Trojani a nelze vytvořit log RSIT

[blizenci]

V počítači jsem našla spoustu virů nebo lépe - hlásí se samy. Pro vytvoření RSIT mi pc hlásí chybějící nějaký program, myslela jsem, že chybí Adobe, ale ten to není. Mám zkusit rovnou Malware a Combofix? Párkrát jsem je použila na vaše doporučení..
Děkuju, Iva

[earl]

Zdravim,

zacneme MBAMem:

Pouzijte MBAM -instalace,uplny sken,vlozit sem log-NIC NEMAZAT!

[lychee]

Dobrý den, zdravím...
tak MBAM jsem provedla, kompletní, jenže nejde vytvořit log ( :K souboru není přidružen program, který by mohl akci provést. Vytvořte přidružení pomocí ovládacího panelu možnosti složky....Netuším, co potřebuje.

[earl]

Soubor by se mel ulozit jako log.txt.

V moznostech slozky dejte asociovat s Wordpadem.

[lychee]

On se jako log uložil, ale nešel otevřít. Přeposlala jsem ho v mailu do jiného pc a z něj vám jej teď odesílám. Díky

Malwarebytes' Anti-Malware 1.41
Verze databáze: 2775
Windows 5.0.2195 Service Pack 4

13.9.2009 19:13:00
mbam-log-2009-09-13 (19-12-55).txt

Typ kontroly: Kompletní kontrola (C:\|)
Zkontrolované objekty: 131790
Uplynulý čas: 1 hour(s), 6 minute(s), 32 second(s)

Infikované procesy v paměti: 2
Infikované moduly v paměti: 0
Infikované klíče registru: 30
Infikované hodnoty registru: 12
Infikované datové položky registru: 0
Infikované adresáře: 0
Infikované soubory: 84

Infikované procesy v paměti:
C:\WINNT\system32\sofatnet.exe (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\mabidwe.exe (Trojan.Agent) -> No action taken.

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sofatnet (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sofatnet (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sofatnet (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\evdoserver (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\evdoserver (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\evdoserver (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tdctxte (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\tdctxte (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdctxte (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\soxpeca (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\soxpeca (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\soxpeca (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\roytctm (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\roytctm (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\roytctm (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\noytcyr (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\noytcyr (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\noytcyr (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\afisicx (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\afisicx (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\afisicx (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\mabidwe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\mabidwe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mabidwe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tdydowkc (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\tdydowkc (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdydowkc (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wsldoekd (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\wsldoekd (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wsldoekd (Trojan.Agent) -> No action taken.

Infikované hodnoty registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mEv (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mms (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mso (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\udso (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> No action taken.

Infikované datové položky registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\WINNT\system32\sofatnet.exe (Backdoor.Bot) -> No action taken.
C:\20.exe (Trojan.Refpron) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\5WE90C2Q\w[1].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\5WE90C2Q\w[2].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\6E2WV1OD\w[1].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\6E2WV1OD\w[2].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\6E2WV1OD\w[3].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\6E2WV1OD\w[4].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\HTLGS5DV\w[1].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\HTLGS5DV\w[2].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\HTLGS5DV\w[3].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\HTLGS5DV\w[4].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\HTLGS5DV\w[5].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\HTLGS5DV\w[6].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\TFGFWKJB\w[1].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\TFGFWKJB\w[2].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\TFGFWKJB\w[3].bin (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Katerina Vesela\DoctorWeb\Quarantine\evdoserver.dll (Trojan.Agent) -> No action taken.
C:\WINNT\system32\dvdpaly.exe (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\EvdoServer.dll (Trojan.Agent) -> No action taken.
C:\WINNT\system32\tdctxte.exe (Trojan.Dropper) -> No action taken.
C:\WINNT\system32\tmp0_119983749460.bk.old (Trojan.Refpron) -> No action taken.
C:\WINNT\system32\tmp0_15209180458.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_166070707473.bk.old (Trojan.Downloader) -> No action taken.
C:\WINNT\system32\tmp0_22240682373.bk.old (Trojan.Backdoor) -> No action taken.
C:\WINNT\system32\tmp0_228515364780.bk.old (Trojan.Downloader) -> No action taken.
C:\WINNT\system32\tmp0_229687892895.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_25404174416.bk.old (Trojan.Downloader) -> No action taken.
C:\WINNT\system32\tmp0_291385396011.bk.old (Trojan.Refpron) -> No action taken.
C:\WINNT\system32\wiwow64.exe (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_547828273603.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_801543314359.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_564114685925.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_565704468579.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_631443467049.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_64037850923.bk.old (Trojan.Downloader) -> No action taken.
C:\WINNT\system32\tmp0_647017195728.bk.old (Trojan.Downloader) -> No action taken.
C:\WINNT\system32\tmp0_659484454694.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_67321089565.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_716701289330.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_770067894420.bk.old (Trojan.Refpron) -> No action taken.
C:\WINNT\system32\tmp0_78611725477.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_840028723544.bk.old (Trojan.Refpron) -> No action taken.
C:\WINNT\system32\tmp0_840874509312.bk.old (Trojan.Downloader) -> No action taken.
C:\WINNT\system32\tmp0_845486546985.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_855811517741.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_88027243257.bk.old (Trojan.Downloader) -> No action taken.
C:\WINNT\system32\tmp0_94470578515.bk.old (Trojan.Downloader) -> No action taken.
C:\WINNT\system32\tmp0_98038667213.bk.old (Trojan.Refpron) -> No action taken.
C:\WINNT\system32\tmp0_99764532812.bk.old (Trojan.Downloader) -> No action taken.
C:\WINNT\system32\tpsaxyd.exe (Trojan.Agent) -> No action taken.
C:\WINNT\system32\tpszxyd.sys (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_300131823577.bk.old (Trojan.Refpron) -> No action taken.
C:\WINNT\system32\tmp0_3265654609.bk.old (Trojan.Refpron) -> No action taken.
C:\WINNT\system32\tmp0_360979129844.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_38808617397.bk.old (Trojan.Refpron) -> No action taken.
C:\WINNT\system32\tmp0_388248736818.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_409710804685.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_41202807345.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_485052760871.bk.old (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tmp0_513848593221.bk.old (Trojan.Downloader) -> No action taken.
C:\WINNT\system32\tmp0_52680463912.bk.old (Trojan.Downloader) -> No action taken.
C:\WINNT\system32\soxpeca.exe (Trojan.Agent) -> No action taken.
C:\WINNT\system32\roytctm.exe (Trojan.Agent) -> No action taken.
C:\WINNT\system32\noytcyr.exe (Trojan.Agent) -> No action taken.
C:\WINNT\system32\afisicx.exe (Trojan.Agent) -> No action taken.
C:\WINNT\system32\comsa32.sys (Trojan.Agent) -> No action taken.
C:\WINNT\system32\dncyool64.sys (Trojan.Agent) -> No action taken.
C:\WINNT\system32\dpcxool64.sys (Trojan.Agent) -> No action taken.
C:\WINNT\system32\dconook32.sys (Trojan.Agent) -> No action taken.
C:\WINNT\system32\dctool32.sys (Trojan.Agent) -> No action taken.
C:\WINNT\system32\dlctsd32.sys (Trojan.Agent) -> No action taken.
C:\WINNT\system32\dncyool32.sys (Trojan.Backdoor) -> No action taken.
C:\WINNT\system32\dxonool32.sys (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\FInstall.sys (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\mabidwe.exe (Trojan.Agent) -> No action taken.
C:\WINNT\system32\msrstart.exe (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\nxtepad.exe (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\tdydowkc.exe (Trojan.Agent) -> No action taken.
C:\WINNT\system32\udxfytw.sys (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\umtcdtw.sys (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\wiawow32.sys (Backdoor.Bot) -> No action taken.
C:\WINNT\system32\wsldoekd.exe (Trojan.Agent) -> No action taken.
C:\WINNT\system32\wtukd32.exe (Backdoor.Bot) -> No action taken.

[earl]

Tomu rikam sbirka.

Dejte smazat vse.

CTETE POZORNE NAVOD,TENTO SOFT NETOLERUJE CHYBY V POSTUPU APLIKOVANI!

Klidne si nasledujici radky vytisknete,at vite,co se bude na obrazovce odehravat.

Budte prihlasen na pc s administratorskymi pravy.

stahnete a ulozte nejlepe na plochu ComboFix

v pripade,ze nepujde stranka nacist-stahnete odtud download , popr. nepujde ComboFix spustit - prejmenujte jej na grinder.com a postupujte dale dle instrukci.

hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano:



Souhlasit s instalaci Recovery console(Konzola pro zotaveni)-nutno funkcni internet

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: upozorneni: Vypnete rezidentni stit u antiviru a antispywaru a zakazte docasne firewall-ComboFix by nemusel fungovat korektne-pokud budete mit stity vypnute a Combofix zahlasi,ze nejsou,pokracujte dal a potvrdte.

po restartu aplikace vytvori log, ulozeny na C:/Combofix.txt (pri opakovanem pouziti jsou logy oznaceny Combofix2.txt atd.), jeho obsah vlozte sem

[lychee]

Viďte, že jo, na cestu domů jsem si prohlídla kapsy, jestli si něco nenesu. Už jsem od infikovaného pc předaleko, zítra dopoledne budu pokračovat, ujme se nás zase někdo?
Děkuju zatím mockrát.

[earl]

Zitra budeme pokracovat.

Nedekujte.

Jeste se zeptam-prvni prispevek byl od jineho uzivatele,ale vypada to,ze to je jeden a tentyz,takze?

[blizenci]

Dobrý den, s malými problémy, ale nakonec se log z Combofixu podařil. Vkládám.
(Ano, problém řeším u kamarádky v pc, poslední přihlášení bylo z domova z mého pc, nicméně stále jsem to já )

ComboFix 09-09-13.05 - Katerina Vesela 14.09.2009 13:26.1.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.511.224 [GMT 2:00]
Spuštěný z: c:\documents and settings\Katerina Vesela\Plocha\ComboFix.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\.{21EC2020-3AEA-1069-A2DD-08002B30309D}
c:\winnt\system32\drivers\etc\lmhosts
c:\winnt\system32\drivers\Sonyhcp.dll
c:\winnt\system32\Install.txt
c:\winnt\system32\zip32.dll
c:\winnt\Web\default.htt

c:\winnt\system32\comres.dll . . . je infikován!!

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AFISICX
-------\Legacy_MABIDWE
-------\Legacy_MSNCACHE
-------\Legacy_NOYTCYR
-------\Legacy_NWCWORKSTATION
-------\Legacy_ROYTCTM
-------\Legacy_SOPIDKC
-------\Legacy_SOXPECA
-------\Legacy_TDCTXTE
-------\Legacy_TDYDOWKC
-------\Legacy_WSLDOEKD
-------\Service_WindowsUpdate


((((((((((((((((((((((((( Soubory vytvořené od 2009-08-14 do 2009-09-14 )))))))))))))))))))))))))))))))
.

2009-09-14 10:31 . 2009-09-14 10:31 -------- d-----w- c:\program files\VS Revo Group
2009-09-13 16:01 . 2009-09-10 12:54 38224 ----a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2009-09-13 16:01 . 2009-09-13 16:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-13 16:01 . 2009-09-10 12:53 18520 ----a-w- c:\winnt\system32\drivers\mbam.sys
2009-09-13 13:46 . 2009-09-05 09:23 61952 --sha-r- c:\winnt\eraseme_05453.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-14 11:05 . 2007-07-03 08:38 -------- d-----w- c:\program files\QuickTime
2009-09-14 10:27 . 2007-04-18 15:18 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-14 10:11 . 2007-07-01 17:26 -------- d-----w- c:\program files\eMule
2009-09-13 14:13 . 2009-08-04 05:56 -------- d-----w- c:\program files\trend micro
2009-09-13 14:07 . 2007-05-15 20:56 -------- d-----w- c:\program files\Common Files\Adobe
2009-08-20 07:40 . 2008-12-27 17:11 216 ----a-w- c:\winnt\run.vbs
2009-08-04 05:32 . 2008-09-17 21:26 -------- d-----w- c:\program files\IObit
2009-08-04 05:20 . 2009-08-04 05:20 -------- d-----w- c:\program files\Alwil Software
2009-08-04 04:59 . 2007-04-20 08:24 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-08-03 17:06 . 2007-04-19 09:22 -------- d-----w- c:\program files\VideoLAN
2009-08-03 17:03 . 2008-11-19 21:36 -------- d-----w- c:\program files\GRETECH
2009-08-03 17:02 . 2007-04-30 10:17 -------- d-----w- c:\program files\ICQToolbar
2009-08-03 16:52 . 2009-08-03 16:39 -------- d-----w- c:\program files\VLCPortable
2009-08-03 16:26 . 2009-08-03 16:26 -------- d-----w- c:\program files\Defraggler
2007-04-18 14:36 . 2007-04-18 14:36 22034 ---h--w- c:\program files\folder.htt
.

------- Sigcheck -------

[-] 2002-11-26 17:03 . 36678803A8030EE9A771935CFC1848BD . 52224 . . [9.0.1.56] . . c:\winnt\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 153136]
"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2009-06-30 2329224]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="c:\program files\ICQLite\ICQLite.exe" [2006-07-11 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\winnt\system32\NvCpl.dll" [2004-10-29 4620288]
"NvMediaCenter"="c:\winnt\system32\NvMcTray.dll" [2004-10-29 86016]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]
"PCSuiteTrayApplication"="c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 227328]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-04-27 282624]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2007-06-28 270648]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"ICQ Lite"="c:\program files\ICQLite\ICQLite.exe" [2006-07-11 3144800]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Synchronization Manager"="mobsync.exe" - c:\winnt\system32\mobsync.exe [2003-06-19 111888]
"nwiz"="nwiz.exe" - c:\winnt\system32\nwiz.exe [2004-10-29 921600]
"AGRSMMSG"="AGRSMMSG.exe" - c:\winnt\AGRSMMSG.exe [2003-08-20 88363]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 1744896]
"internat.exe"="internat.exe" - c:\winnt\system32\internat.exe [2000-03-20 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="c:\program files\ICQLite\ICQLite.exe" [2006-07-11 3144800]

c:\documents and settings\Katerina Vesela\Nabˇdka Start\Programy\Po spuçtŘnˇ\
CoolerXP.lnk - c:\program files\MSI\PC Alert 4\CoolerXP.exe [2007-4-19 856064]
Cyber-shot Viewer Media Check Tool.lnk - c:\program files\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2007-4-23 155648]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
PC Alert 4.lnk - c:\program files\MSI\PC Alert 4\PCAlert4.exe [2007-4-19 552960]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2007-4-18 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau]
2006-09-01 05:49 140048 ----a-w- c:\winnt\system32\NWPROVAU.DLL

R0 SONYPVM1;Sony Memory Stick Driver(SONYPVM1);c:\winnt\system32\drivers\SonyPVM1.sys [23.4.2007 18:50 28224]
R3 PCAlertDriver;PCAlertDriver;c:\program files\MSI\PC Alert 4\NTGLM7X.sys [19.4.2007 9:22 28160]
R3 usbhub20;Podpora kořenového rozbočovač rozbočovače sběrnice USB 2.0;c:\winnt\system32\drivers\usbhub20.sys [18.4.2007 20:02 49776]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - IPNAT
*NewlyCreated* - RASAUTO
*NewlyCreated* - SHAREDACCESS
.
Obsah adresáře 'Naplánované úlohy'

2009-09-08 c:\winnt\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: &ICQ Toolbar Search - c:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: %SystemRoot%\system32\msafd.dll
Trusted Zone: mojebanka.cz\www
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Katerina Vesela\Data aplikací\Mozilla\Firefox\Profiles\6h9lcen6.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - plugin: c:\program files\Mozilla Firefox\plugins\npitunes.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKCU-Run-InstallShields - iKernel.exe
HKCU-Run-Syncmgr - Syncmgr.exe
HKCU-Run-InstallShield - objectps.exe
HKCU-Run-SoundMan - SOUNDSMAN.EXE
HKLM-Run-SoundMan - SOUNDSMAN.EXE
HKLM-Run-InstallShields - iKernel.exe
HKU-Default-Run-InstallShields - iKernel.exe
HKU-Default-Run-SoundMan - SOUNDSMAN.EXE



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-14 13:39
Windows 5.0.2195 Service Pack 4 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(204)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'explorer.exe'(1056)
c:\winnt\AppPatch\AcLayers.DLL
c:\winnt\system32\SHDOCVW.DLL
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
.
Celkový čas: 2009-09-14 13:43 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-09-14 11:43

Před spuštěním: 5 524 443 136
Po spuštění: 5 498 163 200

157 --- E O F --- 2009-01-15 17:59

[earl]

Otestujte na VIRUSTOTALu a JOTTISCANu

c:\winnt\system32\comres.dll

c:\winnt\eraseme_05453.exe

c:\winnt\system32\mspmsnsv.dll

(navod prosty: po nacteni stranky kliknete na tlacitko Prochazet , najdete cestu k vyse zminenemu souboru a kliknete na tlacitko Odeslat soubor; dejte skenerum nejakych deset minut; vysledky sem vlozte)

[blizenci]

První dva soubory nebyly nalezeny....


Email:

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.24 2009.09.14 -
AhnLab-V3 5.0.0.2 2009.09.13 -
AntiVir 7.9.1.14 2009.09.14 -
Antiy-AVL 2.0.3.7 2009.09.14 -
Authentium 5.1.2.4 2009.09.14 -
Avast 4.8.1351.0 2009.09.14 -
AVG 8.5.0.412 2009.09.14 -
BitDefender 7.2 2009.09.14 -
CAT-QuickHeal 10.00 2009.09.14 -
ClamAV 0.94.1 2009.09.14 -
Comodo 2316 2009.09.14 -
DrWeb 5.0.0.12182 2009.09.14 -
eSafe 7.0.17.0 2009.09.14 -
eTrust-Vet 31.6.6736 2009.09.14 -
F-Prot 4.5.1.85 2009.09.14 -
F-Secure 8.0.14470.0 2009.09.13 -
Fortinet 3.120.0.0 2009.09.14 -
GData 19 2009.09.14 -
Ikarus T3.1.1.72.0 2009.09.14 -
Jiangmin 11.0.800 2009.09.14 -
K7AntiVirus 7.10.844 2009.09.14 -
Kaspersky 7.0.0.125 2009.09.14 -
McAfee 5740 2009.09.13 -
McAfee+Artemis 5740 2009.09.13 -
McAfee-GW-Edition 6.8.5 2009.09.14 -
Microsoft 1.5005 2009.09.14 -
NOD32 4424 2009.09.14 -
Norman 6.01.09 2009.09.11 -
nProtect 2009.1.8.0 2009.09.14 -
Panda 10.0.2.2 2009.09.13 -
PCTools 4.4.2.0 2009.09.14 -
Prevx 3.0 2009.09.14 -
Rising 21.47.04.00 2009.09.14 -
Sophos 4.45.0 2009.09.14 -
Sunbelt 3.2.1858.2 2009.09.13 -
Symantec 1.4.4.12 2009.09.14 -
TheHacker 6.3.4.4.402 2009.09.12 -
TrendMicro 8.950.0.1094 2009.09.14 -
VBA32 3.12.10.10 2009.09.13 -
ViRobot 2009.9.14.1934 2009.09.14 -
VirusBuster 4.6.5.0 2009.09.13 -
Rozšiřující informace
File size: 52224 bytes
MD5...: 36678803a8030ee9a771935cfc1848bd
SHA1..: d9f1d8a2b797f6fe9a4b89fd68ecc4599554904a
SHA256: 05e7195173e96bdc32ccfbb78f568177087accbb6373d7aea9cd37d99ac38bef
ssdeep: 1536:1Qrdsm8NJgfYsJK6cMOQ6sVFz/0YCgM2zk2k05iL:JHgfYsOQCgMWk2k05i
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3f57
timedatestamp.....: 0x3de26b94 (Mon Nov 25 18:27:32 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xa5b7 0xa600 6.47 e0885161567876c3ba7a17dd2a313860
.data 0xc000 0x6b8 0x600 4.47 b9380be49e331f16091114e45a6c8834
.rsrc 0xd000 0x7b8 0x800 3.25 a733601634e8c3288964a4fc6c66eb5c
.reloc 0xe000 0x12e0 0x1400 4.92 94d2e71202ad9efc050244b7ef326e4d

( 4 imports )
> KERNEL32.dll: QueryPerformanceCounter, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, FlushFileBuffers, GetFileAttributesA, SetFileAttributesA, GetVolumeInformationA, SetErrorMode, GetCurrentDirectoryA, GetModuleHandleA, QueryDosDeviceA, GetSystemDirectoryA, LoadLibraryA, WideCharToMultiByte, WaitNamedPipeW, CreateFileA, CreateFileW, DeviceIoControl, CompareStringA, GetDriveTypeA, GetCurrentProcess, TerminateProcess, GetModuleFileNameA, FormatMessageA, LoadLibraryExA, GetProcAddress, FormatMessageW, FreeLibrary, GetTickCount, Sleep, SetLastError, InitializeCriticalSection, DisableThreadLibraryCalls, LeaveCriticalSection, DeleteCriticalSection, LocalAlloc, CreateNamedPipeA, LocalFree, ResetEvent, GetOverlappedResult, WaitForMultipleObjects, WriteFile, ReadFile, ConnectNamedPipe, SetEvent, CloseHandle, CancelIo, WaitForSingleObject, DisconnectNamedPipe, CreateEventA, GetLastError, GetDriveTypeW, EnterCriticalSection, SetCurrentDirectoryA, GetVersionExA
> msvcrt.dll: malloc, _onexit, __dllonexit, _adjust_fdiv, _initterm, free, wcslen, wcscmp, wcscpy, __2@YAPAXI@Z, memmove, __3@YAXPAX@Z, _except_handler3, _purecall, __CxxFrameHandler, _CxxThrowException, strstr, strcpy, strncpy, memset, atoi, memcpy, isdigit, strcmp, strncmp, strlen, strcat, time, _memccpy, sscanf, sprintf, _strupr, _stricmp, _strnicmp, _ultoa, __1type_info@@UAE@XZ, _terminate@@YAXXZ
> ADVAPI32.dll: AllocateAndInitializeSid, RegOpenKeyA, RegEnumKeyA, RegOpenKeyExA, RegEnumKeyExA, RegQueryValueExA, StartServiceA, CreateServiceA, RegSetValueExA, QueryServiceStatus, ControlService, DeleteService, RegDeleteKeyA, RegCreateKeyA, RegQueryValueExW, RegSetValueExW, RegCloseKey, GetSecurityInfo, SetSecurityInfo, RegisterServiceCtrlHandlerA, SetEntriesInAclA, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, FreeSid, ImpersonateNamedPipeClient, RevertToSelf, SetServiceStatus, RegisterEventSourceA, ReportEventA, DeregisterEventSource, OpenSCManagerA, OpenServiceA, CloseServiceHandle
> USER32.dll: LoadImageA, LoadIconA, CharLowerA, CharUpperA, wsprintfA

( 4 exports )
DllMain, DllRegisterServer, DllUnregisterServer, ServiceMain
První dva soubory nebyly nalezeny...

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)

VAROVÁNÍ VAROVÁNÍ: VirusTotal je služba poskytovaná zdarma společnosti Hispasec Sistemas. Kvalita výsledků není nijak zaručena. Výsledky jsou závislé na tvůrci daného produktu. Vysledky testů nemusí být 100% správné. Tyto výsledky nemusí znamenat, že daný soubor je infikován, nebo čistý!

Scan another file
VirusTotal © Hispasec Sistemas - Blog - Kontakt: info@virustotal.com - Terms of Service & Privacy Policy
------------
Název souboru: mspmsnsv.dll
Stav:
Test dokončen. 0 z 21 programů nalezlo škodlivý kód.
Test proveden: Po 14 zář 2009 17:06:10 (CET) Trvalý odkaz

Podrobné informace
Velikost souboru: 52224 bajtů
Typ souboru: PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bit
MD5: 36678803a8030ee9a771935cfc1848bd
SHA1: d9f1d8a2b797f6fe9a4b89fd68ecc4599554904a




Výsledky
[ArcaVir]
2009-09-14 Žádný nález
[G DATA]
2009-09-14 Žádný nález
[A-Squared]
2009-09-14 Žádný nález
[Ikarus]
2009-09-14 Žádný nález
[Avast! antivirus]
2009-09-14 Žádný nález
[Kaspersky Anti-Virus]
2009-09-14 Žádný nález
[Grisoft AVG Anti-Virus]
2009-09-14 Žádný nález
[ESET NOD32]
2009-09-14 Žádný nález
[Avira AntiVir]
2009-09-14 Žádný nález
[Norman Virus Control]
2009-09-11 Žádný nález
[Softwin BitDefender]
2009-09-14 Žádný nález
[Panda Antivirus]
2009-09-13 Žádný nález
[ClamAV]
2009-09-14 Žádný nález
[Quick Heal]
2009-09-14 Žádný nález
[CPsecure]
2009-09-14 Žádný nález
[Sophos]
2009-09-14 Žádný nález
[Dr.Web]
2009-09-14 Žádný nález
[VirusBlokAda VBA32]
2009-09-13 Žádný nález
[Frisk F-Prot Antivirus]
2009-09-14 Žádný nález
[VirusBuster]
2009-09-13 Žádný nález
[F-Secure Anti-Virus]
2009-09-13 Žádný nález

[earl]

Dulezite!

Jděte na tuto internetovou stránku: http://support.microsoft.com/kb/310994
- Dole na stránce klikněte na odkaz ke stažení instalátoru Konzole pro zotavení, který odpovídá typu (Windows XP Home/Professional) a verzi (bez Service Packu / Service Pack 1 / Service Pack 2) vašeho operačního systému. Instalátor stáhněte do stejného umístění, kde máte uložený ComboFix.
- Uchopte myší stažený instalátor a přetáhněte ho nad ComboFix.

- Postupujte podle pokynů na obrazovce a potvrďte licenční podmínky pro zahájení instalace konzole.
- Při další výzvě klikněte na tlačítko Yes a ComboFix dodatečně proskenuje váš počítač.

pro verze SP3 se instaluje jako pro SP2

pokud jste tak jeste neucinil, presunte Combofix na plochu

otevrete si Poznamkovy blok

do nej zkopirujte skript z nasledujiciho okna:

Kód: Vybrat vše

Collect::
c:\winnt\eraseme_05453.exe
FCopy::
c:\windows\ServicePackFiles\i386\comres.dll  | c:\winnt\system32\comres.dll 

ulozte vami vytvoreny textovy soubor jako CFScript.txt na plochu

po ulozeni uchopte vami vytvoreny skript levym tlacitkem mysi a presunte jej nad ikonu Combofixu, nad niz skript upustte:



po aplikaci by na vas mel vyskocit dalsi log, vlozte jej sem

Upozorneni: je mozne, ze po aplikaci skriptu a restartu nenabehnou Windows, v takovem pripade znovu restartujte, po restartu mackejte F8 a zvolte Posledni znamou fukncni konfiguraci

[blizenci]

Dobrý den,
zeptám se teď jako hlupák, ale je možné stáhnout konzoli pro zotavení v jiném pc a dostat ji přes flashku do postiženého pc? Nedělám si příliš iluze, že by to šlo, ale ze zavirovaného pc se na stránky Microsoftu nemohu připojit ((( Navíc, jak jsem teď zjistila, je v nabídce pouze instalace pro Windows XP, počítač, ve kterém potřebuji konzoli nainstalovat má o.s. Windows 2000...
Předpokládám, že přeskočit tento úkon není úplně rozumné..Nebo stačí pokyn č. 2.
Díky za pochopení.

[earl]

Ano,stahnete na jinem pc konzolu pro Win 2000 a preneste do infikovaneho.Budu tu v podvecer.

[lychee]

Já tedy ještě jednou mimo pokyny...:
Měla jsem nejlepší vůli kamarádce s ,nakaženým, pomoct, ale poradit si s konzolí pro Windows 2000 se mi opravdu nepovedlo. Čili Vás ještě jednou poprosím o radu, nabízí se dvě možnosti:
Přeinstalace Windows, tu bych zvládla.
Nebo koupě legálního antiviru Norton, který, jak mojí kamarádce někdo radí z vlastní zkušenosti, se se stávající situací sám popere a počítač dá dohromady sám. Bez Vás, beze mne, beze všech a bezevšeho. Netroufám si posoudit, zdali je to reálné, a tak se znovu obracím, na Vás, moji zlatí šikovní počítačoví mágové, zejména pak na Vás, pane hrabě .
Děkuji uctivě, jako ostatně pokaždé.