04-20 11:47 476904 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
2012-04-20 11:47 . 2012-04-20 11:47 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-04-20 11:47 . 2012-04-20 11:47 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-04-20 11:47 . 2012-04-20 11:47 -------- d-----w- c:\program files\Java
2012-04-20 10:42 . 2012-04-20 11:26 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-03-26 15:41 . 2012-03-26 15:41 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-20 12:48 . 2010-08-10 07:32 44544 ----a-w- c:\windows\system32\agremove.exe
2012-04-20 11:57 . 2010-12-17 17:42 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-04-20 11:26 . 2011-05-21 05:03 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-04 13:56 . 2010-12-17 17:42 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-01 10:59 . 2008-04-14 06:52 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-03-01 10:59 . 2008-04-14 06:51 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-02-29 14:10 . 2008-04-14 06:51 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-14 05:50 385024 ----a-w- c:\windows\system32\html.iec
2012-02-03 09:57 . 2008-04-14 05:45 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-03-18 18:59 . 2012-02-20 14:55 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2012-04-20_09.44.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-04-20 13:44 . 2012-04-20 13:44 32768 c:\windows\temp\Temporary Internet Files\Content.IE5\index.dat
+ 2012-04-20 13:42 . 2012-04-20 13:42 16384 c:\windows\temp\Perflib_Perfdata_f0.dat
+ 2012-04-20 13:44 . 2012-04-20 13:44 16384 c:\windows\temp\History\History.IE5\index.dat
+ 2012-04-20 13:44 . 2012-04-20 13:44 16384 c:\windows\temp\Cookies\index.dat
+ 2001-10-25 12:00 . 2012-04-20 11:46 82038 c:\windows\system32\perfc009.dat
- 2001-10-25 12:00 . 2012-04-02 11:26 82038 c:\windows\system32\perfc009.dat
+ 2001-10-25 12:00 . 2012-04-20 11:46 95622 c:\windows\system32\perfc005.dat
- 2001-10-25 12:00 . 2012-04-02 11:26 95622 c:\windows\system32\perfc005.dat
+ 2012-01-03 07:45 . 2012-01-03 07:45 16832 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\ViewerPS.dll
+ 2012-01-03 20:51 . 2012-01-03 20:51 37296 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\reader_sl.exe
+ 2012-01-03 07:44 . 2012-01-03 07:44 79280 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\PDFPrevHndlr.dll
+ 2012-01-03 20:15 . 2012-01-03 20:15 99776 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\eula.exe
+ 2012-01-03 19:52 . 2012-01-03 19:52 27048 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\acrotextextractor.exe
+ 2012-01-03 06:19 . 2012-01-03 06:19 16824 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroRd32Info.exe
+ 2012-01-03 06:16 . 2012-01-03 06:16 75200 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\acroiehelpershim.dll
+ 2012-01-03 06:16 . 2012-01-03 06:16 61888 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroIEHelper.dll
+ 2001-10-25 12:00 . 2012-04-20 11:46 464954 c:\windows\system32\perfh009.dat
- 2001-10-25 12:00 . 2012-04-02 11:26 464954 c:\windows\system32\perfh009.dat
+ 2001-10-25 12:00 . 2012-04-20 11:46 460294 c:\windows\system32\perfh005.dat
- 2001-10-25 12:00 . 2012-04-02 11:26 460294 c:\windows\system32\perfh005.dat
+ 2012-04-20 10:42 . 2012-04-20 10:42 353440 c:\windows\system32\Macromed\Flash\FlashUtil32_11_2_202_233_Plugin.exe
+ 2012-04-20 11:26 . 2012-04-20 11:26 353440 c:\windows\system32\Macromed\Flash\FlashUtil32_11_2_202_233_ActiveX.exe
+ 2012-04-20 11:26 . 2012-04-20 11:26 424608 c:\windows\system32\Macromed\Flash\FlashUtil32_11_2_202_233_ActiveX.dll
+ 2012-04-20 10:42 . 2012-04-20 11:26 253088 c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
+ 2012-04-20 11:47 . 2012-04-20 11:47 157472 c:\windows\system32\javaws.exe
+ 2012-04-20 11:47 . 2012-04-20 11:47 149280 c:\windows\system32\javaw.exe
+ 2012-04-20 11:47 . 2012-04-20 11:47 149280 c:\windows\system32\java.exe
+ 2012-04-20 11:47 . 2012-04-20 11:47 203776 c:\windows\Installer\3ef3a3.msi
+ 2012-04-20 11:47 . 2012-04-20 11:47 901120 c:\windows\Installer\3ef39d.msi
+ 2012-01-03 06:23 . 2012-01-03 06:23 378264 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\pdfshell.dll
+ 2012-01-03 07:44 . 2012-01-03 07:44 116168 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\PDFPrevHndlrShim.exe
+ 2012-01-03 06:22 . 2012-01-03 06:22 103864 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\nppdf32.dll
+ 2012-01-03 07:43 . 2012-01-03 07:43 550360 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AdobeCollabSync.exe
+ 2012-01-03 06:40 . 2012-01-03 06:40 120240 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroRdIF.dll
+ 2012-01-03 20:50 . 2012-01-03 20:50 357808 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroRd32.exe
+ 2012-01-03 06:16 . 2012-01-03 06:16 665008 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroPDF.dll
+ 2012-01-03 07:38 . 2012-01-03 07:38 280024 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\acrobroker.exe
+ 2012-01-03 07:08 . 2012-01-03 07:08 251296 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\a3dutility.exe
+ 2012-04-20 10:42 . 2012-04-20 10:42 8797344 c:\windows\system32\Macromed\Flash\NPSWF32_11_2_202_233.dll
+ 2012-03-27 15:47 . 2012-03-27 15:47 4959232 c:\windows\Installer\3ef579.msp
+ 2012-04-20 11:51 . 2012-04-20 11:51 3953664 c:\windows\Installer\3ef4e6.msi
+ 2012-01-03 06:18 . 2012-01-03 06:18 2405784 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\rt3d.dll
+ 2011-11-17 14:50 . 2011-11-17 14:50 6543872 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\authplay.dll
+ 2012-01-03 20:15 . 2012-01-03 20:15 20559288 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroRd32.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-26 142360]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-26 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-26 173592]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-03-23 33599488]
"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-03-30 418816]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]
"AmIcoSinglun"="c:\program files\AmIcoSingLun\AmIcoSinglun.exe" [2009-04-02 237568]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-3-23 603488]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ7.2\\ICQ.exe"=
"c:\\Program Files\\ICQ7.2\\aolload.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [18.12.2010 16:47 136360]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [17.12.2010 19:42 654408]
R3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\drivers\ETD.sys [2.12.2009 22:47 129024]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [17.12.2010 19:42 22344]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2.12.2009 22:35 1057280]
RUnknown rpcnetp;rpcnetp; [x]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [20.4.2012 12:42 253088]
S3 ASUSProcObsrv;ASUS Process Creation/Termination Observer;\??\d:\i386\AsProcOb.sys --> d:\i386\AsProcOb.sys [?]
S3 CRFILTER;USB Mass Storage Filter;c:\windows\system32\drivers\CRFILTER.sys [7.4.2008 8:00 6656]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [17.12.2010 19:42 40776]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - RPCNETP
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Obsah adresáře 'Naplánované úlohy'
.
2012-04-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-20 11:26]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Odeslat do zařízení &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Odeslat do zařízení Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Nikola\Data aplikací\Mozilla\Firefox\Profiles\u0f19qwt.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-HijackThis - c:\documents and settings\Nikola\Plocha\HijackThis.exe
AddRemove-ICQToolbar - c:\program files\ICQ6Toolbar\ICQUnToolbar.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-04-20 15:43
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(3428)
c:\windows\system32\btmmhook.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\igfxsrvc.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\System32\rpcnetp.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Celkový čas: 2012-04-20 15:46:03 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-04-20 13:46
ComboFix2.txt 2012-04-20 09:45
.
Před spuštěním: Volných bajtů: 41 170 755 584
Po spuštění: Volných bajtů: 41 143 242 752
.
- - End Of File - - E16882112A44E3DFF67BD8140A33AA43

[vyosek]

Konzola se nam nejak nenainstalovala

Hodte tedy prosim instalacku Recovery konzoly na plochu a pretahnete ji nad CF - kuk na obrazek - CF by se mel zeptat, zda-li prohledat PC, to nechtejte


Ono toho bude hodne co o CF netusite, dovolim si tvrdit, ze vite tak 2% z toho co CF vlastne pri svem behu dela a co se mu muze dale prikazat aby delal

Stahnete SytemLook http://jpshortstuff.247fixes.com/SystemLook.exe a ulozte jej na plochu

• Do okna vlozte skript nize

• Kód: Vybrat vše

  :filefind
  autochk*.exe

• Kliknete na Look
• Tlacitko Look se zmeni na Scanning a zsedne
• Pockejte pokud se tlacitko Scanning opet nezmeni na Look - tak poznate ze SystemLook dokoncil svou praci
• Vyskoci na Vas log s nazvem SystemLook (pripadne bude ulozen na plose), jeho obsah mi sem vlozte

Poprosim o log z DDS

• Stahnete DDS odsud http://download.bleepingcomputer.com/sUBs/Beta/dds.exe a ulozte na plochu
• Spustte a kliknete na Start
• Po chvili vyskoci log, ten rad uvidim

[Dejv]

Pokud přetáhnu s rc.exe do CF tak naběhne DOS modré okno, že se CF připravuje ke spuštění a hned hláška "názef CFScrip se zda být nesprávně hláskovaný" OK a okno se zavře

SystemLook 30.07.11 by jpshortstuff
Log created at 16:05 on 20/04/2012 by Nikola
Administrator - Elevation successful

========== filefind ==========

Searching for "autochk*.exe"
C:\WINDOWS\system32\autochk.exe --a---- 601088 bytes [06:52 14/04/2008] [06:52 14/04/2008] 0ABA087AAAD61745ADCA23BED0FA5618
C:\WINDOWS\system32\dllcache\autochk.exe --a--c- 601088 bytes [06:52 14/04/2008] [06:52 14/04/2008] C7A9FF12C63E2E448722B02C71A8C431

-= EOF =-


Jinak ten autochk je stále infikován, přesto že CF v logu říká, že je vyměněn a výléčen viz link?

Kód: Vybrat vše

http://r.virscan.org/report/9cda2cd0a5793cfccf1db1d7804de155.html

[vyosek]

Ono zalezi i jaky antivir to detekuje a verim vice virustotalu

Nasledujici soubory otestujte na VirusTotalu https://www.virustotal.com/cs/

• C:\WINDOWS\system32\autochk.exe
• Kliknete na Choose file
• Soubor nehledejte, jen vlozte cestu souboru, ktery chci otestovat
• Kliknete na Scan It
• Pokud na Vas vyskoci obrazovka jako je nize, tak kliknete na ReAnalyse
  
• Vysledek analyzy sem vlozte (jako odkaz)

A pak poprosim jeste o log z DDS

S CF neco udelame, asi tusim kde je chyba

[Dejv]

Tak i virustotal našel napadení.

Kód: Vybrat vše

https://www.virustotal.com/file/4abc7a96bd3ef26e2d93dc4f1c2d72d55b84dc579104fa7570c8871bdb82fa8b/analysis/1334947711/

.
DDS (Ver_2011-08-26.01) - NTFSx86
Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_31
Run by Nikola at 20:55:54 on 2012-04-20
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3037.2449 [GMT 2:00]
.
.
============== Running Processes ===============
.
C:\WINDOWS\system32\svchost.exe -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\System32\svchost.exe -k HPZ12
C:\WINDOWS\system32\wuauclt.exe
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.seznam.cz/
mURLSearchHooks: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\program files\icq6toolbar\ICQToolBar.dll
mURLSearchHooks: H - No File
mURLSearchHooks: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\program files\icq6toolbar\ICQToolBar.dll
mURLSearchHooks: H - No File
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre6\bin\ssv.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
TB: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\program files\icq6toolbar\ICQToolBar.dll
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [HDAudDeck] c:\program files\via\viaudioi\hdadeck\HDeck.exe 1
mRun: [ETDWare] c:\program files\elantech\ETDCtrl.exe
mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min
mRun: [AmIcoSinglun] c:\program files\amicosinglun\AmIcoSinglun.exe
mRun: [Malwarebytes' Anti-Malware] "c:\program files\malwarebytes' anti-malware\mbamgui.exe" /starttray
dRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
StartupFolder: c:\docume~1\alluse~1\nabdka~1\programy\posput~1\blueto~1.lnk - c:\program files\widcomm\bluetooth software\BTTray.exe
StartupFolder: c:\docume~1\alluse~1\nabdka~1\programy\posput~1\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\micros~2\office11\EXCEL.EXE/3000
IE: Odeslat do zařízení &Bluetooth... - c:\program files\widcomm\bluetooth software\btsendto_ie_ctx.htm
IE: Odeslat do zařízení Bluetooth - c:\program files\widcomm\bluetooth software\btsendto_ie.htm
IE: {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - c:\program files\icq7.2\ICQ.exe
IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\program files\widcomm\bluetooth software\btsendto_ie.htm
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{0555D3AE-0956-4434-89E3-D3C5473EF164} : DhcpNameServer = 192.168.1.1
Notify: igfxcui - igfxdev.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\documents and settings\nikola\data aplikací\mozilla\firefox\profiles\u0f19qwt.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - plugin: c:\program files\adobe\reader 9.0\reader\air\nppdf32.dll
FF - plugin: c:\program files\java\jre6\bin\plugin2\npdeployJava1.dll
FF - plugin: c:\program files\java\jre6\bin\plugin2\npjp2.dll
FF - plugin: c:\program files\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\windows\system32\macromed\flash\NPSWF32_11_2_202_233.dll
.
============= SERVICES / DRIVERS ===============
.
R1 avgio;avgio;c:\program files\avira\antivir desktop\avgio.sys [2010-12-18 11608]
R2 AntiVirService;Avira AntiVir Guard;c:\program files\avira\antivir desktop\avguard.exe [2010-12-18 269480]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\avira\antivir desktop\sched.exe [2010-12-18 136360]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2010-12-18 66616]
R2 MBAMService;MBAMService;c:\program files\malwarebytes' anti-malware\mbamservice.exe [2010-12-17 654408]
R3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\drivers\ETD.sys [2009-12-2 129024]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2010-12-17 22344]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2008-4-14 69120]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2009-12-2 1057280]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\macromed\flash\FlashPlayerUpdateService.exe [2012-4-20 253088]
S3 ASUSProcObsrv;ASUS Process Creation/Termination Observer;\??\d:\i386\asprocob.sys --> d:\i386\AsProcOb.sys [?]
S3 CRFILTER;USB Mass Storage Filter;c:\windows\system32\drivers\CRFILTER.sys [2008-4-7 6656]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-12-17 40776]
.
=============== Created Last 30 ================
.
2012-04-20 11:47:36 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-04-20 11:47:36 476904 ----a-w- c:\program files\mozilla firefox\plugins\npdeployJava1.dll
2012-04-20 11:47:36 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-04-20 10:42:18 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-04-20 09:36:54 98816 ----a-w- c:\windows\sed.exe
2012-04-20 09:36:54 518144 ----a-w- c:\windows\SWREG.exe
2012-04-20 09:36:54 256000 ----a-w- c:\windows\PEV.exe
2012-04-20 09:36:54 208896 ----a-w- c:\windows\MBR.exe
2012-03-26 15:41:34 103864 ----a-w- c:\program files\mozilla firefox\plugins\nppdf32.dll
.
==================== Find3M ====================
.
2012-04-20 14:00:24 44544 ----a-w- c:\windows\system32\agremove.exe
2012-04-20 11:57:14 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-04-20 11:26:53 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-04 13:56:40 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-01 10:59:57 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-03-01 10:59:57 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:10:19 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17:53 385024 ----a-w- c:\windows\system32\html.iec
2012-02-03 09:57:39 1860096 ----a-w- c:\windows\system32\win32k.sys
.
============= FINISH: 20:56:07,45 ===============

[vyosek]

Dalsi skript pro ComboFix, postup stejny jako minule

Kód: Vybrat vše

KillAll::

RecoveryConsole::
C:\rc.exe

FCopy::
C:\WINDOWS\system32\dllcache\autochk.exe | C:\WINDOWS\system32\autochk.exe

DDS::
mURLSearchHooks: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\program files\icq6toolbar\ICQToolBar.dll
mURLSearchHooks: H - No File
mURLSearchHooks: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\program files\icq6toolbar\ICQToolBar.dll
mURLSearchHooks: H - No File
TB: ICQToolBar: {855f3b16-6d32-4fe6-8a56-bbb695989046} - c:\program files\icq6toolbar\ICQToolBar.dll
mRun: [Malwarebytes' Anti-Malware]

Folder::
c:\program files\icq6toolbar

Reboot::

[Dejv]

Nechápu , že si ta Avira nechala pře sebe přejít takovej balast..mě se nic takového s Avastem nestalo, ale to je asi pech.
Avira stále detekuje:
http://img815.imageshack.us/img815/9479 ... rd02mu.jpg
Našla ten A0172339.dll ve System Volume Information který jsem mázl, a vypl obnovení systému.


ComboFix 12-04-20.02 - Nikola 20.04.2012 21:54:07.3.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3037.2451 [GMT 2:00]
Spuštěný z: c:\documents and settings\Nikola\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Nikola\Plocha\CFScript.txt
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
--------------- FCopy ---------------
.
c:\windows\system32\dllcache\autochk.exe --> c:\windows\system32\autochk.exe
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-03-20 do 2012-04-20 )))))))))))))))))))))))))))))))
.
.
2012-04-20 19:59 . 2012-04-20 19:59 17408 ----a-w- c:\windows\system32\rpcnetp.dll
2012-04-20 19:58 . 2012-04-20 19:58 17408 ----a-w- c:\windows\system32\rpcnetp.exe
2012-04-20 19:43 . 2012-04-20 19:43 -------- d-----w- c:\program files\IrfanView
2012-04-20 11:47 . 2012-04-20 11:47 -------- d-----w- c:\program files\Common Files\Java
2012-04-20 11:47 . 2012-04-20 11:47 476904 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
2012-04-20 11:47 . 2012-04-20 11:47 73728 ----a-w- c:\windows\system32\javacpl.cpl
2012-04-20 11:47 . 2012-04-20 11:47 472808 ----a-w- c:\windows\system32\deployJava1.dll
2012-04-20 11:47 . 2012-04-20 11:47 -------- d-----w- c:\program files\Java
2012-04-20 10:42 . 2012-04-20 11:26 418464 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-03-26 15:41 . 2012-03-26 15:41 103864 ----a-w- c:\program files\Mozilla Firefox\plugins\nppdf32.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-04-20 14:00 . 2010-08-10 07:32 44544 ----a-w- c:\windows\system32\agremove.exe
2012-04-20 11:57 . 2010-12-17 17:42 40776 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2012-04-20 11:26 . 2011-05-21 05:03 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-04 13:56 . 2010-12-17 17:42 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-03-01 10:59 . 2008-04-14 06:52 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-03-01 10:59 . 2008-04-14 06:51 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-02-29 14:10 . 2008-04-14 06:51 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2008-04-14 05:50 385024 ----a-w- c:\windows\system32\html.iec
2012-02-03 09:57 . 2008-04-14 05:45 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-03-18 18:59 . 2012-02-20 14:55 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2012-04-20_09.44.18 )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-04-20 20:00 . 2012-04-20 20:00 32768 c:\windows\temp\Temporary Internet Files\Content.IE5\index.dat
+ 2012-04-20 19:59 . 2012-04-20 19:59 16384 c:\windows\temp\Perflib_Perfdata_f0.dat
+ 2012-04-20 20:00 . 2012-04-20 20:00 16384 c:\windows\temp\History\History.IE5\index.dat
+ 2012-04-20 20:00 . 2012-04-20 20:00 16384 c:\windows\temp\Cookies\index.dat
+ 2001-10-25 12:00 . 2012-04-20 11:46 82038 c:\windows\system32\perfc009.dat
- 2001-10-25 12:00 . 2012-04-02 11:26 82038 c:\windows\system32\perfc009.dat
+ 2001-10-25 12:00 . 2012-04-20 11:46 95622 c:\windows\system32\perfc005.dat
- 2001-10-25 12:00 . 2012-04-02 11:26 95622 c:\windows\system32\perfc005.dat
+ 2012-01-03 07:45 . 2012-01-03 07:45 16832 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\ViewerPS.dll
+ 2012-01-03 20:51 . 2012-01-03 20:51 37296 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\reader_sl.exe
+ 2012-01-03 07:44 . 2012-01-03 07:44 79280 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\PDFPrevHndlr.dll
+ 2012-01-03 20:15 . 2012-01-03 20:15 99776 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\eula.exe
+ 2012-01-03 19:52 . 2012-01-03 19:52 27048 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\acrotextextractor.exe
+ 2012-01-03 06:19 . 2012-01-03 06:19 16824 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroRd32Info.exe
+ 2012-01-03 06:16 . 2012-01-03 06:16 75200 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\acroiehelpershim.dll
+ 2012-01-03 06:16 . 2012-01-03 06:16 61888 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroIEHelper.dll
+ 2001-10-25 12:00 . 2012-04-20 11:46 464954 c:\windows\system32\perfh009.dat
- 2001-10-25 12:00 . 2012-04-02 11:26 464954 c:\windows\system32\perfh009.dat
+ 2001-10-25 12:00 . 2012-04-20 11:46 460294 c:\windows\system32\perfh005.dat
- 2001-10-25 12:00 . 2012-04-02 11:26 460294 c:\windows\system32\perfh005.dat
+ 2012-04-20 10:42 . 2012-04-20 10:42 353440 c:\windows\system32\Macromed\Flash\FlashUtil32_11_2_202_233_Plugin.exe
+ 2012-04-20 11:26 . 2012-04-20 11:26 353440 c:\windows\system32\Macromed\Flash\FlashUtil32_11_2_202_233_ActiveX.exe
+ 2012-04-20 11:26 . 2012-04-20 11:26 424608 c:\windows\system32\Macromed\Flash\FlashUtil32_11_2_202_233_ActiveX.dll
+ 2012-04-20 10:42 . 2012-04-20 11:26 253088 c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe
+ 2012-04-20 11:47 . 2012-04-20 11:47 157472 c:\windows\system32\javaws.exe
+ 2012-04-20 11:47 . 2012-04-20 11:47 149280 c:\windows\system32\javaw.exe
+ 2012-04-20 11:47 . 2012-04-20 11:47 149280 c:\windows\system32\java.exe
+ 2012-04-20 11:47 . 2012-04-20 11:47 203776 c:\windows\Installer\3ef3a3.msi
+ 2012-04-20 11:47 . 2012-04-20 11:47 901120 c:\windows\Installer\3ef39d.msi
+ 2012-01-03 06:23 . 2012-01-03 06:23 378264 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\pdfshell.dll
+ 2012-01-03 07:44 . 2012-01-03 07:44 116168 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\PDFPrevHndlrShim.exe
+ 2012-01-03 06:22 . 2012-01-03 06:22 103864 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\nppdf32.dll
+ 2012-01-03 07:43 . 2012-01-03 07:43 550360 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AdobeCollabSync.exe
+ 2012-01-03 06:40 . 2012-01-03 06:40 120240 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroRdIF.dll
+ 2012-01-03 20:50 . 2012-01-03 20:50 357808 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroRd32.exe
+ 2012-01-03 06:16 . 2012-01-03 06:16 665008 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroPDF.dll
+ 2012-01-03 07:38 . 2012-01-03 07:38 280024 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\acrobroker.exe
+ 2012-01-03 07:08 . 2012-01-03 07:08 251296 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\a3dutility.exe
+ 2012-04-20 10:42 . 2012-04-20 10:42 8797344 c:\windows\system32\Macromed\Flash\NPSWF32_11_2_202_233.dll
+ 2012-03-27 15:47 . 2012-03-27 15:47 4959232 c:\windows\Installer\3ef579.msp
+ 2012-04-20 11:51 . 2012-04-20 11:51 3953664 c:\windows\Installer\3ef4e6.msi
+ 2012-01-03 06:18 . 2012-01-03 06:18 2405784 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\rt3d.dll
+ 2011-11-17 14:50 . 2011-11-17 14:50 6543872 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\authplay.dll
+ 2012-01-03 20:15 . 2012-01-03 20:15 20559288 c:\windows\Installer\$PatchCache$\Managed\68AB67CA7DA79201B7449A0500000010\9.5.0\AcroRd32.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-02-26 142360]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-02-26 141336]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-02-26 173592]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-03-23 33599488]
"ETDWare"="c:\program files\Elantech\ETDCtrl.exe" [2009-03-30 418816]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-11-30 281768]
"AmIcoSinglun"="c:\program files\AmIcoSingLun\AmIcoSinglun.exe" [2009-04-02 237568]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-3-23 603488]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ7.2\\ICQ.exe"=
"c:\\Program Files\\ICQ7.2\\aolload.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [18.12.2010 16:47 136360]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [17.12.2010 19:42 654408]
R3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\drivers\ETD.sys [2.12.2009 22:47 129024]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [17.12.2010 19:42 22344]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2.12.2009 22:35 1057280]
RUnknown rpcnetp;rpcnetp; [x]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [20.4.2012 12:42 253088]
S3 ASUSProcObsrv;ASUS Process Creation/Termination Observer;\??\d:\i386\AsProcOb.sys --> d:\i386\AsProcOb.sys [?]
S3 CRFILTER;USB Mass Storage Filter;c:\windows\system32\drivers\CRFILTER.sys [7.4.2008 8:00 6656]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [17.12.2010 19:42 40776]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - RPCNETP
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Obsah adresáře 'Naplánované úlohy'
.
2012-04-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-20 11:26]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Odeslat do zařízení &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Odeslat do zařízení Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\documents and settings\Nikola\Data aplikací\Mozilla\Firefox\Profiles\u0f19qwt.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-04-20 22:00
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(3824)
c:\windows\system32\btmmhook.dll
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\System32\rpcnetp.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Celkový čas: 2012-04-20 22:03:01 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-04-20 20:02
ComboFix2.txt 2012-04-20 13:46
ComboFix3.txt 2012-04-20 09:45
.
Před spuštěním: Volných bajtů: 41 199 394 816
Po spuštění: Volných bajtů: 41 174 351 872
.
- - End Of File - - 8210B3E40EBDC08E5CCA30DEED2EC6BE

[vyosek]

Kolega Naughty me nakopl snad ted tim spravnym smerem

Skript pro SystemLook

Kód: Vybrat vše

:filefind
rpcnetp.exe
rpcnet.dll
rpcnet.exe
rpcnetp.dll
autochk.exe

:regfind
rpcnetp.exe
rpcnet.dll
rpcnet.exe
rpcnetp.dll
autochk.exe