xp security tool

[karel73]

Dobrý den nejde spustit téměř nic.Logfile of random's system information tool 1.06 (written by random/random)
Run by aaa at 2010-04-09 16:16:28
Systém Microsoft Windows XP Professional Service Pack 2
System drive C: has 6 GB (77%) free of 8 GB
Total RAM: 256 MB (57% free)


======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"syncman"=c:\windows\system32\wuaucldt.exe [2010-03-16 51807]
"Regedit32"=C:\WINDOWS\system32\regedit.exe []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-17 15360]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2004-08-17 1667584]
"swg"=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe []
"syncman"=c:\documents and settings\aaa\wuaucldt.exe []

C:\Documents and Settings\aaa\Nabídka Start\Programy\Po spuštění
monnwb32.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======File associations======

.exe - open - "C:\Documents and Settings\aaa\Local Settings\Data aplikací\av.exe" /START "%1" %*

======List of files/folders created in the last 1 months======

2010-04-09 16:16:30 ----D---- C:\Program Files\trend micro
2010-04-09 16:16:28 ----D---- C:\rsit
2010-04-08 20:03:19 ----SHD---- C:\WINDOWS\CSC
2010-04-08 20:03:07 ----A---- C:\WINDOWS\ntbtlog.txt
2010-04-08 19:59:42 ----SHD---- C:\RECYCLER
2010-03-22 19:37:13 ----D---- C:\WINDOWS\Minidump
2010-03-17 12:43:21 ----D---- C:\WINDOWS\system32\SoftwareDistribution
2010-03-16 19:49:12 ----A---- C:\WINDOWS\system32\wuaucldt.exe

======List of files/folders modified in the last 1 months======

2010-04-09 16:16:30 ----RD---- C:\Program Files
2010-04-09 16:12:36 ----D---- C:\WINDOWS\Temp
2010-04-09 06:45:21 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-04-08 20:59:27 ----SD---- C:\Documents and Settings\All Users\Data aplikací\Microsoft
2010-04-08 20:53:55 ----D---- C:\WINDOWS\Prefetch
2010-04-08 20:43:59 ----D---- C:\Program Files\McAfee Security Scan
2010-04-08 20:03:29 ----D---- C:\Documents and Settings
2010-04-08 20:03:19 ----D---- C:\WINDOWS
2010-04-08 19:51:42 ----D---- C:\WINDOWS\system32\CatRoot2
2010-04-07 07:31:37 ----D---- C:\WINDOWS\system32
2010-04-07 07:31:36 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2010-03-18 10:57:12 ----SD---- C:\WINDOWS\Downloaded Program Files
2010-03-17 12:45:26 ----D---- C:\WINDOWS\SoftwareDistribution
2010-03-17 12:43:44 ----HD---- C:\WINDOWS\inf
2010-03-17 12:43:43 ----D---- C:\WINDOWS\Help
2010-03-17 12:43:40 ----RSHDC---- C:\WINDOWS\system32\dllcache

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R3 G400;G400; C:\WINDOWS\system32\DRIVERS\G400m.sys [2001-09-13 322432]
R3 rtl8139;Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-04 20992]
R3 usbhub;Rozbočovač umožnující USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Ovladač Microsoft univerzálního hostitelského řadiče USB od společnosti Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 NtApm;Ovladač rozhraní služby NT Apm/Legacy; C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-09-13 9472]
S4 ACPI;ACPI; C:\WINDOWS\system32\drivers\ACPI.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

All services whitelisted

-----------------EOF-----------------

[Caroprd111]

Zdravím


Soubor z přílohy stáhněte a rozbalte.

xp_exe_fix.zip

(745 bajtů) Staženo 54 x

Pak na soubor standardně 2X kliknete a potvrďte dialogové okno.


Stáhněte a uložte, nejlépe na plochu http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Vypněte všechny rezidentní bezpečnostní programy - firewally, antiviry, antispywary
• Spusťte aplikaci pod účtem s oprávněním Administrátora (Správce), ihned po startu se zobrazí stránka s licenčními podmínkami, pokračujte stisknutím tlačítka "Ano"
• Dále postupujte dle pokynů, během scanu nespouštějte jiné aplikace a neklikejte do zobrazujícího se okna
• Scan by měl trvat okolo 5 - 10 minut, po dokončení Combofix zobrazí log C:\ComboFix.txt , který sem vložte.
• Během skenování může být počítač restartován.

[karel73]

ComboFix 10-04-08.02 - aaa 09.04.2010 16:33:36.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.256.113 [GMT 2:00]
Spuštěný z: c:\documents and settings\aaa\Plocha\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\aaa\Local Settings\Temporary Internet Files\2se2oO1.jpg
c:\documents and settings\aaa\Local Settings\Temporary Internet Files\4860yM33.jpg
c:\documents and settings\aaa\Local Settings\Temporary Internet Files\4gBO7ATQ.jpg
c:\documents and settings\aaa\Local Settings\Temporary Internet Files\70xJ3yA.jpg
c:\documents and settings\aaa\Local Settings\Temporary Internet Files\m4jB81YMa.jpg
c:\documents and settings\aaa\Local Settings\Temporary Internet Files\Q54wlJxN.jpg
c:\documents and settings\aaa\Local Settings\Temporary Internet Files\WHDiDJ2.jpg
c:\documents and settings\aaa\Local Settings\Temporary Internet Files\xPmBx.jpg
c:\documents and settings\aaa\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\1T4U7Fua.jpg
c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\35ECiu.jpg
c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\MS3k0.jpg
c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\N6O24T13p.jpg
c:\windows\system32\config\systemprofile\oashdihasidhasuidhiasdhiashdiuasdhasd
c:\windows\system32\config\systemprofile\wuaucldt.exe
c:\windows\system32\ieuinit.inf
c:\windows\system32\wuaucldt.exe

Nakažená kopie c:\windows\system32\drivers\cdrom.sys byla nalezena a vyléčena.
Obnovena kopie z - c:\system volume information\_restore{AC3096F7-5A5D-46D0-9C3B-7DF630BAAFAB}\RP1\A0019138.sys

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-03-09 do 2010-04-09 )))))))))))))))))))))))))))))))
.

2010-04-09 14:16 . 2010-04-09 14:16 -------- d-----w- c:\program files\trend micro
2010-04-09 14:16 . 2010-04-09 14:16 -------- d-----w- C:\rsit
2010-04-08 19:03 . 2010-04-08 19:03 -------- d-----r- c:\documents and settings\LocalService\Oblíbené položky

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-08 18:43 . 2010-03-05 22:16 -------- d-----w- c:\program files\McAfee Security Scan
2010-04-07 05:31 . 2001-09-20 12:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2010-04-07 05:31 . 2001-09-20 12:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2010-03-04 17:02 . 2010-03-04 10:41 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-03-04 17:02 . 2010-03-04 10:40 2426 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2010-03-04 16:59 . 2010-03-04 10:41 8972 ----a-w- c:\windows\pchealth\helpctr\Config\Cntstore.bin
2010-03-04 10:45 . 2010-03-04 10:45 -------- d-----w- c:\program files\microsoft frontpage
2010-03-04 10:33 . 2010-03-04 10:33 21812 ----a-w- c:\windows\system32\emptyregdb.dat
.

------- Sigcheck -------

[-] 2001-09-20 12:00 . 15AFB5576C32CC292E5DD469D96B4909 . 924432 . . [4.1.6140] . . c:\windows\system32\mfc40u.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\aaa\Nabˇdka Start\Programy\Po spuçtŘnˇ\
monnwb32.exe [2004-8-17 16384]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R3 ctlsb16;Creative SB16/AWE32/AWE64 Driver (WDM);c:\windows\system32\drivers\ctlsb16.sys [4.3.2010 13:19 96256]
S3 NtApm;Ovladač rozhraní služby NT Apm/Legacy;c:\windows\system32\drivers\NtApm.sys [4.3.2010 13:20 9472]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKCU-Run-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKCU-Run-syncman - c:\documents and settings\aaa\wuaucldt.exe
HKLM-Run-syncman - c:\windows\system32\wuaucldt.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-09 16:46
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...


c:\documents and settings\aaa\Nabídka Start\Programy\Po spuštění\monnwb32.exe 16384 bytes executable

sken byl úspešně dokončen
skryté soubory: 1

**************************************************************************
.
Celkový čas: 2010-04-09 16:53:00 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-09 14:52

Před spuštěním: 6 478 741 504
Po spuštění: 6 477 049 856

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - 8618BC8560F81C1A197F299BDC327FE3

[Caroprd111]

Pokud nemáte, přesuňte Combofix na plochu

• Otevřete si Poznámkový blok a zkopírujte do něj text z bílého okénka.

Kód: Vybrat vše

File:: 
c:\documents and settings\aaa\Nabídka Start\Programy\Po spuštění\monnwb32.exe

• Uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
• Po uložení uchopte vámi vytvořený skript levým myšítkem a přesuňte ho nad ikonu Combofixu, kde ho upustíte:
  
  
• Po aplikaci na Vás vypadne další log,vložte ho sem

Může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci



Tohle otestujte na http://www.virustotal.com/cs/
c:\windows\system32\mfc40u.dll

(Soubor nehledejte, jenom vložíte tučně označenou cestu, v případě hlášky "Soubor již byl testován" dejte otestovat znovu. Výsledek analýzy sem v podobě odkazu vložte.)

[karel73]

ComboFix 10-04-08.02 - aaa 09.04.2010 17:52:10.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.256.133 [GMT 2:00]
Spuštěný z: c:\documents and settings\aaa\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\aaa\Plocha\CFScript.txt

FILE ::
"c:\documents and settings\aaa\Nabídka Start\Programy\Po spuštění\monnwb32.exe"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\aaa\Nabídka Start\Programy\Po spuštění\monnwb32.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-03-09 do 2010-04-09 )))))))))))))))))))))))))))))))
.

2010-04-09 14:16 . 2010-04-09 14:16 -------- d-----w- c:\program files\trend micro
2010-04-09 14:16 . 2010-04-09 14:16 -------- d-----w- C:\rsit
2010-04-08 19:03 . 2010-04-08 19:03 -------- d-----r- c:\documents and settings\LocalService\Oblíbené položky

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-04-09 14:50 . 2001-09-20 12:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2010-04-09 14:50 . 2001-09-20 12:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2010-04-08 18:43 . 2010-03-05 22:16 -------- d-----w- c:\program files\McAfee Security Scan
2010-03-04 17:02 . 2010-03-04 10:41 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-03-04 17:02 . 2010-03-04 10:40 2426 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2010-03-04 16:59 . 2010-03-04 10:41 8972 ----a-w- c:\windows\pchealth\helpctr\Config\Cntstore.bin
2010-03-04 10:45 . 2010-03-04 10:45 -------- d-----w- c:\program files\microsoft frontpage
2010-03-04 10:33 . 2010-03-04 10:33 21812 ----a-w- c:\windows\system32\emptyregdb.dat
.

------- Sigcheck -------

[-] 2001-09-20 12:00 . 15AFB5576C32CC292E5DD469D96B4909 . 924432 . . [4.1.6140] . . c:\windows\system32\mfc40u.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-04-09_14.46.13 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-09-20 12:00 . 2010-04-07 05:31 39992 c:\windows\system32\perfc009.dat
+ 2001-09-20 12:00 . 2010-04-09 14:50 39992 c:\windows\system32\perfc009.dat
+ 2001-09-20 12:00 . 2010-04-09 14:50 311604 c:\windows\system32\perfh009.dat
- 2001-09-20 12:00 . 2010-04-07 05:31 311604 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R3 ctlsb16;Creative SB16/AWE32/AWE64 Driver (WDM);c:\windows\system32\drivers\ctlsb16.sys [4.3.2010 13:19 96256]
S3 NtApm;Ovladač rozhraní služby NT Apm/Legacy;c:\windows\system32\drivers\NtApm.sys [4.3.2010 13:20 9472]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-09 18:09
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
Celkový čas: 2010-04-09 18:14:49 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-09 16:14
ComboFix2.txt 2010-04-09 14:53

Před spuštěním: 6 463 922 176
Po spuštění: 6 441 406 464

- - End Of File - - 2328AE39B09DC70B9E7369C20502E814

[karel73]

http://www.virustotal.com/cs/analisis/3 ... 1268851951

[Caroprd111]

Stáhněte MBAM http://www.viry.cz/forum/viewtopic.php?f=29&t=67229

• Podle návodu v odkazu nainstalujte, poté dejte úplný sken.
• Nic nemažte MBAM má občas falešné detekce a mohl by smazat např. systémové soubory.
• Log vložte sem.

[karel73]

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Verze databáze: 3930

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

10.4.2010 8:58:17
mbam-log-2010-04-10 (08-58-17).txt

Typ skenu: Rychlý sken
Skenované objekty: 102559
Uplynulý čas: 10 minuta(y), 16 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
C:\Documents and Settings\aaa\Data aplikací\avdrn.dat (Malware.Trace) -> No action taken.

[Caroprd111]

Vše, co našel MBAM smažte a napište stav PC.