Zřejmě vir - Windows media center

[vyosek]

PROSIM CTETE DUKLADNE NAVOD - TATO UTILITA MA VELKOU SCHOPNOST MAZAT A JE NUTNE JI APLIKOVAT JEN NA DOPORUCENI, JINAK VAM MUZE JIT SYSTEM DO KYTEK
Stahnete a ulozte na plochu Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Vypnete vsechny rezidentni bezpecnostní programy - firewally, antiviry, antispywary apod.
• Pokud mate Win XP spustte pod uctem Spravce\Administratora
• Pokud mate Win Vista ci Win 7, kliknete na Combofix pravym a dejte Run As Administrator ci Spustit jako spravce
• Ihned po startu se zobrazi stranka s licencnim ujednanim, pokracujte kliknutim na Ano
• Pokud Vam CF nabidne instalaci Konzoly pro zotaveni, tak souhlaste
• Dale postupujte dle pokynu, behem scanu nechte PC naprosto v klidu - nespoustejte zadne aplikace a neklikejte do zobrazujiciho se okna
• Scan by mel trvat cca 10 min, ale pokud bude PC hodne zaneseno, muze se cas prodlouzit
• Po dokonceni skenu a pripadnem restartu CF zobrazi log, pripadne jej najdete zde C:\ComboFix.txt, jeho obsah sem vlozte
• Detailni postup vc. obrazku mate zde http://www.bleepingcomputer.com/combofi ... t-combofix

[wrobi]

Tak combofix běžel přes půl hodiny tady je je log, tak koukám že jsem měl zaplý defender, moc vám děkuju za pomoc

ComboFix 12-04-22.02 - datasoft 23.04.2012 13:58:30.1.1 - x86
Microsoft Windows 7 Professional 6.1.7601.1.1250.420.1029.18.1527.900 [GMT 2:00]
Spuštěný z: c:\users\PC14\Desktop\ComboFix.exe
AV: Panda Cloud Antivirus *Disabled/Updated* {86971480-9989-6750-B122-681A86518D59}
SP: Panda Cloud Antivirus *Disabled/Updated* {3DF6F564-BFB3-68DE-8B92-5368FDD6C7E4}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\PC14\Documents\~WRL0003.tmp
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-03-23 do 2012-04-23 )))))))))))))))))))))))))))))))
.
.
2012-04-20 06:24 . 2012-04-20 06:24 -------- d-----w- C:\_OTL
2012-04-19 06:05 . 2012-04-19 06:05 512 ----a-w- C:\PhysicalMBR.bin
2012-04-18 06:35 . 2012-04-23 12:12 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{4E877219-BF0D-439F-B645-7788B753EE00}\offreg.dll
2012-04-18 06:30 . 2012-04-18 06:30 -------- d-----w- c:\program files\trend micro
2012-04-18 06:30 . 2012-04-18 06:30 -------- d-----w- C:\rsit
2012-04-18 04:43 . 2012-04-18 04:43 -------- d-----w- c:\users\PC14\AppData\Roaming\Panda Security
2012-04-18 01:03 . 2012-03-01 05:46 19824 ----a-w- c:\windows\system32\drivers\fs_rec.sys
2012-04-18 01:03 . 2012-03-01 05:37 172544 ----a-w- c:\windows\system32\wintrust.dll
2012-04-18 01:03 . 2012-03-01 05:33 159232 ----a-w- c:\windows\system32\imagehlp.dll
2012-04-18 01:03 . 2012-03-01 05:29 5120 ----a-w- c:\windows\system32\wmi.dll
2012-04-17 06:01 . 2012-03-14 02:15 6582328 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{4E877219-BF0D-439F-B645-7788B753EE00}\mpengine.dll
2012-04-13 07:04 . 2012-03-06 05:59 3968368 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-04-13 07:04 . 2012-03-06 05:59 3913072 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-03-29 09:54 . 2012-03-29 09:54 48648 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\Markup.dll
2012-03-29 09:53 . 2012-03-29 09:53 484176 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-23 08:18 . 2011-01-28 08:52 237072 ------w- c:\windows\system32\MpSigStub.exe
2012-02-17 05:34 . 2012-03-14 09:53 826880 ----a-w- c:\windows\system32\rdpcore.dll
2012-02-17 04:14 . 2012-03-14 09:53 183808 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-02-17 04:13 . 2012-03-14 09:53 24576 ----a-w- c:\windows\system32\drivers\tdtcp.sys
2012-02-14 10:09 . 2012-02-14 10:09 1070352 ----a-w- c:\windows\system32\MSCOMCTL.OCX
2012-02-10 05:38 . 2012-03-14 09:54 1077248 ----a-w- c:\windows\system32\DWrite.dll
2012-02-03 03:54 . 2012-03-14 09:55 2343424 ----a-w- c:\windows\system32\win32k.sys
2012-01-25 05:32 . 2012-03-14 09:53 58880 ----a-w- c:\windows\system32\rdpwsx.dll
2012-01-25 05:32 . 2012-03-14 09:53 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-01-25 05:27 . 2012-03-14 09:53 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}]
2011-06-24 17:37 86696 ----a-w- c:\program files\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4}"= "c:\program files\Panda Security\Panda Security Toolbar\PandaSecurityDx.dll" [2011-06-24 86696]
.
[HKEY_CLASSES_ROOT\clsid\{b821bf60-5c2d-41eb-92dc-3e4ccd3a22e4}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-10-06 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-10-06 114688]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-10-06 94208]
"MeUiHelper"="c:\program files\Netop\Vision\XL\meuihlp.exe" [2011-07-29 213624]
"PSUNMain"="c:\program files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2011-04-28 439616]
"Panda Security URL Filtering"="c:\programdata\Panda Security URL Filtering\Panda_URL_Filtering.exe" [2012-03-19 217256]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"OTL"="c:\users\PC14\Desktop\OTL.exe" [2012-04-19 595968]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SPReview"="c:\windows\System32\SPReview\SPReview.exe" [2011-09-02 280576]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"EnableShellExecuteHooks"= 1 (0x1)
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{F911591F-D659-40ed-B048-EB8F8E48AB00}"= "c:\windows\system32\MeAMHook.dll" [2011-07-29 129144]
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 WatAdminSvc;Služba Technologie aktivace Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2011-01-28 1343400]
S1 MENET;MENET;c:\windows\system32\Drivers\MENET.SYS [2011-07-29 74360]
S1 PSINKNC;PSINKNC;c:\windows\system32\DRIVERS\psinknc.sys [2011-11-23 126216]
S2 MeSuWTS;Vision WTS Helper;c:\program files\Netop\Vision\XL\mesuwts.exe [2011-07-29 177272]
S2 NanoServiceMain;Panda Cloud Antivirus Service;c:\program files\Panda Security\Panda Cloud Antivirus\PSANHost.exe [2011-04-28 140608]
S2 PSINAflt;PSINAflt;c:\windows\system32\DRIVERS\PSINAflt.sys [2012-01-05 144136]
S2 PSINFile;PSINFile;c:\windows\system32\DRIVERS\PSINFile.sys [2011-04-28 99400]
S2 PSINProc;PSINProc;c:\windows\system32\DRIVERS\PSINProc.sys [2011-04-28 111176]
S2 PSINProt;PSINProt;c:\windows\system32\DRIVERS\PSINProt.sys [2011-11-30 112904]
S3 meddmrr;meddmrr;c:\windows\system32\DRIVERS\meddmrr.sys [2010-07-16 11384]
S3 mekbd;mekbd;c:\windows\system32\Drivers\mekbd.sys [2011-09-23 18040]
S3 memice;memice;c:\windows\system32\Drivers\memice.sys [2011-09-23 17016]
.
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
LSP: c:\windows\system32\glsphost.dll
TCP: DhcpNameServer = 192.168.100.254
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-HDMI - c:\windows\system32\igxpun.exe
.
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.glcx\{656E6547-6176-6F4C-6769-63204C696331}* ]
"{16175D11-0760-7776-7A07-73030D636703}"=hex:00,00,00,00,db,07,09,00,05,00,17,
00,08,00,2b,00,31,00,3a,01,1e,00,00,00,2a,2a,2a,2a,db,07,0a,00,05,00,0e,00,\
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Celkový čas: 2012-04-23 14:43:15
ComboFix-quarantined-files.txt 2012-04-23 12:43
.
Před spuštěním: Volných bajtů: 125 173 563 392
Po spuštění: Volných bajtů: 124 635 934 720
.
- - End Of File - - 84FEBE4D969E5D094970EC437B610580

[vyosek]

Zatim neni zac, nastala nejaka zmena?

[wrobi]

Bohužel žádná změna nenastala ikony jsou stále změněny na list s logem windows a po kliknutí se spustí windows media center

[vyosek]

Naimportovat http://www.sevenforums.com/attachments/ ... lt_ico.reg

Aplikujte Daft dle postupo kolegy http://www.diallix.net/index.php?option ... &Itemid=65

[wrobi]

Tady log z DAFT, napište jestli mohu fixnout.

DAFT Log saved on 2012-04-25 07:07:41
-----------------------------------------------------------------------
.chm - chm.file - shell\open\command - "%SystemRoot%\hh.exe" %1
.hlp - hlpfile - shell\open\command - %SystemRoot%\winhlp32.exe %1
.reg - regfile - shell\edit\command - %SystemRoot%\system32\notepad.exe "%1"
.vbs - VBSFile - shell\edit\command - "%SystemRoot%\System32\Notepad.exe" %1

[vyosek]

Ano, fixnete

[wrobi]

Fixnuto, ale když jsem dal opět scan tak to našlo opět

.chm - chm.file - shell\open\command - "%SystemRoot%\hh.exe" %1

a když dám fix a znovu scan objeví se to znovu. Tak nevím jestli je to systémové nebo nějaká ta havěť.

Jinak PC je bohužel stále na stejném bodě

[vyosek]

Mam potvrzeno od kolegy cernohouse, ze se jedna o chybu na XPeckach...

Takze mala rekapitulace problemu: mate vsechny ikony jako media player ale spoustet jdou normalne?

[wrobi]

Na PC je nainstalován OS Windows 7 Professional , ikony jsou změněny na bílý list se zeleným logem windows, po kliknutí na nějaký program na ploše nebo ve startu se stustí windows media center. Je to jen na uživateli PC14 na uživateli Datasoft to funguje správně a ikony nebyli změněny

[vyosek]

Jen se zeptam, ono se jedna o firemni PC a vy jste tam spravce site?

Stahnete SytemLook http://jpshortstuff.247fixes.com/SystemLook.exe a ulozte jej na plochu

• Do okna vlozte skript nize

• Kód: Vybrat vše

  :reg
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /sub
  

• Kliknete na Look
• Tlacitko Look se zmeni na Scanning a zsedne
• Pockejte pokud se tlacitko Scanning opet nezmeni na Look - tak poznate ze SystemLook dokoncil svou praci
• Vyskoci na Vas log s nazvem SystemLook (pripadne bude ulozen na plose), jeho obsah mi sem vlozte

[wrobi]

Přeně tak, jsem správce. Právě nerad bych to řešil formátem, protože takto řeší problémy většina firem.

Jinak soubor nejde stáhnout, stránka nenalezena.

[vyosek]

A jste za to predpokladam placen at to vyresite, a predal jste ukol na nas at jej zdarma vyresime - docela "super" jednani, nehlede na pravidla fora

6. Fórum viry.cz se nezabývá odvirováním firemních PC - na toto jsou ve firmách placení (a někdy až hodně nadstandardně) IT technici, případně si je firma může najmou. My jsme tu zdarma a ve svém volném čase, nehodláme dělat práci za někoho jiného, kdo si pak jen slízne smetánku a plat. Taktéž ani neposkytujeme poradenství v oblasti zabezpečení firemních sítí či nastavení firemních sítí. Zkrátka a jednoduše, naše fórum poskytuje podporu domácím uživatelům.

[wrobi]

Tak to jsem přehhlédl, pravidla fóra jsem četl když jsem ještě nespravoval tento PC. To se velice omlouvám. Pracuji v oblasti IT ale v oboru na zaměření poskytovatele internetu.

[vyosek]

Ale presto jste v te firme placen prave za to, ze tam PC date do kupy a opravite problemy...

Dle meho je tam naborena asociace v registru prave jen ve vetvi HKU...

btw, me ten SystemLook jde v poradku stahnout