Systém startuje 60minut.

[Rudy]

V RSIT také není nic nebezpečného vidět. Dejte ještě log z ComboFix.

Stahnete a ulozte nejlepe na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

pote spustte aplikaci pod uctem s administratorskym opravnenim

hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano.

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: pokud pouzivate antispyware s rezidentnim stitem, prepnete jeho rezidentni stit do Install Mode, pripadne jej po dobu skenu uplne deaktivujte, protoze dochazi pri skenu a vymazu pripadneho malware k nezadoucim kolizim s rezidentem antispyware

[MatesJ]

jak se dostanu prosím na vypnutí avast residentu, nevidím ho nikde?

[Rudy]

Měl byste mít ikonu Avastu na tray vedle hodin. Rozklikněte a rezident zastavte. Pokud má Avast nějaký problém, budete jej muset odinstalovat a po vyčištění znovu nainstalovat.

[MatesJ]

já tam vidím jen hodiny a den, jsem v nouzáku, combofix jsem odkřížkoval a on chce jet dále, mám obavu ať to nepose......

[Rudy]

Zkuste zastavit v taskmanageru (CTRL>ALT>DEL), případně Avast odinstalujte.

[MatesJ]

zastavil jsem combofix a restartuji do standardního režimu, teď musím počkat......... než to najede

[Rudy]

zastavil jsem combofix

??

Tzn, že jste ho vypnul za chodu? To jsem vám ale neradil a pokud nenastartujete, bude to vaše vina.

[MatesJ]

on ještě nazačal, utl jsem ho ve fázi, kdy se dotazoval na vypnutí avastu........... běží už od té doby, jak jsem ho spustil po vypnutí všech avastů a firewalů, našel nějaký rootkit a restartoval, to trvalo strašně dlouho, pak restartoval ještě jednou a teď je aktuálně na dokončení fáze 8. Snad to bude oki, omluva.

[MatesJ]

teď skončil na 50 a restartoval.................

[MatesJ]

tak tady to máme:

ComboFix 10-03-11.02 - Martin 11.03.2010 21:02:32.13.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3326.2949 [GMT 1:00]
Spuštěný z: d:\dokumenty\Instalačky\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100311-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sunbelt Personal Firewall *disabled* {82B1150E-9B37-49FC-83EB-D52197D900D0}
.
ADS - WINDOWS: deleted 48 bytes in 1 streams.

((((((((((((((((((((((((( Soubory vytvořené od 2010-02-11 do 2010-03-11 )))))))))))))))))))))))))))))))
.

2010-03-10 22:27 . 2010-03-10 22:27 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-03-09 20:30 . 2009-10-23 15:28 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-03-02 20:58 . 2010-03-02 20:58 -------- d-----w- c:\program files\BurnAware Free
2010-03-02 20:48 . 2010-03-02 20:52 -------- d-----w- c:\program files\CD MP3 Burner
2010-02-12 20:27 . 2009-08-10 09:18 21192 ----a-w- c:\windows\system32\dopdfmn6.dll
2010-02-12 20:27 . 2009-08-10 09:18 18632 ----a-w- c:\windows\system32\dopdfmi6.dll
2010-02-12 20:27 . 2010-02-12 20:27 -------- d-----w- c:\program files\Softland
2010-02-11 21:00 . 2010-02-11 21:00 -------- d-----w- c:\program files\Yamicsoft

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-10 20:57 . 2008-04-12 10:22 -------- d-----w- c:\program files\Avast
2010-03-09 19:26 . 2008-05-06 20:10 137464 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-03-09 19:25 . 2008-05-06 20:10 214520 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-03-07 10:44 . 2008-03-22 11:24 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-02-10 19:19 . 2008-12-16 21:03 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-08 17:51 . 2010-02-08 17:51 -------- d-----w- c:\program files\eRightSoft
2010-02-02 20:00 . 2009-02-08 12:40 -------- d-----w- c:\program files\Google
2010-01-17 13:24 . 2009-01-12 20:41 -------- d-----w- c:\program files\KEMailKb
2010-01-07 15:07 . 2008-12-16 21:03 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2008-12-16 21:03 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-05 22:21 . 2001-10-25 14:00 656050 ----a-w- c:\windows\system32\perfh005.dat
2010-01-05 22:21 . 2001-10-25 14:00 190628 ----a-w- c:\windows\system32\perfc005.dat
2009-12-31 16:50 . 2004-08-03 21:14 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-17 07:42 . 2008-03-22 09:23 343552 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2004-08-17 13:49 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-01-04 18:17 . 2009-01-04 18:15 20009336 ----a-w- c:\program files\klmcodec445.exe
2008-11-01 10:21 . 2008-11-01 10:21 1762325 ----a-w- c:\program files\GameParkSetup11021.exe
2008-07-31 21:12 . 2008-07-31 21:12 25072608 ----a-w- c:\program files\AVSDVDPlayer.exe
2008-07-31 20:39 . 2008-07-31 20:39 9027416 ----a-w- c:\program files\winamp554_full_emusic-7plus_en-us.exe
2008-05-27 18:38 . 2008-05-27 18:37 1526576 ----a-w- c:\program files\install_flash_player_active_x.exe
2006-05-03 10:06 . 2010-02-08 17:52 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2010-02-08 17:52 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2010-02-08 17:52 216064 --sh--r- c:\windows\system32\nbDX.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UVS10 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [2006-03-06 36864]
"PCLEPCI"="c:\progra~1\PINNAC~1\PPE\PPE.EXE" [2003-09-23 32768]
"avast!"="c:\progra~1\Avast\ashDisp.exe" [2009-11-24 81000]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-03-28 593920]
"KEMailKb"="c:\progra~1\KEMailKb\KEMailKb.EXE" [2004-07-26 401667]
"BigDogPath323Domino"="c:\windows\Domino.exe" [2006-06-28 49152]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"IJNetworkScanUtility"="c:\program files\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE" [2006-10-26 132704]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-11-24 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 16:43 69632 ----a-w- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-05-10 16:08 16342528 ----a-w- c:\windows\RTHDCPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"c:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"i:\\Games\\Knights Of The Temple\\Templar.exe"=
"c:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Program Files\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=
"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaW.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"i:\\Games\\Enemy Territory\\ET.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FarCry2.exe"=
"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Launcher.exe"=
"c:\\Program Files\\Ubisoft\\Far Cry 2\\bin\\FC2Editor.exe"=
"i:\\Games\\Battlefield II\\Instal zde\\BF2.exe"=
"c:\\Program Files\\K-Lite Codec Pack\\Media Player Classic\\mplayerc.exe"=
"c:\\Program Files\\Ubisoft\\Gearbox Software\\Brothers in Arms - Hell's Highway\\Binaries\\biahh.exe"=
"c:\\Program Files\\Nero\\Nero 9\\Nero ShowTime\\ShowTime.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 sfdrv02;FrontLine Environment Driver (v2);c:\windows\system32\drivers\sfdrv02.sys [11.9.2006 12:57 67960]
R0 sfsync05;FrontLine Synchronization Driver (v5);c:\windows\system32\drivers\sfsync05.sys [11.8.2006 17:09 59776]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [12.4.2008 11:58 114768]
R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [31.7.2009 22:30 270888]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [21.6.2008 3:54 66600]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [12.4.2008 11:58 20560]
R2 KMWDSERVICE;Keyboard And Mouse Communication Service;c:\program files\Trust\Trust R-Series Mouse\KMWDSrv.exe [8.6.2007 23:23 208896]
R2 SbPF.Launcher;SbPF.Launcher;c:\program files\Sunbelt Software\Personal Firewall\SbPFLnch.exe [31.10.2008 6:24 95528]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\SbPFSvc.exe [31.10.2008 6:24 1365288]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [31.7.2009 22:30 65576]
S2 gupdate1c989eb911d7dde;Google Update Service (gupdate1c989eb911d7dde);c:\program files\Google\Update\GoogleUpdate.exe [8.2.2009 13:48 133104]
S2 sfrem02;FrontLine Drivers Auto Removal (v2);c:\windows\system32\sfrem02.exe svc --> c:\windows\system32\sfrem02.exe svc [?]
S3 vmfilter323;323 filter service, Normal;c:\windows\system32\drivers\vmfilter323.sys [23.3.2008 14:42 476672]
S3 ZSMC326;VIMICRO USB2.0 PC Camera(VC0323);c:\windows\system32\drivers\usbvm323.sys [8.2.2009 21:09 260096]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [23.2.2009 21:32 717296]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-06-09 09:14 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Obsah adresáře 'Naplánované úlohy'

2010-03-11 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-02-08 08:03]

2010-03-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-08 12:48]

2010-03-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-08 12:48]

2010-03-11 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 13:07]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Easy-WebPrint - Náhled - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
IE: Easy-WebPrint - Přidat na seznam k tisku - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint - Tisk - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint - Vysokorychlostní tisk - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
FF - ProfilePath - c:\documents and settings\Martin\Data aplikací\Mozilla\Firefox\Profiles\ra0apsse.default\
FF - prefs.js: browser.startup.homepage - www.seznam.cz
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Google\Update\1.2.183.17\npGoogleOneClick8.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-11 21:54
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8B0C72B8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cf28
\Driver\ACPI -> ACPI.sys @ 0xb9f7fcb8
\Driver\atapi -> 0x8b0c72b8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xb9df7bb0
PacketIndicateHandler -> aswSP.SYS @ 0xa3364d50
SendHandler -> aswSP.SYS @ 0xa3364dae
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 62 !

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-2025429265-1202660629-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:03,28,51,36,a7,e7,6c,89,e7,a5,e7,28,13,9b,e9,bc,d5,9f,77,74,6b,
48,12,14,c4,58,c1,75,17,4c,85,2b,e1,ea,81,d5,f9,36,1d,a6,63,55,74,ea,48,cc,\
"rkeysecu"=hex:27,31,41,b7,d4,b0,6f,6d,32,53,91,23,fb,7a,da,52
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(1420)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2208)
c:\program files\ScanSoft\OmniPageSE4.0\OpHookSE4.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\progra~1\COMMON~1\ULEADS~1\Vio\Dvacm.acm
c:\progra~1\COMMON~1\ULEADS~1\MPEG\MPEGacm.acm
c:\windows\system32\ac3acm.acm
c:\windows\system32\scg726.acm
c:\windows\system32\alf2cd.acm
c:\windows\system32\lameACM.acm
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Avast\aswUpdSv.exe
c:\program files\Avast\ashServ.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\program files\Avast\ashMaiSv.exe
c:\program files\Avast\ashWebSv.exe
c:\windows\system32\wscntfy.exe
c:\program files\Sunbelt Software\Personal Firewall\SbPFCl.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Microsoft ActiveSync\Wcescomm.exe
c:\progra~1\MICROS~3\rapimgr.exe
.
**************************************************************************
.
Celkový čas: 2010-03-11 22:26:11 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-03-11 21:26

Před spuštěním: Volných bajtů: 18 902 368 256
Po spuštění: Volných bajtů: 18 868 924 416

- - End Of File - - 5C68FE4233E645FD0B7638915AC2AEC7

[Rudy]

Máte rootkit Sinowal. Nabootujte z instal. CD a vstupte do konzoly pro zotavení (musíte znát heslo do profilu Administrator). Do příkazového řádku zadejte:

fixmbr

Odentrujte, potvrďte a pak opět do přík. řádky napište:

exit

Stiskněte >Enter<. PC se rastartuje. Tím je obnoven hl. zaváděcí záznam ze zálohy. PC se restartuje.

[MatesJ]

jak to nabutuju z CD? CD mám ale kua heslo tak to nevím, budeme zkoušet

[Rudy]

jak to nabutuju z CD?

V biosu si přepnete bootovací sekvenci tak, aby opt. mechanika byla jako první. Spusťte PC a vložte instal. CD a dál se řiďte pokyny na obrazovce.

[MatesJ]

ok, uděláme to asi zítra již, něco jsem teď našel na netu, budeme i reinstalovat? Proč je to teda tak pomalé, dnes už mi nejdou jiné disky než ten, kde je systém, neudělám zálohu, je nějaká pomoc?

[MatesJ]

dnes můžu normálně vypnout? I ty pomalé starty dělá tento hajzlík?