VIRUS, MALWARE

[MMJJ]

kompletní scan:

Malwarebytes' Anti-Malware 1.44
Verze databáze: 3928
Windows 5.1.2600 Service Pack 1 (Safe Mode)
Internet Explorer 6.0.2800.1106

29.3.2010 21:13:23
mbam-log-2010-03-29 (21-13-20).txt

Typ kontroly: Kompletní kontrola (A:\|C:\|)
Zkontrolované objekty: 177247
Uplynulý čas: 17 minute(s), 50 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 1
Infikované adresáře: 0
Infikované soubory: 6

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\System32\msupdt.exe,) Good: (Userinit.exe) -> No action taken.

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
C:\System Volume Information\_restore{F2670864-F835-42FD-A69C-04E0C5DE22DE}\RP44\A0032842.dll (Trojan.GootKit) -> No action taken.
C:\System Volume Information\_restore{F2670864-F835-42FD-A69C-04E0C5DE22DE}\RP44\A0032843.dll (Trojan.GootKit) -> No action taken.
C:\System Volume Information\_restore{F2670864-F835-42FD-A69C-04E0C5DE22DE}\RP48\A0037054.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{F2670864-F835-42FD-A69C-04E0C5DE22DE}\RP48\A0037055.exe (Malware.Packer.Gen) -> No action taken.
C:\System Volume Information\_restore{F2670864-F835-42FD-A69C-04E0C5DE22DE}\RP48\A0037056.exe (Trojan.Dropper) -> No action taken.
C:\System Volume Information\_restore{F2670864-F835-42FD-A69C-04E0C5DE22DE}\RP48\A0037057.exe (Trojan.Agent) -> No action taken.

[Caroprd111]

Vše, co našel MBAM smažte a restartujte PC.


Stáhněte HostsXpert http://www.funkytoad.com/download/HostsXpert.zip

• Rozbalte do vlastní složky
• Klikněte na tlačítko Restore MS Hosts File, hlášku potvrďte "OK"
• Pokud by program vyhodil chybovou hlášku: ERROR: Cannot create file C:\WINDOWS\system32\DRIVERS\ETC\hosts, tak klikněte tlačítko Make Writeable? a pak teprve klikněte na tlačítko Restore MS Hosts File
• Po proběhnutí klikněte na tlačítko Make ReadOnly?
• Ukončete program a restartujte Počítač

Stáhněte a uložte, nejlépe na plochu http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Vypněte všechny rezidentní bezpečnostní programy - firewally, antiviry, antispywary
• Spusťte aplikaci pod účtem s oprávněním Administrátora (Správce), ihned po startu se zobrazí stránka s licenčními podmínkami, pokračujte stisknutím tlačítka "Ano"
• Dále postupujte dle pokynů, během scanu nespouštějte jiné aplikace a neklikejte do zobrazujícího se okna
• Scan by měl trvat okolo 5 - 10 minut, po dokončení Combofix zobrazí log C:\ComboFix.txt , který sem vložte.
• Během skenování může být počítač restartován.

[MMJJ]

zasílám scan z kombofixu:

ComboFix 10-03-28.03 - Administrator 29.03.2010 21:48:28.9.2 - x86 NETWORK
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.1014.745 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
.
/wow section - STAGE 4


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

-- Předchozí spuštění --

c:\windows\system32\drivers\cdrom.sys chyběl.
Obnovena kopie z - c:\system volume information\_restore{F2670864-F835-42FD-A69C-04E0C5DE22DE}\RP44\A0032833.sys

--------

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-02-28 do 2010-03-29 )))))))))))))))))))))))))))))))
.

2010-03-29 19:32 . 2002-08-28 23:27 47488 -c--a-w- c:\windows\system32\dllcache\cdrom.sys
2010-03-29 19:32 . 2002-08-28 23:27 47488 ----a-w- c:\windows\system32\drivers\cdrom.sys
2010-03-29 14:19 . 2010-03-29 14:19 32608 ----a-w- c:\windows\system32\drivers\wcscd.sys
2010-03-10 18:06 . 2010-03-10 18:06 -------- d-----w- c:\program files\Common Files\LightScribe
2010-03-10 18:02 . 2010-03-10 18:02 -------- d-----w- c:\program files\CyberLink
2010-03-10 18:01 . 2010-03-10 18:01 -------- d-----w- C:\MyWorks
2010-03-10 18:01 . 2004-10-01 14:00 40960 ----a-w- c:\program files\Uninstall_CDS.exe
2010-03-10 18:01 . 2010-03-10 18:03 -------- d-----w- c:\program files\CyberLink DVD Solution
2010-03-02 19:36 . 2010-03-02 22:14 -------- d-----w- c:\program files\GRETECH

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-29 18:05 . 2010-01-22 20:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-29 15:59 . 2010-01-24 09:48 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-03-28 08:51 . 2010-01-22 18:44 -------- d-----w- c:\program files\trend micro
2010-03-28 08:28 . 2001-10-25 12:00 68736 ----a-w- c:\windows\system32\perfc005.dat
2010-03-28 08:28 . 2001-10-25 12:00 389664 ----a-w- c:\windows\system32\perfh005.dat
2010-03-10 18:04 . 2010-03-10 18:04 -------- d-----w- c:\program files\Ahead
2010-03-10 18:04 . 2010-03-10 18:04 -------- d-----w- c:\program files\Common Files\Ahead
2010-03-10 18:03 . 2009-12-14 13:45 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-03-10 18:01 . 2009-12-15 16:44 -------- d-----w- c:\program files\Common Files\InstallShield
2010-03-04 14:15 . 2009-12-20 17:51 -------- d-----w- c:\program files\Winamp
2010-02-23 18:08 . 2010-02-23 18:08 -------- d-----w- c:\program files\Common Files\SolidWorks Shared
2010-02-23 18:08 . 2010-02-23 18:08 -------- d-----w- c:\program files\Common Files\eDrawings2008
2010-02-23 18:02 . 2010-02-23 18:02 -------- d-----w- c:\program files\IGC
2010-02-07 12:55 . 2010-01-28 15:46 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-02-02 08:25 . 2010-02-02 08:25 -------- d-----w- c:\program files\Avira
2010-02-01 12:03 . 2010-02-01 12:03 -------- d-----w- c:\program files\FileHippo.com
2010-02-01 11:25 . 2010-02-01 11:25 -------- d-----w- c:\program files\Defraggler
2010-02-01 11:01 . 2010-02-01 11:01 -------- d-----w- c:\program files\CCleaner
2010-02-01 07:55 . 2010-02-01 07:55 130560 --sha-r- c:\windows\system32\tsd320.dll
2010-01-27 21:45 . 2009-12-14 18:57 737280 ----a-w- c:\windows\iun6002.exe
2010-01-22 06:51 . 2010-01-22 06:51 552 ----a-w- c:\windows\system32\d3d8caps.dat
2010-01-07 14:07 . 2010-01-22 20:31 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 14:07 . 2010-01-22 20:31 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-12-10 18789920]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-12-28 417792]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-07-08 1397760]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2.2.2010 10:25 22360]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2.2.2010 10:25 45416]
S2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2.2.2010 10:25 108289]
S2 gupdate1ca8f788138d1b4;Služba Google Update (gupdate1ca8f788138d1b4);c:\program files\Google\Update\GoogleUpdate.exe [7.1.2010 11:05 133104]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.12.2009 23:56 1691480]
.
Obsah adresáře 'Naplánované úlohy'

2010-03-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-07 09:04]

2010-03-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-07 09:04]
.
.
------- Doplňkový sken -------
.
mSearch Bar = hxxp://www.google.com/ie
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.

**************************************************************************
skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory:

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(616)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(672)
c:\windows\System32\dssenh.dll
.
Celkový čas: 2010-03-29 21:55:04
ComboFix-quarantined-files.txt 2010-03-29 19:55

Před spuštěním: Volných bajtů: 31 442 182 144
Po spuštění: Volných bajtů: 32 140 308 480

[Caroprd111]

Tohle otestujte na http://www.virustotal.com/cs/
c:\windows\system32\tsd320.dll
c:\windows\system32\drivers\cdrom.sys
c:\windows\system32\dllcache\cdrom.sys

(Soubor nehledejte, jenom vložíte tučně označenou cestu, v případě hlášky "Soubor již byl testován" dejte otestovat znovu. Výsledek analýzy sem v podobě odkazu vložte.)

[MMJJ]

1. odkaz nejde otestovat

http://www.virustotal.com/cs/analisis/b ... c8a0471771
55bfd13f4d7796066e364e5f338e873-1269963013

http://www.virustotal.com/cs/analisis/b ... c8a0471771
55bfd13f4d7796066e364e5f338e873-1269963297

[Caroprd111]

Chybné odkazy.

[MMJJ]

odkaz je to celé, nevim, proč kus je modrý a kus černý.

[Caroprd111]

Otestujte soubory znovu.

[MMJJ]

1. háže tohle: 0 bytes size received / Se ha recibido un archivo vacio

[Caroprd111]

OK, pokračujte dalšími.

[MMJJ]

http://www.virustotal.com/cs/analisis/b ... 1269964839

[MMJJ]

http://www.virustotal.com/cs/analisis/b ... 1269965166

[Caroprd111]

Jak to vypadá s PC

[MMJJ]

počítač vypadá v pohodě, už včera po těch zásazích byl lepší.

[Caroprd111]

Poprosím o nový log z RSIT.