Help Norton hlasí Trojan.MebRoot

[Galder]

Zdar, potřeboval bych helpnout s logem, na compu, kde je ten disk mám Noda, ale ten nic nenašel. Když ale dám disk do druhého počítače, kde je Norton, tak mi hned vyjede hláška mebroot detected. Odstraní ho, ale po restartu je tam zase. Zkoušel jsem fixmbr přes konzolu zotavení, nefunguje, norton stále detekuje mebroot. Přikládám log z combofixu a mbr. U combofixu se mi nelíbí věci s otazníkem - docela divoké názvy exe souborů. Co teď dál, abych se te svině zbavil? Dík moc za radu.

Výpis Combofix:
ComboFix 10-02-27.04 - Administrator 02.03.2010 17:40:41.4.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1535.1056 [GMT 1:00]
Spuštěný z: c:\documents and settings\Uživatel\Plocha\ComboFix.exe
AV: Eset NOD32 Antivirus 2.70 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-02-02 do 2010-03-02 )))))))))))))))))))))))))))))))
.

2010-03-01 17:41 . 2010-03-01 20:27 -------- d-----r- c:\documents and settings\LocalService\Dokumenty
2010-03-01 17:15 . 2010-03-01 17:15 34816 ----a-w- c:\windows\system32\drivers\repeal.sys
2010-03-01 15:39 . 2010-03-01 15:39 161296 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2010-02-28 17:27 . 2010-02-28 20:11 -------- d-----w- C:\Utils
2010-02-28 16:05 . 2010-02-28 16:06 -------- d-----w- c:\documents and settings\Administrator\.gimp-2.6
2010-02-28 16:05 . 2010-02-28 16:05 -------- d-----w- c:\documents and settings\Administrator\.gegl-0.0
2010-02-28 12:01 . 2010-02-28 12:01 -------- d-----w- c:\program files\QuickTime
2010-02-28 07:44 . 2010-02-28 07:44 0 ----a-w- c:\windows\ativpsrm.bin
2010-02-11 04:46 . 2010-02-11 04:46 442368 ----a-w- c:\windows\system32\ATIDEMGX.dll
2010-02-11 04:37 . 2010-02-11 04:37 290816 ----a-w- c:\windows\system32\atiok3x2.dll
2010-02-11 04:23 . 2010-02-11 04:23 45056 ----a-w- c:\windows\system32\aticalrt.dll
2010-02-11 04:22 . 2010-02-11 04:22 45056 ----a-w- c:\windows\system32\aticalcl.dll
2010-02-11 04:21 . 2010-02-11 04:21 3227648 ----a-w- c:\windows\system32\aticaldd.dll
2010-02-11 04:12 . 2010-02-11 04:12 887724 ----a-w- c:\windows\system32\ativva6x.dat
2010-02-11 04:12 . 2010-02-11 04:12 3107788 ----a-w- c:\windows\system32\ativva5x.dat
2010-02-11 03:59 . 2010-02-11 03:59 49664 ----a-w- c:\windows\system32\amdpcom32.dll
2010-02-11 03:54 . 2010-02-11 03:54 126976 ----a-w- c:\windows\system32\atiadlxx.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-02 16:09 . 2009-05-27 19:59 -------- d-----w- c:\program files\Spyware Terminator
2010-03-02 15:53 . 2009-08-21 16:50 96384 ----a-w- c:\windows\system32\drivers\sptd2701.sys
2010-02-28 12:33 . 2009-05-27 13:40 -------- d-----w- c:\program files\CCleaner
2010-02-28 12:11 . 2008-02-02 14:50 23 ----a-w- c:\windows\popcinfot.dat
2010-02-28 07:41 . 2006-10-25 19:45 -------- d-----w- c:\program files\ATI Technologies
2010-02-28 07:40 . 2006-10-25 19:41 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-28 07:14 . 2007-09-06 17:28 -------- d-----w- c:\program files\Common Files\Adobe
2010-02-27 20:27 . 2009-08-21 16:53 -------- d-----w- c:\program files\DAEMON Tools
2010-02-27 16:29 . 2009-05-31 09:47 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-02-11 07:38 . 2006-01-04 19:46 3565056 ----a-w- c:\windows\system32\drivers\ati2mtag.sys
2010-02-11 05:17 . 2006-01-04 19:01 11845632 ----a-w- c:\windows\system32\atioglxx.dll
2010-02-11 05:07 . 2006-10-25 19:45 307200 ----a-w- c:\windows\system32\atiiiexx.dll
2010-02-11 04:45 . 2006-01-04 19:47 325120 ----a-w- c:\windows\system32\ati2dvag.dll
2010-02-11 04:36 . 2006-01-04 19:41 204800 ----a-w- c:\windows\system32\atipdlxx.dll
2010-02-11 04:35 . 2006-01-04 19:41 155648 ----a-w- c:\windows\system32\Oemdspif.dll
2010-02-11 04:35 . 2006-01-04 19:41 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe
2010-02-11 04:35 . 2006-01-04 19:41 43520 ----a-w- c:\windows\system32\ati2edxx.dll
2010-02-11 04:35 . 2006-01-04 19:41 155648 ----a-w- c:\windows\system32\ati2evxx.dll
2010-02-11 04:33 . 2006-01-04 19:39 602112 ----a-w- c:\windows\system32\ati2evxx.exe
2010-02-11 04:32 . 2006-01-04 19:39 53248 ----a-w- c:\windows\system32\ATIDDC.DLL
2010-02-11 04:25 . 2006-01-04 19:31 3818144 ----a-w- c:\windows\system32\ati3duag.dll
2010-02-11 04:19 . 2006-01-04 19:10 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2010-02-11 04:12 . 2006-01-04 19:25 2670592 ----a-w- c:\windows\system32\ativvaxx.dll
2010-02-11 03:55 . 2006-01-04 19:11 475136 ----a-w- c:\windows\system32\atikvmag.dll
2010-02-11 03:53 . 2006-01-04 19:11 17408 ----a-w- c:\windows\system32\atitvo32.dll
2010-02-11 03:47 . 2006-01-04 19:05 626688 ----a-w- c:\windows\system32\ati2cqag.dll
2010-02-10 20:20 . 2006-10-25 20:06 593920 ------w- c:\windows\system32\ati2sgag.exe
2010-02-06 13:08 . 2008-11-15 16:01 -------- d-----w- c:\program files\Google
2009-12-31 16:50 . 2007-11-03 18:10 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:08 . 2004-08-17 13:49 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 07:42 . 2006-10-25 19:15 343552 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2004-08-17 13:49 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 18:51 . 2001-10-25 14:00 82720 -c--a-w- c:\windows\system32\perfc005.dat
2009-12-09 18:51 . 2001-10-25 14:00 437890 -c--a-w- c:\windows\system32\perfh005.dat
2009-12-09 10:11 . 2007-11-03 18:01 2191360 ------w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:11 . 2007-11-03 18:01 2068224 ------w- c:\windows\system32\ntkrnlpa.exe
2009-12-04 18:22 . 2007-11-03 18:01 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2009-05-20 177464]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2009-05-20 12:36 1258808 ----a-w- c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2009-05-20 1258808]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2009-05-20 1258808]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-05-27 949376]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2006-09-26 35328]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-04 16120832]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"QuickTime Task"="c:\documents and settings\Uživatel\Plocha\Programy\QTTask.exe" [2009-05-26 413696]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2005-11-08 128920]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2009-05-20 111928]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\TrackMania Sunrise\\TmSunrise.exe"=
"c:\\Program Files\\Ubi Soft\\IL2 Sturmovik\\il2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\system32\\dbeng6.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Track Mania\\TrackMania.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:Remote Desktop

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [5.7.2006 13:46 63352]
R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [27.5.2009 15:07 15424]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [27.5.2009 20:59 142592]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [3.8.2009 19:28 55152]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [15.2.2009 10:55 222968]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21.8.2009 17:50 664064]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [6.2.2010 14:08 135664]
S3 AMIUFJDYVXK;AMIUFJDYVXK;c:\docume~1\ADMINI~1\LOCALS~1\Temp\AMIUFJDYVXK.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\AMIUFJDYVXK.exe [?]
S3 CXJRPE;CXJRPE;c:\docume~1\ADMINI~1\LOCALS~1\Temp\CXJRPE.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\CXJRPE.exe [?]
S3 DPKXMH;DPKXMH;c:\docume~1\ADMINI~1\LOCALS~1\Temp\DPKXMH.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\DPKXMH.exe [?]
S3 fsssvc;Windows Live Zabezpečení rodiny;c:\program files\Windows Live\Family Safety\fsssvc.exe [6.2.2009 17:08 533360]
S3 GJTHX;GJTHX;c:\docume~1\ADMINI~1\LOCALS~1\Temp\GJTHX.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\GJTHX.exe [?]
S3 GPSRZ;GPSRZ;c:\docume~1\ADMINI~1\LOCALS~1\Temp\GPSRZ.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\GPSRZ.exe [?]
S3 repeal;repeal;c:\windows\system32\drivers\repeal.sys [1.3.2010 18:15 34816]
S3 RKKGXDHOQYJVFN;RKKGXDHOQYJVFN;c:\docume~1\ADMINI~1\LOCALS~1\Temp\RKKGXDHOQYJVFN.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\RKKGXDHOQYJVFN.exe [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 TQNXOBEHTTEGQ;TQNXOBEHTTEGQ;c:\docume~1\ADMINI~1\LOCALS~1\Temp\TQNXOBEHTTEGQ.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\TQNXOBEHTTEGQ.exe [?]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [20.7.2007 17:01 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [20.7.2007 17:01 85696]
S3 XLP;XLP;c:\docume~1\ADMINI~1\LOCALS~1\Temp\XLP.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\XLP.exe [?]
.
Obsah adresáře 'Naplánované úlohy'

2010-03-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 13:08]

2010-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 13:08]

2010-03-02 c:\windows\Tasks\Norton Security Scan for Uživatel.job
- c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.7.0.52\Nss.exe [2009-12-13 12:12]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
mStart Page = hxxp://home.sweetim.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
TCP: {BDDF3F45-9035-4AC9-8D76-6124F2EF5990} = 10.1.1.1,10.1.1.2
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-02 17:42
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-682003330-562591055-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,14,7c,95,e8,e9,fe,6f,40,86,94,e0,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,14,7c,95,e8,e9,fe,6f,40,86,94,e0,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\WPAEvents]
@Denied: (Full) (LocalSystem)
"OOBETimer"=hex:ff,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(808)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1260)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-03-02 17:43:40
ComboFix-quarantined-files.txt 2010-03-02 16:43
ComboFix2.txt 2010-03-02 16:28

Před spuštěním: Volných bajtů: 15 362 871 296
Po spuštění: Volných bajtů: 15 344 844 800

- - End Of File - - 4D767AB29C0440B37C01C9B147E8D606


Výpis mbr:
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

[Galder]

Omlouvám se

tady je výpis z ComboFix2.txt
ComboFix 10-02-27.04 - Administrator 02.03.2010 17:23:05.3.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1535.1149 [GMT 1:00]
Spuštěný z: c:\documents and settings\Uživatel\Plocha\ComboFix.exe
AV: Eset NOD32 Antivirus 2.70 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Rezidentní štít AV je zapnutý

.

((((((((((((((((((((((((( Soubory vytvořené od 2010-02-02 do 2010-03-02 )))))))))))))))))))))))))))))))
.

2010-03-01 17:41 . 2010-03-01 20:27 -------- d-----r- c:\documents and settings\LocalService\Dokumenty
2010-03-01 17:15 . 2010-03-01 17:15 34816 ----a-w- c:\windows\system32\drivers\repeal.sys
2010-03-01 15:39 . 2010-03-01 15:39 161296 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2010-02-28 17:27 . 2010-02-28 20:11 -------- d-----w- C:\Utils
2010-02-28 16:05 . 2010-02-28 16:06 -------- d-----w- c:\documents and settings\Administrator\.gimp-2.6
2010-02-28 16:05 . 2010-02-28 16:05 -------- d-----w- c:\documents and settings\Administrator\.gegl-0.0
2010-02-28 12:01 . 2010-02-28 12:01 -------- d-----w- c:\program files\QuickTime
2010-02-28 07:44 . 2010-02-28 07:44 0 ----a-w- c:\windows\ativpsrm.bin
2010-02-11 04:46 . 2010-02-11 04:46 442368 ----a-w- c:\windows\system32\ATIDEMGX.dll
2010-02-11 04:37 . 2010-02-11 04:37 290816 ----a-w- c:\windows\system32\atiok3x2.dll
2010-02-11 04:23 . 2010-02-11 04:23 45056 ----a-w- c:\windows\system32\aticalrt.dll
2010-02-11 04:22 . 2010-02-11 04:22 45056 ----a-w- c:\windows\system32\aticalcl.dll
2010-02-11 04:21 . 2010-02-11 04:21 3227648 ----a-w- c:\windows\system32\aticaldd.dll
2010-02-11 04:12 . 2010-02-11 04:12 887724 ----a-w- c:\windows\system32\ativva6x.dat
2010-02-11 04:12 . 2010-02-11 04:12 3107788 ----a-w- c:\windows\system32\ativva5x.dat
2010-02-11 03:59 . 2010-02-11 03:59 49664 ----a-w- c:\windows\system32\amdpcom32.dll
2010-02-11 03:54 . 2010-02-11 03:54 126976 ----a-w- c:\windows\system32\atiadlxx.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-02 16:09 . 2009-05-27 19:59 -------- d-----w- c:\program files\Spyware Terminator
2010-03-02 15:53 . 2009-08-21 16:50 96384 ----a-w- c:\windows\system32\drivers\sptd2701.sys
2010-02-28 12:33 . 2009-05-27 13:40 -------- d-----w- c:\program files\CCleaner
2010-02-28 12:11 . 2008-02-02 14:50 23 ----a-w- c:\windows\popcinfot.dat
2010-02-28 07:41 . 2006-10-25 19:45 -------- d-----w- c:\program files\ATI Technologies
2010-02-28 07:40 . 2006-10-25 19:41 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-28 07:14 . 2007-09-06 17:28 -------- d-----w- c:\program files\Common Files\Adobe
2010-02-27 20:27 . 2009-08-21 16:53 -------- d-----w- c:\program files\DAEMON Tools
2010-02-27 16:29 . 2009-05-31 09:47 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-02-11 07:38 . 2006-01-04 19:46 3565056 ----a-w- c:\windows\system32\drivers\ati2mtag.sys
2010-02-11 05:17 . 2006-01-04 19:01 11845632 ----a-w- c:\windows\system32\atioglxx.dll
2010-02-11 05:07 . 2006-10-25 19:45 307200 ----a-w- c:\windows\system32\atiiiexx.dll
2010-02-11 04:45 . 2006-01-04 19:47 325120 ----a-w- c:\windows\system32\ati2dvag.dll
2010-02-11 04:36 . 2006-01-04 19:41 204800 ----a-w- c:\windows\system32\atipdlxx.dll
2010-02-11 04:35 . 2006-01-04 19:41 155648 ----a-w- c:\windows\system32\Oemdspif.dll
2010-02-11 04:35 . 2006-01-04 19:41 26112 ----a-w- c:\windows\system32\Ati2mdxx.exe
2010-02-11 04:35 . 2006-01-04 19:41 43520 ----a-w- c:\windows\system32\ati2edxx.dll
2010-02-11 04:35 . 2006-01-04 19:41 155648 ----a-w- c:\windows\system32\ati2evxx.dll
2010-02-11 04:33 . 2006-01-04 19:39 602112 ----a-w- c:\windows\system32\ati2evxx.exe
2010-02-11 04:32 . 2006-01-04 19:39 53248 ----a-w- c:\windows\system32\ATIDDC.DLL
2010-02-11 04:25 . 2006-01-04 19:31 3818144 ----a-w- c:\windows\system32\ati3duag.dll
2010-02-11 04:19 . 2006-01-04 19:10 53248 ----a-w- c:\windows\system32\drivers\ati2erec.dll
2010-02-11 04:12 . 2006-01-04 19:25 2670592 ----a-w- c:\windows\system32\ativvaxx.dll
2010-02-11 03:55 . 2006-01-04 19:11 475136 ----a-w- c:\windows\system32\atikvmag.dll
2010-02-11 03:53 . 2006-01-04 19:11 17408 ----a-w- c:\windows\system32\atitvo32.dll
2010-02-11 03:47 . 2006-01-04 19:05 626688 ----a-w- c:\windows\system32\ati2cqag.dll
2010-02-10 20:20 . 2006-10-25 20:06 593920 ------w- c:\windows\system32\ati2sgag.exe
2010-02-06 13:08 . 2008-11-15 16:01 -------- d-----w- c:\program files\Google
2009-12-31 16:50 . 2007-11-03 18:10 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:08 . 2004-08-17 13:49 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 07:42 . 2006-10-25 19:15 343552 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2004-08-17 13:49 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 18:51 . 2001-10-25 14:00 82720 -c--a-w- c:\windows\system32\perfc005.dat
2009-12-09 18:51 . 2001-10-25 14:00 437890 -c--a-w- c:\windows\system32\perfh005.dat
2009-12-09 10:11 . 2007-11-03 18:01 2191360 ------w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:11 . 2007-11-03 18:01 2068224 ------w- c:\windows\system32\ntkrnlpa.exe
2009-12-04 18:22 . 2007-11-03 18:01 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2009-05-20 177464]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2009-05-20 12:36 1258808 ----a-w- c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2009-05-20 1258808]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2009-05-20 1258808]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-05-27 949376]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2006-09-26 35328]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-04 16120832]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"QuickTime Task"="c:\documents and settings\Uživatel\Plocha\Programy\QTTask.exe" [2009-05-26 413696]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2005-11-08 128920]
"SweetIM"="c:\program files\SweetIM\Messenger\SweetIM.exe" [2009-05-20 111928]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-10 61440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\TrackMania Sunrise\\TmSunrise.exe"=
"c:\\Program Files\\Ubi Soft\\IL2 Sturmovik\\il2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\WINDOWS\\system32\\dbeng6.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Track Mania\\TrackMania.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:Remote Desktop

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [5.7.2006 13:46 63352]
R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [27.5.2009 15:07 15424]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [27.5.2009 20:59 142592]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [3.8.2009 19:28 55152]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [15.2.2009 10:55 222968]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21.8.2009 17:50 664064]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [6.2.2010 14:08 135664]
S3 AMIUFJDYVXK;AMIUFJDYVXK;c:\docume~1\ADMINI~1\LOCALS~1\Temp\AMIUFJDYVXK.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\AMIUFJDYVXK.exe [?]
S3 CXJRPE;CXJRPE;c:\docume~1\ADMINI~1\LOCALS~1\Temp\CXJRPE.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\CXJRPE.exe [?]
S3 DPKXMH;DPKXMH;c:\docume~1\ADMINI~1\LOCALS~1\Temp\DPKXMH.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\DPKXMH.exe [?]
S3 fsssvc;Windows Live Zabezpečení rodiny;c:\program files\Windows Live\Family Safety\fsssvc.exe [6.2.2009 17:08 533360]
S3 GJTHX;GJTHX;c:\docume~1\ADMINI~1\LOCALS~1\Temp\GJTHX.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\GJTHX.exe [?]
S3 GPSRZ;GPSRZ;c:\docume~1\ADMINI~1\LOCALS~1\Temp\GPSRZ.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\GPSRZ.exe [?]
S3 repeal;repeal;c:\windows\system32\drivers\repeal.sys [1.3.2010 18:15 34816]
S3 RKKGXDHOQYJVFN;RKKGXDHOQYJVFN;c:\docume~1\ADMINI~1\LOCALS~1\Temp\RKKGXDHOQYJVFN.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\RKKGXDHOQYJVFN.exe [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 TQNXOBEHTTEGQ;TQNXOBEHTTEGQ;c:\docume~1\ADMINI~1\LOCALS~1\Temp\TQNXOBEHTTEGQ.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\TQNXOBEHTTEGQ.exe [?]
S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [20.7.2007 17:01 87824]
S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [20.7.2007 17:01 85696]
S3 XLP;XLP;c:\docume~1\ADMINI~1\LOCALS~1\Temp\XLP.exe --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\XLP.exe [?]
.
Obsah adresáře 'Naplánované úlohy'

2010-03-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 13:08]

2010-03-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 13:08]

2010-03-02 c:\windows\Tasks\Norton Security Scan for Uživatel.job
- c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.7.0.52\Nss.exe [2009-12-13 12:12]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
mStart Page = hxxp://home.sweetim.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
TCP: {BDDF3F45-9035-4AC9-8D76-6124F2EF5990} = 10.1.1.1,10.1.1.2
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-02 17:27
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-682003330-562591055-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,14,7c,95,e8,e9,fe,6f,40,86,94,e0,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,14,7c,95,e8,e9,fe,6f,40,86,94,e0,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\WPAEvents]
@Denied: (Full) (LocalSystem)
"OOBETimer"=hex:ff,d5,71,d6,8b,6a,8d,6f,d5,33,93,fd
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(808)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2010-03-02 17:28:51
ComboFix-quarantined-files.txt 2010-03-02 16:28

Před spuštěním: Volných bajtů: 15 376 642 048
Po spuštění: Volných bajtů: 15 349 493 760

- - End Of File - - 193848B8FF982E89E8C96926E7849851



a tady výpis z ComboFix-quarantined-files.txt

2010-03-02 16:26:44 . 2010-03-02 16:41:56 5,817 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2010-03-02 16:22:06 . 2010-03-02 16:40:19 102 ----a-w- C:\Qoobox\Quarantine\catchme.log

[Galder]

Dík moc, disky nemám dva, jenom jsem ten disk připojil k sobě do počítače, kde mam nortona abych udělal scan. Ten komp není můj, ale kámoše. Jeho dětičky se snažily . Ale co se dá dělat, ješte, že tu jsou lidi jako vy. Zatím.

[Galder]

Výpis z gmeru, už jsem ho měl udělaný odpoledne. Pro lepší orienatci dávám původní log a ne kopii.

[Galder]

JJ je to ten samý komp,co už čistil Rudy . Druhý log dělám.

[Galder]

Výpisy:
2. výpis z gmer - zip


avenger výpis:

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "AMIUFJDYVXK" deleted successfully.
Driver "CXJRPE" deleted successfully.
Driver "DPKXMH" deleted successfully.
Driver "GJTHX" deleted successfully.
Driver "GPSRZ" deleted successfully.
Driver "repeal" deleted successfully.
Driver "RKKGXDHOQYJVFN" deleted successfully.
Driver "TQNXOBEHTTEGQ" deleted successfully.
Driver "XLP" deleted successfully.
File "c:\windows\system32\drivers\repeal.sys" deleted successfully.
File "c:\windows\system32\drivers\tmcomm.sys" deleted successfully.

Completed script processing.

Další dodám jak budou hotové.

Takže tady je výpis z mbr

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !


Tady je z mbr -t:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe >>UNKNOWN [0x8A550BF8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> 0x8a550bf8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !
Use "Recovery Console" command "fixmbr" to clear infection !


a Otl jsem zazipoval je tam toho hodně


fixmbr jsem provedl, akorát házelo to chybu pokud jsem měnil drive z 0 na 1, atd., chytlo se to až na 5. Tak doufám, že to byla logická jednotka E: disk je rozdělený na dva partition.

[Galder]

Mistře, doplnil jsem to u předešlého příspěvku. Tady je Otl nevšimnul jsem si, že 3 soubory jsou maximum.

[Galder]

Předpokládám, že stahni v měl být nějaký název aplikace. Mistře dneska už to balím. Zítra vstávám do práce, jinak moc a moc dík. Ozvu se.

[Galder]

Ahoj, chtěl jsem zeptat jestli je ta aplikace sys27101.exe je v poho jak norton na mém počítači, tak i Nod na tom kompu, co se snažíme zachránit hlasí, že je to trojský kůň. Ale to bude asi false alarm.
Jinak klidně se jich můžu zeptat (těch kamošovic dětiček), kde všude byly nebo co stahovaly, ale myslím, že ani sami nebudou vědět . Jinak ti můžu samozřejmě poslat, co budeš chtít.

[Galder]

Výpis ze sys27101

SystemScan - http://www.suspectfile.com - ver. 3.6.7 (code: holifay & bReAkdOWn)

Running on: Windows XP PROFESSIONAL Edition, Service Pack 3 (2600.5.1)
System directory: C:\WINDOWS
SystemScan file: C:\Documents and Settings\Administrator\Plocha\sys27101.exe
Running in: User mode
Date: 3.3.2010
Time: 14:58:04

Output limited to:
-PC accounts

===================== ACCOUNTS ON THIS PC =====================


Users on this computer:
Is Admin? | Username
------------------
Yes | Administrator
| ASPNET
| Guest (Disabled)
| Tokio Hotel

### users folders

20.07.2007 17:15:14 (DIR) 0 byte 957 days old -- All Users
27.07.2009 15:45:33 (DIR) 0 byte 219 days old -- Tokio Hotel
27.02.2010 11:05:00 (DIR) 0 byte 4 days old -- Guest
28.02.2010 09:51:10 (DIR) 0 byte 3 days old -- Default User
01.03.2010 18:41:42 (DIR) 0 byte 2 days old -- LocalService
02.03.2010 17:22:11 (DIR) 0 byte 1 days old -- Uživatel
02.03.2010 17:28:53 (DIR) 0 byte 1 days old -- NetworkService
03.03.2010 14:57:19 (DIR) 0 byte 0 days old -- Administrator

### startup files in users folders

C:\documents and settings\Administrator\Nabídka Start\Programy\Po spuštění\desktop.ini
C:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Adobe Reader Speed Launch.lnk
C:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\desktop.ini
C:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\HP Digital Imaging Monitor.lnk
C:\documents and settings\Default User\Nabídka Start\Programy\Po spuštění\desktop.ini
C:\documents and settings\Guest\Nabídka Start\Programy\Po spuštění\desktop.ini
C:\documents and settings\Tokio Hotel\Nabídka Start\Programy\Po spuštění\desktop.ini
C:\documents and settings\Uživatel\Nabídka Start\Programy\Po spuštění\desktop.ini

==========================================
Scan completed in 0 minutes
End of report


~~~~~~~~~~~~~~~~~~~~~-----CREDITS-----~~~~~~~~~~~~~~~~~~~~~
SystemScan uses some freeware tools that remain property of their authors:

* SteelWerX Registry Console Tool, Who Am I (Bobby Flekman: http://www.xs4all.nl/~fstaal01) --> "Registry scan", "PC accounts "
* dumphive (Markus Stephany)--> "Registry scan"
* Listdlls (M.Russinovich, B.Cogswell: http://www.sysinternals.com) --> "Loaded modules"
* Catchme & MBR Rootkit detector (gmer: http://www.gmer.net) --> "Hidden objects", "Alternate Data Streams" & "Master Boot Record"
---> NOTE: SystemScan integrates "The Avenger" from Swandog46 (http://swandog46.geekstogo.com) to allow you to remove malwares found in this log

Thanks to all of them for their hard work



Jo jinak nevím jestli se to chová správně, ale jak jsem měl dál pokračovat HelpAsst_mebroot_fix.exe, tak ten se spustí, problikne modrá obrazovka a nic.

[Galder]

Tady máš další várku podle objednávky

Mbr -f

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

Ostatní dávám v zipu. Dík za přezkoumání.

[Galder]

JJ dal jsem obě části, jenom mě napadlo, doufám, žr mě neukamenuješ . Jak jsem psal na threadu u Rudyho, na C: byl účet HelpAssistant a HelpAssistant04816518 (číslo se měnilo) - byla to přesná kopie HelpAssistantu. Vždycky jsem ho smazal v nouzovém režimu i přes cmd a přikazem net user [název] /delete, ale po každém restartu se tam začal vytvářet znovu. Zpomalovalo to komp. Tak mě napadlo podívat se na prává toho účtu a zjistil jsem, že je tam uživatel 04040-00494-50540-khs4066 (tak nějak, prostě čísla a písmena), tak jsem ho odstranil, převzal jsem práva na sebe. To samé bylo na účte HelpAssistant bez čísel. Tam jsem ho taky smazal a dal jsem svoje práva. Celý účet HelpAssistant bez čísel jsem pro jistotu sbalil Rarem a dal mu jiné jméno a přesunul jsem ho na E:.

To celé jsem ale udělal ještě než jsem tě požádál o pomoc.

Dodám výpis, co jsi potřeboval.

Tady je:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll nvata.sys
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x01D1C06C0
malicious code @ sector 0x01D1C06C3 !
PE file found in sector at 0x01D1C06D9 !

[Galder]

To bude problém, protože to není můj komp a klasika u dětí a neznalých všechno je na C: filmy, fota, atd. Navíc ve strašnem bordelu , takže jsem domluvený s majitelem, ať si všechno co chcou přesunou na E:. Jo ještě k tomu sbalenému účtu HelpAssistant, na tom totiž byli podlě mě vždycky neviditelně přihlášení, protože při startu windowsu jsem měl na výběr jenom admina a tokio hotel (účet dcery). Ale všechny soubory, co měli na ploše byly pouze v HelpAssistantu, takže po sbalení má kolem 1GB, i když jsem byl přihlášený jako admin tak zkopírovaný soubor na plochu šel do účtu HelpAssistant.

Co myslíš, jak bude v pohodě rozbalení a vytáhnutí jejich osobních věcí (fotky, film,..) ty by asi neměli být nakažené, protože jak jsem to scanoval Nortonem u sebe, tak nic nenašel a to byl ten účet ještě na C:, hlásil jenom toho Mebroota.

Mám ten disk zkusit dát k sobě na scan Nortnem, jestli se ti to podařilo odstranit? A jak by ses na to díval, je to ještě nakažené nebo je to uspokojivé.

A ještě další dotaz co říkáš na Nortona. Je dobrý? Mi se jeví jako jeden z nejlepších, mám koupené kompletní řešení Norton Internet Securiy 2010.

Jinak, moc a moc dík. Jsi borec

[Galder]

Ok, zkusím je dát pod lampu a udělám výslech . A dobrá zpráva pro tebe, norton zatím nic nehlásí, před tím už vždycky najel hned po připojení disku autoprotect.

Takže jsi machr. Jestli z nich něco vytřískám , kam ti mám dát vědět?

[Galder]

Po nástrojích jsem už uklidil , jak dojede scan, tak ti ho hned udělám.