Dobrý večer,
včera jsem díky vašemu fóru odviroval mé PC. Pak jsem na radu Secunia PSI aktualizoval Operu a ta naběhla na podvržené homepage. Tam jsem mohl něco "chytit". A druhá věc- chtěl jsem zároveň vyčistit flashku, vložil jsem ji do PC se stisknutým SHIFTEM a spustil na ni aktualizovaný ESET. Hlásila vše OK.
Bohužel MS OnLIne Scanner mi zase zahlásil 2 infekce. Posílám výpis z ComboFixu.
Děkuji předem:
ComboFix 10-02-05.04 - user 06.02.2010 20:30:48.5.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1983.1418 [GMT 1:00]
Spuštěný z: c:\documents and settings\user\Plocha\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-06 do 2010-02-06 )))))))))))))))))))))))))))))))
.
2010-02-06 09:42 . 2010-02-06 10:38 -------- d-----w- c:\windows\LastGood
2010-02-06 09:42 . 2010-02-06 09:42 -------- d-----w- c:\program files\Secunia
2010-02-04 16:35 . 2010-02-06 10:38 -------- d-----w- c:\program files\Windows Live Safety Center
2010-01-24 15:36 . 2010-02-02 17:42 118114 ----a-w- c:\windows\system32\e1-UPM1Hnuh-.exe
2010-01-24 15:36 . 2010-01-24 15:36 288828 ----a-w- c:\documents and settings\user\FLVDirect.exe
2010-01-24 11:02 . 2010-01-24 11:02 -------- d-----w- c:\program files\DVD Decrypter
2010-01-21 23:56 . 2010-01-21 23:56 -------- d-----w- c:\program files\Windows Live SkyDrive
2010-01-21 23:51 . 2010-01-21 23:51 -------- d-----w- c:\program files\Common Files\Windows Live
2010-01-21 23:51 . 2010-01-23 13:33 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-21 23:50 . 2010-01-21 23:56 -------- d-----w- c:\program files\Microsoft
2010-01-21 23:27 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll
2010-01-13 10:03 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-06 09:47 . 2009-11-29 16:03 -------- d-----w- c:\program files\Opera
2010-02-06 09:23 . 2002-09-23 12:00 90726 ----a-w- c:\windows\system32\perfc005.dat
2010-02-06 09:23 . 2002-09-23 12:00 458644 ----a-w- c:\windows\system32\perfh005.dat
2010-01-24 10:58 . 2009-11-28 19:10 -------- d-----w- c:\program files\Free Easy Burner
2010-01-14 10:12 . 2009-10-25 06:39 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-03 15:36 . 2010-01-03 15:35 -------- d-----w- c:\program files\OpenOffice.org 3
2009-12-29 10:37 . 2009-12-28 21:27 -------- d-----w- c:\program files\Common Files\Ahead
2009-12-28 21:27 . 2009-12-28 21:27 -------- d-----w- c:\program files\Nero
2009-12-21 19:08 . 2002-09-23 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 17:58 . 2009-12-17 17:58 -------- d-----w- c:\program files\Common Files\Borland Shared
2009-12-17 17:58 . 2009-12-17 17:58 -------- d-----w- c:\program files\Borland
2009-12-09 17:31 . 2009-12-09 17:31 -------- d-----w- c:\program files\Microsoft.NET
2009-11-21 16:03 . 2002-09-23 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-02-04_21.08.18 )))))))))))))))))))))))))))))))))))))))))
.
- 2002-09-23 12:00 . 2010-02-04 16:26 71196 c:\windows\system32\perfc009.dat
+ 2002-09-23 12:00 . 2010-02-06 09:23 71196 c:\windows\system32\perfc009.dat
- 2009-10-25 06:30 . 2009-10-26 14:36 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
+ 2009-10-25 06:30 . 2010-02-06 09:58 84661 c:\windows\system32\Macromed\Flash\uninstall_plugin.exe
+ 2009-06-17 12:20 . 2009-06-17 12:20 12648 c:\windows\system32\drivers\psi_mf.sys
- 2002-09-23 12:00 . 2010-02-04 16:26 441260 c:\windows\system32\perfh009.dat
+ 2002-09-23 12:00 . 2010-02-06 09:23 441260 c:\windows\system32\perfh009.dat
+ 2009-10-28 03:40 . 2009-10-28 03:40 257440 c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
- 2009-07-18 03:21 . 2009-07-18 03:21 257440 c:\windows\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
+ 2009-10-28 03:40 . 2009-10-28 03:40 3885984 c:\windows\system32\Macromed\Flash\NPSWF32.dll
+ 2010-02-06 09:47 . 2010-02-06 09:47 2215424 c:\windows\Installer\1a05c4.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"OrderReminder"="c:\program files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2004-12-14 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\user\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [6.2.2009 13:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [6.2.2009 13:24 93336]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [6.2.2009 13:23 727720]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [3.11.2006 19:19 13592]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [24.10.2009 20:31 28672]
S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17.6.2009 13:20 12648]
--- Ostatní služby/ovladače v paměti ---
*NewlyCreated* - PSI
.
Obsah adresáře 'Naplánované úlohy'
2010-02-06 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.ghorice.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: flvdirect.com\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\user\Data aplikací\Mozilla\Firefox\Profiles\w4bmamgw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ghorice.cz
FF - prefs.js: keyword.URL - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
FF - component: c:\program files\Mozilla Firefox\extensions\{2fc1f8b5-6143-b072-acdd-e87ad00c4e43}\components\_A0WKAyIzHB.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-06 20:33
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
c:\windows\system32\ZSHP1020.EXE [1352] 0x87E59A88
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3080)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-02-06 20:35:20
ComboFix-quarantined-files.txt 2010-02-06 19:35
ComboFix2.txt 2010-02-05 18:55
ComboFix3.txt 2010-02-04 21:09
Před spuštěním: 8 717 705 216
Po spuštění: 8 694 947 840
- - End Of File - - 91405B69B54D57DDD86D8F832499F10F
Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Prosím o kontrolu z ComboFixu - nalezeny infekce
Moderátor: Moderátoři
Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
-
Rudy
- Site Admin
- Příspěvky: 119497
- Registrován: 30 říj 2003 13:42
- Bydliště: Plzeň
- Kontaktovat uživatele:
Re: Prosím o kontrolu z ComboFixu - nalezeny infekce
V logu nic nevidím a ani CF nic nesmazal. Kde byly infekce nalezeny?
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Re: Prosím o kontrolu z ComboFixu - nalezeny infekce
Dobrý večer,
MS OnLine Scanner vypsal:
VirTool:INF/Autorun.gen
C:\windows\system32\autorun.i
Worm:AutoIt/Renocide.gen!C
C:\windows\system32\autorun.i
MS OnLine Scanner vypsal:
VirTool:INF/Autorun.gen
C:\windows\system32\autorun.i
Worm:AutoIt/Renocide.gen!C
C:\windows\system32\autorun.i
-
Rudy
- Site Admin
- Příspěvky: 119497
- Registrován: 30 říj 2003 13:42
- Bydliště: Plzeň
- Kontaktovat uživatele:
Re: Prosím o kontrolu z ComboFixu - nalezeny infekce
Otevřte poznámkový blok a zkopírujte do něj:
Uložte na plochu jako CFScript.txt. Pak jej myší přetáhněte nad ikonu ComboFix a pusťte. CF se spustí a vykoná příkazy ze skriptu.Collect::
C:\windows\system32\autorun.i
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Re: Prosím o kontrolu z ComboFixu - nalezeny infekce
Udělal jsem dle pokynu, výpis následuje:
ComboFix 10-02-06.03 - user 07.02.2010 11:25:29.6.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1983.1487 [GMT 1:00]
Spuštěný z: c:\documents and settings\user\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\user\Plocha\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
file zipped: c:\windows\system32\autorun.i
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\autorun.i
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-07 do 2010-02-07 )))))))))))))))))))))))))))))))
.
2010-02-06 09:42 . 2010-02-06 09:42 -------- d-----w- c:\program files\Secunia
2010-02-04 16:35 . 2010-02-06 10:38 -------- d-----w- c:\program files\Windows Live Safety Center
2010-01-24 15:36 . 2010-02-02 17:42 118114 ----a-w- c:\windows\system32\e1-UPM1Hnuh-.exe
2010-01-24 15:36 . 2010-01-24 15:36 288828 ----a-w- c:\documents and settings\user\FLVDirect.exe
2010-01-24 11:02 . 2010-01-24 11:02 -------- d-----w- c:\program files\DVD Decrypter
2010-01-21 23:56 . 2010-01-21 23:56 -------- d-----w- c:\program files\Windows Live SkyDrive
2010-01-21 23:51 . 2010-01-21 23:51 -------- d-----w- c:\program files\Common Files\Windows Live
2010-01-21 23:51 . 2010-01-23 13:33 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-21 23:50 . 2010-01-21 23:56 -------- d-----w- c:\program files\Microsoft
2010-01-21 23:27 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll
2010-01-13 10:03 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-07 10:19 . 2002-09-23 12:00 90726 ----a-w- c:\windows\system32\perfc005.dat
2010-02-07 10:19 . 2002-09-23 12:00 458644 ----a-w- c:\windows\system32\perfh005.dat
2010-02-06 09:47 . 2009-11-29 16:03 -------- d-----w- c:\program files\Opera
2010-01-24 10:58 . 2009-11-28 19:10 -------- d-----w- c:\program files\Free Easy Burner
2010-01-14 10:12 . 2009-10-25 06:39 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-03 15:36 . 2010-01-03 15:35 -------- d-----w- c:\program files\OpenOffice.org 3
2009-12-29 10:37 . 2009-12-28 21:27 -------- d-----w- c:\program files\Common Files\Ahead
2009-12-28 21:27 . 2009-12-28 21:27 -------- d-----w- c:\program files\Nero
2009-12-21 19:08 . 2002-09-23 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 17:58 . 2009-12-17 17:58 -------- d-----w- c:\program files\Common Files\Borland Shared
2009-12-17 17:58 . 2009-12-17 17:58 -------- d-----w- c:\program files\Borland
2009-12-09 17:31 . 2009-12-09 17:31 -------- d-----w- c:\program files\Microsoft.NET
2009-11-21 16:03 . 2002-09-23 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"OrderReminder"="c:\program files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2004-12-14 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\user\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [6.2.2009 13:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [6.2.2009 13:24 93336]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [6.2.2009 13:23 727720]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [3.11.2006 19:19 13592]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17.6.2009 13:20 12648]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [24.10.2009 20:31 28672]
.
Obsah adresáře 'Naplánované úlohy'
2010-02-07 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.ghorice.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: flvdirect.com\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\user\Data aplikací\Mozilla\Firefox\Profiles\w4bmamgw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ghorice.cz
FF - prefs.js: keyword.URL - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
FF - component: c:\program files\Mozilla Firefox\extensions\{2fc1f8b5-6143-b072-acdd-e87ad00c4e43}\components\_A0WKAyIzHB.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-07 11:29
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2010-02-07 11:32:10
ComboFix-quarantined-files.txt 2010-02-07 10:32
ComboFix2.txt 2010-02-06 19:35
Před spuštěním: 8 699 084 800
Po spuštění: 8 670 617 600
- - End Of File - - 4B92736E66BF076C096E3F94FA55D3CE
Nahr nˇ probŘhlo ŁspŘçnŘ
ComboFix 10-02-06.03 - user 07.02.2010 11:25:29.6.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1983.1487 [GMT 1:00]
Spuštěný z: c:\documents and settings\user\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\user\Plocha\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
file zipped: c:\windows\system32\autorun.i
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\autorun.i
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-07 do 2010-02-07 )))))))))))))))))))))))))))))))
.
2010-02-06 09:42 . 2010-02-06 09:42 -------- d-----w- c:\program files\Secunia
2010-02-04 16:35 . 2010-02-06 10:38 -------- d-----w- c:\program files\Windows Live Safety Center
2010-01-24 15:36 . 2010-02-02 17:42 118114 ----a-w- c:\windows\system32\e1-UPM1Hnuh-.exe
2010-01-24 15:36 . 2010-01-24 15:36 288828 ----a-w- c:\documents and settings\user\FLVDirect.exe
2010-01-24 11:02 . 2010-01-24 11:02 -------- d-----w- c:\program files\DVD Decrypter
2010-01-21 23:56 . 2010-01-21 23:56 -------- d-----w- c:\program files\Windows Live SkyDrive
2010-01-21 23:51 . 2010-01-21 23:51 -------- d-----w- c:\program files\Common Files\Windows Live
2010-01-21 23:51 . 2010-01-23 13:33 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-21 23:50 . 2010-01-21 23:56 -------- d-----w- c:\program files\Microsoft
2010-01-21 23:27 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll
2010-01-13 10:03 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-07 10:19 . 2002-09-23 12:00 90726 ----a-w- c:\windows\system32\perfc005.dat
2010-02-07 10:19 . 2002-09-23 12:00 458644 ----a-w- c:\windows\system32\perfh005.dat
2010-02-06 09:47 . 2009-11-29 16:03 -------- d-----w- c:\program files\Opera
2010-01-24 10:58 . 2009-11-28 19:10 -------- d-----w- c:\program files\Free Easy Burner
2010-01-14 10:12 . 2009-10-25 06:39 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-03 15:36 . 2010-01-03 15:35 -------- d-----w- c:\program files\OpenOffice.org 3
2009-12-29 10:37 . 2009-12-28 21:27 -------- d-----w- c:\program files\Common Files\Ahead
2009-12-28 21:27 . 2009-12-28 21:27 -------- d-----w- c:\program files\Nero
2009-12-21 19:08 . 2002-09-23 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 17:58 . 2009-12-17 17:58 -------- d-----w- c:\program files\Common Files\Borland Shared
2009-12-17 17:58 . 2009-12-17 17:58 -------- d-----w- c:\program files\Borland
2009-12-09 17:31 . 2009-12-09 17:31 -------- d-----w- c:\program files\Microsoft.NET
2009-11-21 16:03 . 2002-09-23 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"OrderReminder"="c:\program files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2004-12-14 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\user\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [6.2.2009 13:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [6.2.2009 13:24 93336]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [6.2.2009 13:23 727720]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [3.11.2006 19:19 13592]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17.6.2009 13:20 12648]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [24.10.2009 20:31 28672]
.
Obsah adresáře 'Naplánované úlohy'
2010-02-07 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.ghorice.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: flvdirect.com\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\user\Data aplikací\Mozilla\Firefox\Profiles\w4bmamgw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ghorice.cz
FF - prefs.js: keyword.URL - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
FF - component: c:\program files\Mozilla Firefox\extensions\{2fc1f8b5-6143-b072-acdd-e87ad00c4e43}\components\_A0WKAyIzHB.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-07 11:29
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2010-02-07 11:32:10
ComboFix-quarantined-files.txt 2010-02-07 10:32
ComboFix2.txt 2010-02-06 19:35
Před spuštěním: 8 699 084 800
Po spuštění: 8 670 617 600
- - End Of File - - 4B92736E66BF076C096E3F94FA55D3CE
Nahr nˇ probŘhlo ŁspŘçnŘ
-
Rudy
- Site Admin
- Příspěvky: 119497
- Registrován: 30 říj 2003 13:42
- Bydliště: Plzeň
- Kontaktovat uživatele:
Re: Prosím o kontrolu z ComboFixu - nalezeny infekce
Smazáno, log vypadá čistý.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Re: Prosím o kontrolu z ComboFixu - nalezeny infekce
Děkuji,
ještě jedna věc: dělám to dobře, když chci odvirovat flashdisk - že při zasunování disku držím SHIFT klávesu, počkám, a pak na ni pustím ESET? Nezaviruju si zase comp?
Děkuji
Jiří
ještě jedna věc: dělám to dobře, když chci odvirovat flashdisk - že při zasunování disku držím SHIFT klávesu, počkám, a pak na ni pustím ESET? Nezaviruju si zase comp?
Děkuji
Jiří
-
Rudy
- Site Admin
- Příspěvky: 119497
- Registrován: 30 říj 2003 13:42
- Bydliště: Plzeň
- Kontaktovat uživatele:
Re: Prosím o kontrolu z ComboFixu - nalezeny infekce
Já bych doporučil na odvirování flash disků FlashDisinfector: http://experi3nc3.wordpress.com/2007/05 ... r-by-subs/ .
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Re: Prosím o kontrolu z ComboFixu - nalezeny infekce
Děkuji za radu. Použiju.
Už jsem asi paranoidní, ale MS OnLine scanner mi našel úplně stejný problém s autorun.i, který jsem Vám posílal ke kontrole. Pustil jsem na něj znovu CF i se scriptem, který jste mi radil a myslím, že tam nic není. Tak nevím, jestli si MS ze mě nedělá srandu.
Pro jistotu, prosím, zasílám výpis:
ComboFix 10-02-07.04 - user 07.02.2010 21:23:05.8.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1983.1429 [GMT 1:00]
Spuštěný z: c:\documents and settings\user\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\user\Plocha\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-07 do 2010-02-07 )))))))))))))))))))))))))))))))
.
2010-01-24 15:36 . 2010-02-02 17:42 118114 ----a-w- c:\windows\system32\e1-UPM1Hnuh-.exe
2010-01-24 15:36 . 2010-01-24 15:36 288828 ----a-w- c:\documents and settings\user\FLVDirect.exe
2010-01-24 11:02 . 2010-01-24 11:02 -------- d-----w- c:\program files\DVD Decrypter
2010-01-21 23:56 . 2010-01-21 23:56 -------- d-----w- c:\program files\Windows Live SkyDrive
2010-01-21 23:51 . 2010-01-21 23:51 -------- d-----w- c:\program files\Common Files\Windows Live
2010-01-21 23:51 . 2010-01-23 13:33 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-21 23:50 . 2010-01-21 23:56 -------- d-----w- c:\program files\Microsoft
2010-01-21 23:27 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll
2010-01-13 10:03 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-07 19:17 . 2002-09-23 12:00 90726 ----a-w- c:\windows\system32\perfc005.dat
2010-02-07 19:17 . 2002-09-23 12:00 458644 ----a-w- c:\windows\system32\perfh005.dat
2010-02-07 12:18 . 2010-02-04 16:35 -------- d-----w- c:\program files\Windows Live Safety Center
2010-02-06 09:47 . 2009-11-29 16:03 -------- d-----w- c:\program files\Opera
2010-02-06 09:42 . 2010-02-06 09:42 -------- d-----w- c:\program files\Secunia
2010-01-24 10:58 . 2009-11-28 19:10 -------- d-----w- c:\program files\Free Easy Burner
2010-01-14 10:12 . 2009-10-25 06:39 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-03 15:36 . 2010-01-03 15:35 -------- d-----w- c:\program files\OpenOffice.org 3
2009-12-29 10:37 . 2009-12-28 21:27 -------- d-----w- c:\program files\Common Files\Ahead
2009-12-28 21:27 . 2009-12-28 21:27 -------- d-----w- c:\program files\Nero
2009-12-21 19:08 . 2002-09-23 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 17:58 . 2009-12-17 17:58 -------- d-----w- c:\program files\Common Files\Borland Shared
2009-12-17 17:58 . 2009-12-17 17:58 -------- d-----w- c:\program files\Borland
2009-11-21 16:03 . 2002-09-23 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"OrderReminder"="c:\program files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2004-12-14 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\user\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [6.2.2009 13:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [6.2.2009 13:24 93336]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [6.2.2009 13:23 727720]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [3.11.2006 19:19 13592]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17.6.2009 13:20 12648]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [24.10.2009 20:31 28672]
.
Obsah adresáře 'Naplánované úlohy'
2010-02-07 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.ghorice.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: flvdirect.com\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\user\Data aplikací\Mozilla\Firefox\Profiles\w4bmamgw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ghorice.cz
FF - prefs.js: keyword.URL - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
FF - component: c:\program files\Mozilla Firefox\extensions\{2fc1f8b5-6143-b072-acdd-e87ad00c4e43}\components\_A0WKAyIzHB.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-07 21:26
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3752)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-02-07 21:29:14
ComboFix-quarantined-files.txt 2010-02-07 20:29
ComboFix2.txt 2010-02-07 19:25
ComboFix3.txt 2010-02-07 10:32
Před spuštěním: 8 568 741 888
Po spuštění: 8 553 136 128
- - End Of File - - 33B5CE1CB1F644F582709A76604A32EE
Už jsem asi paranoidní, ale MS OnLine scanner mi našel úplně stejný problém s autorun.i, který jsem Vám posílal ke kontrole. Pustil jsem na něj znovu CF i se scriptem, který jste mi radil a myslím, že tam nic není. Tak nevím, jestli si MS ze mě nedělá srandu.
Pro jistotu, prosím, zasílám výpis:
ComboFix 10-02-07.04 - user 07.02.2010 21:23:05.8.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1983.1429 [GMT 1:00]
Spuštěný z: c:\documents and settings\user\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\user\Plocha\CFScript.txt
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-07 do 2010-02-07 )))))))))))))))))))))))))))))))
.
2010-01-24 15:36 . 2010-02-02 17:42 118114 ----a-w- c:\windows\system32\e1-UPM1Hnuh-.exe
2010-01-24 15:36 . 2010-01-24 15:36 288828 ----a-w- c:\documents and settings\user\FLVDirect.exe
2010-01-24 11:02 . 2010-01-24 11:02 -------- d-----w- c:\program files\DVD Decrypter
2010-01-21 23:56 . 2010-01-21 23:56 -------- d-----w- c:\program files\Windows Live SkyDrive
2010-01-21 23:51 . 2010-01-21 23:51 -------- d-----w- c:\program files\Common Files\Windows Live
2010-01-21 23:51 . 2010-01-23 13:33 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-21 23:50 . 2010-01-21 23:56 -------- d-----w- c:\program files\Microsoft
2010-01-21 23:27 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll
2010-01-13 10:03 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-07 19:17 . 2002-09-23 12:00 90726 ----a-w- c:\windows\system32\perfc005.dat
2010-02-07 19:17 . 2002-09-23 12:00 458644 ----a-w- c:\windows\system32\perfh005.dat
2010-02-07 12:18 . 2010-02-04 16:35 -------- d-----w- c:\program files\Windows Live Safety Center
2010-02-06 09:47 . 2009-11-29 16:03 -------- d-----w- c:\program files\Opera
2010-02-06 09:42 . 2010-02-06 09:42 -------- d-----w- c:\program files\Secunia
2010-01-24 10:58 . 2009-11-28 19:10 -------- d-----w- c:\program files\Free Easy Burner
2010-01-14 10:12 . 2009-10-25 06:39 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-03 15:36 . 2010-01-03 15:35 -------- d-----w- c:\program files\OpenOffice.org 3
2009-12-29 10:37 . 2009-12-28 21:27 -------- d-----w- c:\program files\Common Files\Ahead
2009-12-28 21:27 . 2009-12-28 21:27 -------- d-----w- c:\program files\Nero
2009-12-21 19:08 . 2002-09-23 12:00 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 17:58 . 2009-12-17 17:58 -------- d-----w- c:\program files\Common Files\Borland Shared
2009-12-17 17:58 . 2009-12-17 17:58 -------- d-----w- c:\program files\Borland
2009-11-21 16:03 . 2002-09-23 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-02-06 2021400]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2006-11-03 866584]
"OrderReminder"="c:\program files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2004-12-14 98304]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\user\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Secunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2009-8-21 900816]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\RM.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\Studio.exe"=
"c:\\Program Files\\Pinnacle\\Studio 12\\Programs\\umi.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [6.2.2009 13:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [6.2.2009 13:24 93336]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [6.2.2009 13:23 727720]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [3.11.2006 19:19 13592]
R3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [17.6.2009 13:20 12648]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [24.10.2009 20:31 28672]
.
Obsah adresáře 'Naplánované úlohy'
2010-02-07 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.ghorice.cz/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: flvdirect.com\www
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\user\Data aplikací\Mozilla\Firefox\Profiles\w4bmamgw.default\
FF - prefs.js: browser.search.defaulturl - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ghorice.cz
FF - prefs.js: keyword.URL - hxxp://flvdirect.iamwired.net/websearch.php?src=tops&search=
FF - component: c:\program files\Mozilla Firefox\extensions\{2fc1f8b5-6143-b072-acdd-e87ad00c4e43}\components\_A0WKAyIzHB.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-07 21:26
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'winlogon.exe'(724)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(3752)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-02-07 21:29:14
ComboFix-quarantined-files.txt 2010-02-07 20:29
ComboFix2.txt 2010-02-07 19:25
ComboFix3.txt 2010-02-07 10:32
Před spuštěním: 8 568 741 888
Po spuštění: 8 553 136 128
- - End Of File - - 33B5CE1CB1F644F582709A76604A32EE
-
Rudy
- Site Admin
- Příspěvky: 119497
- Registrován: 30 říj 2003 13:42
- Bydliště: Plzeň
- Kontaktovat uživatele:
Re: Prosím o kontrolu z ComboFixu - nalezeny infekce
CF již vypadá čistý.
Dotazy a logy vkládejte pouze do vašich threadů. Soukromé zprávy, icq a e-maily neslouží k řešení vašich problémů.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Podpořte, prosím, naše fórum : https://platba.viry.cz/payment/.
Navštivte:
e-mail: rudy(zavináč)forum.viry.cz
Varování: Před odvirováním PC si udělejte zálohy svých důležitých dat (pošta, kontakty, dokumenty, fotografie, videa, hudba apod.). Virus mimo svých "viditelných" aktivit může poškodit systém!
Po dořešení vašeho problému bude vlákno zamknuto. Stejně tak tehdy, pokud bude nečinné více než 14dnů. Pokud budete chtít vlákno aktivovat, napište mi na mail uvedený výše.
Přispějete na provoz fóra?