PC odesílá SPAM

Zpráva

rossini77 · #1 Příspěvek od **rossini77** » 21 kvě 2010 10:20

Ahoj, PC mi odesílá SPAM a netuším, jak to odchytit. Díky pročítání fóra jsem začal tak, že sem postnu log z combofix:

ComboFix 10-05-20.A0 - Kamil 21.05.2010  11:07:24.1.2 - x86
Systém Microsoft Windows XP Professional  5.1.2600.3.1250.420.1029.18.1918.1523 [GMT 2:00]
Spuštěný z: c:\documents and settings\Kamil\Plocha\ComboFix.exe
 * Vytvořen nový Bod Obnovení
.

(((((((((((((((((((((((((   Soubory vytvořené od 2010-04-21 do 2010-05-21  )))))))))))))))))))))))))))))))
.

2010-05-21 09:06 . 2010-05-21 09:06	--------	d-sh--w-	c:\documents and settings\Kamil\IECompatCache
2010-05-21 09:05 . 2010-05-21 09:05	--------	d-sh--w-	c:\documents and settings\Kamil\PrivacIE
2010-05-10 11:47 . 2010-05-10 11:48	--------	d-----r-	c:\documents and settings\Kamil\Oblíbené položky
2010-05-10 11:47 . 2010-05-10 11:48	--------	d-----r-	c:\documents and settings\Kamil\Dokumenty
2010-05-10 11:47 . 2008-07-25 07:01	--------	d--h--w-	c:\documents and settings\Kamil\Okolní tiskárny
2010-05-10 11:47 . 2008-07-25 07:01	--------	d--h--w-	c:\documents and settings\Kamil\Okolní síť
2010-05-10 11:47 . 2008-07-25 07:01	--------	d-----r-	c:\documents and settings\Kamil\Nabídka Start
2010-05-10 11:47 . 2008-07-25 05:08	--------	d--h--w-	c:\documents and settings\Kamil\Šablony
2010-05-10 11:47 . 2010-05-21 09:06	--------	d-----w-	c:\documents and settings\Kamil
2010-05-10 11:39 . 2010-05-11 10:31	--------	d-----w-	c:\documents and settings\Kleskeň

.
((((((((((((((((((((((((((((((((((((((((   Find3M výpis   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-11 15:07 . 2010-01-25 06:06	802304	----a-w-	c:\windows\system32\drivers\trifd.sys
2010-04-16 09:47 . 2009-02-20 09:59	--------	d-----w-	c:\program files\Google
2010-04-07 09:17 . 2010-04-07 09:17	--------	d-----w-	c:\program files\Common Files\xing shared
2010-04-07 09:17 . 2009-10-01 05:04	--------	d-----w-	c:\program files\Common Files\Real
2010-04-07 09:17 . 2010-04-07 09:17	--------	d-----w-	c:\program files\Real
2010-03-29 03:50 . 2001-10-25 14:00	83832	----a-w-	c:\windows\system32\perfc005.dat
2010-03-29 03:50 . 2001-10-25 14:00	440590	----a-w-	c:\windows\system32\perfh005.dat
2010-03-10 06:17 . 2004-08-17 16:49	420352	----a-w-	c:\windows\system32\vbscript.dll
2010-03-03 12:12 . 2010-03-03 12:12	9762	---ha-w-	C:\aaw7boot.cmd
2010-03-03 11:57 . 2010-03-03 11:57	95024	----a-w-	c:\windows\system32\drivers\SBREDrv.sys
2010-02-25 06:18 . 2004-08-17 16:49	916480	----a-w-	c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-04 00:15	455680	----a-w-	c:\windows\system32\drivers\mrxsmb.sys
.

((((((((((((((((((((((((((((((((((   Spouštěcí body v registru   )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 16342528]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Max Communicator.lnk - c:\program files\Max Communicator\MaxComm.exe [2006-5-19 819712]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"c:\\Program Files\\Max Communicator\\MaxComm.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP1006MC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Common Files\\SafeNet Sentinel\\Sentinel Protection Server\\WinNT\\spnsrvnt.exe"=

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe -s --> c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe -s [?]
R2 Vivotek_ST3402;Vivotek ST3402 Launcher;c:\program files\Vivotek\ST3402\Launcher_VV.exe [23.5.2007 15:47 331776]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe -s --> c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe -s [?]
R3 GemCCID;GemCCID;c:\windows\system32\drivers\GemCCID.sys [4.4.2008 9:02 87424]
R3 NmPar;PCI Parallel Port;c:\windows\system32\drivers\NmPar.sys [9.4.2008 10:28 80512]
R3 nmserial;PCI Serial Port;c:\windows\system32\drivers\NmSerial.sys [4.4.2008 8:30 70016]
S2 gupdate1c99341e40e2c82;Google Update Service (gupdate1c99341e40e2c82);c:\program files\Google\Update\GoogleUpdate.exe [20.2.2009 11:59 133104]
.
Obsah adresáře 'Naplánované úlohy'

2010-05-21 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-30 04:07]

2010-05-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-20 09:59]

2010-05-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-20 09:59]

2010-05-21 c:\windows\Tasks\User_Feed_Synchronization-{2BFA24F5-820C-403E-9D83-8741F74150BB}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Doplňkový sken -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - 
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

AddRemove-HijackThis - c:\documents and settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\Y3GZBJ25\HijackThis.exe
AddRemove-RealJukebox 1.0 - c:\program files\Common Files\Real\Update_OB\r1puninst.exe
AddRemove-RealPlayer 6.0 - c:\program files\Common Files\Real\Update_OB\r1puninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-21 11:09
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...  

skenování skrytých položek 'Po spuštění' ... 

skenování skrytých souborů ...  

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(764)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll

- - - - - - - > 'lsass.exe'(820)
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll

- - - - - - - > 'explorer.exe'(3152)
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-05-21  11:10:52
ComboFix-quarantined-files.txt  2010-05-21 09:10

Před spuštěním: Volných bajtů: 68 018 077 696
Po spuštění: Volných bajtů: 67 983 642 624

WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - F3BE2D90BFD5C91E844884560699FCAD

rossini77 · #2 Příspěvek od **rossini77** » 21 kvě 2010 10:32

Ještě přikládám RSIT:

Kód: Vybrat vše

Logfile of random's system information tool 1.07 (written by random/random)
Run by Kamil at 2010-05-21 11:30:49
Systém Microsoft Windows XP Professional Service Pack 3
System drive C: has 65 GB (85%) free of 76 GB
Total RAM: 1918 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:30:52, on 21.5.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
C:\Program Files\Vivotek\ST3402\Launcher_VV.exe
C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Max Communicator\MaxComm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Kamil\Plocha\RSIT.exe
C:\Program Files\trend micro\Kamil.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Max Communicator.lnk = C:\Program Files\Max Communicator\MaxComm.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate1c99341e40e2c82) (gupdate1c99341e40e2c82) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Vivotek ST3402 Launcher (Vivotek_ST3402) - Vivotek Inc. - C:\Program Files\Vivotek\ST3402\Launcher_VV.exe

--
End of file - 3889 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\Google Software Updater.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\tasks\User_Feed_Synchronization-{2BFA24F5-820C-403E-9D83-8741F74150BB}.job

======Registry dump======

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-05-10 16342528]

C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění
Max Communicator.lnk - C:\Program Files\Max Communicator\MaxComm.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
C:\WINDOWS\system32\Ati2evxx.dll [2007-06-15 118784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINDOWS\system32\WgaLogon.dll [2008-09-06 267304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"HonorAutoRunSetting"=
"NoDriveTypeAutoRun"=
"NoDriveAutoRun"=
"NoDrives"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\ICQ6\ICQ.exe"="C:\Program Files\ICQ6\ICQ.exe:*:Enabled:ICQ6"
"C:\Program Files\Max Communicator\MaxComm.exe"="C:\Program Files\Max Communicator\MaxComm.exe:*:Enabled:Max Communicator"
"C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE"="C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE:*:Enabled:SMLMProxy Module - HP1006MC.EXE"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe"="C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe:*:Enabled:Sentinel Protection Server"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======List of files/folders created in the last 1 months======

2010-05-21 11:30:49 ----D---- C:\rsit
2010-05-21 11:30:49 ----D---- C:\Program Files\trend micro
2010-05-21 11:15:02 ----D---- C:\Documents and Settings\Kamil\Data aplikací\Mozilla
2010-05-21 11:10:54 ----D---- C:\WINDOWS\temp
2010-05-21 11:10:53 ----A---- C:\ComboFix.txt
2010-05-21 11:06:55 ----A---- C:\Boot.bak
2010-05-21 11:06:51 ----RASHD---- C:\cmdcons
2010-05-21 11:06:04 ----D---- C:\Documents and Settings\Kamil\Data aplikací\Adobe
2010-05-21 11:01:47 ----A---- C:\WINDOWS\zip.exe
2010-05-21 11:01:47 ----A---- C:\WINDOWS\SWXCACLS.exe
2010-05-21 11:01:47 ----A---- C:\WINDOWS\SWSC.exe
2010-05-21 11:01:47 ----A---- C:\WINDOWS\SWREG.exe
2010-05-21 11:01:47 ----A---- C:\WINDOWS\sed.exe
2010-05-21 11:01:47 ----A---- C:\WINDOWS\PEV.exe
2010-05-21 11:01:47 ----A---- C:\WINDOWS\NIRCMD.exe
2010-05-21 11:01:47 ----A---- C:\WINDOWS\MBR.exe
2010-05-21 11:01:47 ----A---- C:\WINDOWS\grep.exe
2010-05-21 11:01:44 ----D---- C:\WINDOWS\ERDNT
2010-05-21 11:01:24 ----D---- C:\Qoobox
2010-05-12 10:08:26 ----HDC---- C:\WINDOWS\$NtUninstallKB978542$
2010-05-10 13:48:06 ----D---- C:\Documents and Settings\Kamil\Data aplikací\Identities
2010-05-10 13:47:53 ----ASH---- C:\Documents and Settings\Kamil\Data aplikací\desktop.ini
2010-05-10 13:47:52 ----SD---- C:\Documents and Settings\Kamil\Data aplikací\Microsoft
2010-05-10 13:47:52 ----D---- C:\Documents and Settings\Kamil\Data aplikací\Macromedia
2010-05-10 13:01:49 ----D---- C:\WINDOWS\CSC
2010-05-10 13:01:41 ----A---- C:\WINDOWS\ntbtlog.txt

======List of files/folders modified in the last 1 months======

2010-05-21 11:30:49 ----RD---- C:\Program Files
2010-05-21 11:15:15 ----D---- C:\WINDOWS\Prefetch
2010-05-21 11:10:54 ----D---- C:\WINDOWS
2010-05-21 11:10:30 ----SD---- C:\WINDOWS\Tasks
2010-05-21 11:09:54 ----A---- C:\WINDOWS\system.ini
2010-05-21 11:08:43 ----D---- C:\WINDOWS\system32\drivers
2010-05-21 11:08:43 ----D---- C:\WINDOWS\system32
2010-05-21 11:08:43 ----D---- C:\WINDOWS\AppPatch
2010-05-21 11:08:34 ----D---- C:\Program Files\Common Files
2010-05-21 11:07:16 ----D---- C:\WINDOWS\system32\CatRoot2
2010-05-21 11:06:55 ----RASH---- C:\boot.ini
2010-05-21 11:01:58 ----A---- C:\WINDOWS\SchedLgU.Txt
2010-05-21 10:47:51 ----SHD---- C:\System Volume Information
2010-05-21 10:46:46 ----D---- C:\Documents and Settings\All Users\Data aplikací\Norton
2010-05-21 10:46:14 ----HD---- C:\WINDOWS\inf
2010-05-12 10:11:03 ----SHD---- C:\WINDOWS\Installer
2010-05-12 10:08:30 ----RSHDC---- C:\WINDOWS\system32\dllcache
2010-05-12 10:08:29 ----D---- C:\Program Files\Outlook Express
2010-05-12 09:52:18 ----HD---- C:\WINDOWS\$hf_mig$
2010-05-10 14:00:46 ----A---- C:\WINDOWS\WINCMD.INI
2010-05-10 13:48:07 ----A---- C:\WINDOWS\OEWABLog.txt
2010-05-10 13:47:51 ----D---- C:\Documents and Settings
2010-05-10 12:00:24 ----D---- C:\Documents and Settings\All Users\Data aplikací\NortonInstaller
2010-04-30 20:51:06 ----A---- C:\WINDOWS\system32\MRT.exe

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK8;Ovladač procesoru AMD; C:\WINDOWS\system32\DRIVERS\AmdK8.sys [2006-06-18 43008]
R2 Sentinel;Sentinel; C:\WINDOWS\System32\Drivers\SENTINEL.SYS [2004-09-10 84064]
R3 Arp1394;Protokol 1394 ARP Client; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
R3 ati2mtag;ati2mtag; C:\WINDOWS\system32\DRIVERS\ati2mtag.sys [2007-06-15 2301440]
R3 GemCCID;GemCCID; C:\WINDOWS\System32\Drivers\GemCCID.sys [2008-04-04 87424]
R3 HDAudBus;Ovladač Microsoft UAA pro sběrnici High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Ovladač třídy standardu HID; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-05-10 4419584]
R3 mf;mf; C:\WINDOWS\system32\DRIVERS\mf.sys [2008-04-13 63744]
R3 mouhid;Ovladač myši standardu HID; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-24 12160]
R3 NIC1394;1394 Net Driver; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2008-04-13 61824]
R3 NmPar;PCI Parallel Port; C:\WINDOWS\system32\DRIVERS\NmPar.sys [2008-04-09 80512]
R3 nmserial;PCI Serial Port; C:\WINDOWS\system32\DRIVERS\nmserial.sys [2008-04-04 70016]
R3 RTHDMIAzAudService;Service for HDMI; C:\WINDOWS\system32\drivers\RtHDMI.sys [2007-05-14 3526464]
R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver; C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2006-12-14 85120]
R3 usbehci;Ovladač miniportu rozšířeného radiče hostitele Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2008-04-13 30208]
R3 usbhub;Ovladač standardního rozbočovače USB; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2008-04-13 59520]
R3 usbohci;Ovladač Miniport otevřeného hostitelského řadiče Microsoft USB; C:\WINDOWS\system32\DRIVERS\usbohci.sys [2008-04-13 17152]
R3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S1 kbdhid;Ovladač klávesnice standardu HID; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14592]
S3 catchme;catchme; \??\C:\DOCUME~1\Kamil\LOCALS~1\Temp\catchme.sys []
S3 gdrv;gdrv; \??\C:\WINDOWS\gdrv.sys []
S3 mbr;mbr; \??\C:\DOCUME~1\Kamil\LOCALS~1\Temp\mbr.sys []
S3 SNTNLUSB;Rainbow USB SuperPro; C:\WINDOWS\system32\DRIVERS\SNTNLUSB.SYS [2004-09-10 27056]
S3 usbccgp;Obecný nadřazený ovladač Microsoft USB; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []
S4 WS2IFSL;Podpůrné prostředí zprostředkovatele služeb Windows Socket 2.0 bez podpory IFS; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-10-25 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 Ati HotKey Poller;Ati HotKey Poller; C:\WINDOWS\system32\Ati2evxx.exe [2007-06-15 479232]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance; C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe [2004-12-13 65536]
R2 Vivotek_ST3402;Vivotek ST3402 Launcher; C:\Program Files\Vivotek\ST3402\Launcher_VV.exe [2007-05-23 331776]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance; C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe [2004-12-13 1527893]
S2 gupdate1c99341e40e2c82;Google Update Service (gupdate1c99341e40e2c82); C:\Program Files\Google\Update\GoogleUpdate.exe [2009-02-20 133104]
S2 gusvc;Google Software Updater; C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-09-08 190448]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25 69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe [2008-07-29 46104]
S3 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2008-07-29 881664]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 WMPNetworkSvc;Služba Windows Media Player Network Sharing; C:\Program Files\Windows Media Player\WMPNetwk.exe [2007-01-05 913920]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2008-07-29 132096]
S4 SentinelProtectionServer;SentinelProtectionServer; C:\Program Files\Common Files\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe [2004-09-10 189536]

-----------------EOF-----------------

#3 Příspěvek od **stell** » 21 kvě 2010 10:35

zdravim
Prosimlogy nedavaj do code..
otestujte na VIRUSTOTALu
c:\windows\system32\drivers\trifd.sys
(navod prosty: po nacteni stranky kliknete na tlacitko Prochazet , najdete cestu k vyse zminenemu souboru a kliknete na tlacitko Odeslat soubor; dejte skenerum nejakych deset minut; vysledek sem vlozte)

rossini77 · #4 Příspěvek od **rossini77** » 21 kvě 2010 11:39

Tak ten výsledek je tady:

(Nedaří se mi to sem vložit tak, aby to bylo čitelné, tak jsem to zkrátil jen na ty problémové věci - přepínačem na VirusTotal)

Antivirus;Verze;Poslední aktualizace;Výsledek
Prevx;3.0;2010.05.21;High Risk Rootkit
Symantec;20101.1.0.89;2010.05.21;WS.Reputation.1

Rozšiřující informace
File size: 802304 bytes
MD5...: 4ecac954268df7910a903e9fa4fab1de
SHA1..: 93cf26f0bf5ac4eb089ecf02d578b08d1061091d
SHA256: e2204e20ca1b1ec6b58eb2984bfd4d4eb36b8675466ee5dcd91d12fdc2389e58
ssdeep: 6:idq4Vg3F+X32dTdsr0au2IzWflAYlY72eDYyh24YPXoGo1/N1BXMT:efGSGdds Y52IzKHDYYl4IXbmNLXS 
PEiD..: -
PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x386 timedatestamp.....: 0x468b03a7 (Wed Jul 04 02:19:19 2007) machinetype.......: 0x14c (I386) ( 2 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x380 0xe 0x80 0.33 a10b99d91eef7541067ec8490daf9072 .rdata 0x400 0x6e 0x80 4.59 48308b7bd1e6e1a286ca56fa19d273f5 ( 0 imports ) ( 0 exports ) 
RDS...: NSRL Reference Data Set -
trid..: Win16/32 Executable Delphi generic (25.4%) Clipper DOS Executable (24.8%) Generic Win/DOS Executable (24.6%) DOS Executable Generic (24.6%) VXD Driver (0.3%)
pdfid.: -
sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned 
<a href='http://info.prevx.com/aboutprogramtext. ... 00EE2ACDB8' target='_blank'>http://info.prevx.com/aboutprogramtext. ... E2ACDB8</a>

#5 Příspěvek od **stell** » 21 kvě 2010 11:43

No,,, vlozil si sem,to co nepotrebujem,[koniec testu]takze otestuj to este raz a sem vloz url-adresu testu,,a otestuj aj tento subor
c:\windows\system32\GPhotos.scr

rossini77 · #6 Příspěvek od **rossini77** » 21 kvě 2010 11:57

Tak tady jsou výsledky:

http://www.virustotal.com/cs/analisis/e ... 1274438783

http://www.virustotal.com/cs/analisis/5 ... 1274439305

#7 Příspěvek od **stell** » 21 kvě 2010 12:04

Pri tejto akcii je nutné mať ComboFix na ploche.

Vypni>FIREWALL>Antivir>Antispyware>vsetko rezidentne.

Otvor Notepad (Poznámkový blok) a zkopíruj do neho celý zeleny tex:

Kód: Vybrat vše

KILLALL::
File::
c:\windows\system32\drivers\trifd.sys

Potom klik na Subor -> Uložiť ako.. .. -> Ako je Názov souboru tak do toho riadku napiš:CFScript.txt
Typ súboru tak tam vyberies *všetky súbory
A ulož ho na plochu.> Pozor CFScript.txt>Neotvarat a nemoze byt ani>CFScript.txt.txt A Urobis Toto :
Obrázek

Po skonceni skenu vlož log čo ComboFix vytvorí

1. Je potřeba vypnout nástroj obnova systému - Ovládací panely>systém>obnovení systému>vypnout nástroj obnovení systému>OK nebo použít a nyní jen restartovat PC
2. Po restartu je tento adresář kompletně smazán, obnovu opět zapnout.http://www.viry.cz/forum/viewtopic.php?f=11&t=47040

Stáhni, nainstaluj program CCleaner - http://www.ccleaner.com/download/downloadpage.aspx?f=2
- PravyKlik na kos-spustit ccleaner ->>>Cakas>>na cistenie,,
PravyKlik na kos-otvorit ccleaner-záložka Windows a stiskni Analyzovat a poté Spustit Cleaner
- Klikni na záložku Aplikace a stiskni Analyzovat a poté Spustit Cleaner
- Klikni na Registry, stiskni Hledej problémy, po dokončení skenování klikni na Opravit vybrané problémy,
-zvol Ano pro vytvoření zálohy, ulož nabídnutý soubor a klikni na Opravit všechny problémy,

Start-spustit-napis cleanmgr klik>> ok>>pockas>>dalsie moznosti-obnova systemu-vycistit,,ok,,ok
Stiahnes na plochu TFC
zatvor vsetko co mas otvorene a spust-po skane restart.

Stiahnes>>Malwarebytes' Anti-Malware stiahnut-nainstalovat -aktualizovat-
sprav komplet skan,co najde zmaz,,,log vloz sem,

Stiahnite RootRepeal Beta a uložte ju na plochu.
* Zatvorte všetky ostatné programy,spustite dvoj-kliknutím na súbor s názvom RootRepeal.exe
* Akonáhle sa hlavne okne objaví,kliknite na tlačidlo Report v pravo dole.
* kliknite na tlačidlo scan.
* Ďalšie okno so žiadosťou, aby ste vybrať, čo chcete zahrnúť do vyhľadávania. Prosím, zafajknut vsetko,, , a potom kliknite na tlačidlo OK.
* Akonáhle program dokončení skenovania,budú výsledky zobrazere.Kliknite na tlačidlo Uložiť správu a správu uložiť na plochu.
* Prosím postnite sem.

rossini77 · #8 Příspěvek od **rossini77** » 21 kvě 2010 12:21

Tak vkládám LOG po výmazu a postupuji dle návodu:

ComboFix 10-05-20.A0 - Kamil 21.05.2010 13:14:40.3.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1918.1330 [GMT 2:00]
Spuštěný z: c:\documents and settings\Kamil\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Kamil\Plocha\CFScript.txt

FILE ::
"c:\windows\system32\drivers\trifd.sys"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\trifd.sys

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-04-21 do 2010-05-21 )))))))))))))))))))))))))))))))
.

2010-05-21 09:30 . 2010-05-21 09:30 -------- d-----w- C:\rsit
2010-05-21 09:30 . 2010-05-21 09:30 -------- d-----w- c:\program files\trend micro
2010-05-21 09:06 . 2010-05-21 09:06 -------- d-sh--w- c:\documents and settings\Kamil\IECompatCache
2010-05-21 09:05 . 2010-05-21 09:05 -------- d-sh--w- c:\documents and settings\Kamil\PrivacIE
2010-05-10 11:48 . 2010-05-10 11:48 -------- d-sh--w- c:\documents and settings\Kamil\IETldCache
2010-05-10 11:39 . 2010-05-11 10:31 -------- d-----w- c:\documents and settings\Kleskeň

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-21 09:46 . 2009-02-20 09:59 -------- d-----w- c:\program files\Google
2010-04-07 09:17 . 2010-04-07 09:17 -------- d-----w- c:\program files\Common Files\xing shared
2010-04-07 09:17 . 2009-10-01 05:04 -------- d-----w- c:\program files\Common Files\Real
2010-04-07 09:17 . 2010-04-07 09:17 -------- d-----w- c:\program files\Real
2010-03-29 03:50 . 2001-10-25 14:00 83832 ----a-w- c:\windows\system32\perfc005.dat
2010-03-29 03:50 . 2001-10-25 14:00 440590 ----a-w- c:\windows\system32\perfh005.dat
2010-03-10 06:17 . 2004-08-17 16:49 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-03-03 12:12 . 2010-03-03 12:12 9762 ---ha-w- C:\aaw7boot.cmd
2010-03-03 11:57 . 2010-03-03 11:57 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2010-02-25 06:18 . 2004-08-17 16:49 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-04 00:15 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-05-21_09.09.54 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-05-21 09:46 . 2010-05-21 09:46 25214 c:\windows\Installer\{F7B0939E-58DF-11DF-B3A6-005056806466}\UNINST_Uninstall_G_F6A848FB884248E6A4CDCBDCF41F6A74_1.exe
+ 2010-05-21 09:46 . 2010-05-21 09:46 25214 c:\windows\Installer\{F7B0939E-58DF-11DF-B3A6-005056806466}\UNINST_Uninstall_G_F6A848FB884248E6A4CDCBDCF41F6A74.exe
+ 2010-05-21 09:46 . 2010-05-21 09:46 25214 c:\windows\Installer\{F7B0939E-58DF-11DF-B3A6-005056806466}\ShortcutOGL_EB071909B9884F8CBF3D6115D4ADEE5E.exe
+ 2010-05-21 09:46 . 2010-05-21 09:46 25214 c:\windows\Installer\{F7B0939E-58DF-11DF-B3A6-005056806466}\ShortcutDX_EB071909B9884F8CBF3D6115D4ADEE5E.exe
+ 2010-05-21 09:46 . 2010-05-21 09:46 25214 c:\windows\Installer\{F7B0939E-58DF-11DF-B3A6-005056806466}\googleearth.exe1_F6A848FB884248E6A4CDCBDCF41F6A74.exe
+ 2010-05-21 09:46 . 2010-05-21 09:46 25214 c:\windows\Installer\{F7B0939E-58DF-11DF-B3A6-005056806466}\googleearth.exe_F6A848FB884248E6A4CDCBDCF41F6A74.exe
+ 2010-05-21 09:46 . 2010-05-21 09:46 25214 c:\windows\Installer\{F7B0939E-58DF-11DF-B3A6-005056806466}\ARPPRODUCTICON.exe
+ 2010-05-21 09:46 . 2010-05-21 09:46 1235968 c:\windows\Installer\29a09c.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 16342528]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Max Communicator.lnk - c:\program files\Max Communicator\MaxComm.exe [2006-5-19 819712]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"c:\\Program Files\\Max Communicator\\MaxComm.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP1006MC.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Common Files\\SafeNet Sentinel\\Sentinel Protection Server\\WinNT\\spnsrvnt.exe"=

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe -s --> c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe -s [?]
R2 Vivotek_ST3402;Vivotek ST3402 Launcher;c:\program files\Vivotek\ST3402\Launcher_VV.exe [23.5.2007 15:47 331776]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe -s --> c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe -s [?]
R3 GemCCID;GemCCID;c:\windows\system32\drivers\GemCCID.sys [4.4.2008 9:02 87424]
R3 NmPar;PCI Parallel Port;c:\windows\system32\drivers\NmPar.sys [9.4.2008 10:28 80512]
R3 nmserial;PCI Serial Port;c:\windows\system32\drivers\NmSerial.sys [4.4.2008 8:30 70016]
S2 gupdate1c99341e40e2c82;Google Update Service (gupdate1c99341e40e2c82);c:\program files\Google\Update\GoogleUpdate.exe [20.2.2009 11:59 133104]
.
Obsah adresáře 'Naplánované úlohy'

2010-05-21 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-03-30 04:07]

2010-05-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-20 09:59]

2010-05-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-20 09:59]

2010-05-21 c:\windows\Tasks\User_Feed_Synchronization-{2BFA24F5-820C-403E-9D83-8741F74150BB}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Doplňkový sken -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - c:\documents and settings\Kamil\Data aplikací\Mozilla\Firefox\Profiles\6vxrsaka.default\
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1636.7222\npCIDetect13.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-21 13:17
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(764)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll

- - - - - - - > 'lsass.exe'(820)
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll

- - - - - - - > 'explorer.exe'(1736)
c:\windows\system32\vorbis.dll
c:\windows\system32\ogg.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\SCardSvr.exe
c:\windows\System32\spool\DRIVERS\W32X86\3\HP1006MC.EXE
c:\program files\Firebird\Firebird_1_5\bin\fbguard.exe
c:\program files\Firebird\Firebird_1_5\bin\fbserver.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
.
**************************************************************************
.
Celkový čas: 2010-05-21 13:20:34 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-05-21 11:20
ComboFix2.txt 2010-05-21 09:51
ComboFix3.txt 2010-05-21 09:10

Před spuštěním: Volných bajtů: 67 891 630 080
Po spuštění: Volných bajtů: 67 855 929 344

- - End Of File - - 76B48B83F13638143E909ACBD79D45E9

rossini77 · #9 Příspěvek od **rossini77** » 21 kvě 2010 13:04

Přikládám log z Anti-Malware:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 4122

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21.5.2010 14:02:48
mbam-log-2010-05-21 (14-02-48).txt

Typ skenu: Úplný sken (C:\|D:\|)
Skenované objekty: 173766
Uplynulý čas: 24 minuta(y), 3 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
C:\Documents and Settings\Administrator\Data aplikací\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

rossini77 · #10 Příspěvek od **rossini77** » 21 kvě 2010 13:16

Bohužel se mi nedaří projít přes testy RootRepeal:

ROOTREPEAL CRASH REPORT
-------------------------
Windows Version: Windows XP SP3
Exception Code: 0xc0000005
Exception Address: 0x00417e70
Attempt to read from address: 0x00000000

Na záložce SSDT to i po třech pokusech spadne s výše uvedeným errorem

rossini77 · #11 Příspěvek od **rossini77** » 21 kvě 2010 13:18

Zkusím ještě to SSDT vynechat

#12 Příspěvek od **stell** » 21 kvě 2010 13:19

ok,aplikuj G-MER
http://www.viry.cz/forum/viewtopic.php?f=29&t=62878

rossini77 · #13 Příspěvek od **rossini77** » 21 kvě 2010 13:25

Zkusím, tady je LOG z toho RootRepealu:

ROOTREPEAL (c) AD, 2007-2010
==================================================
Report Save Time: 2010/05/21 14:21
Program Version: Version 2.0.0.0
Windows Version: Windows XP SP3
==================================================

DRIVERS
-------------------
File Invisible dump_atapi.sys 0xaed1c000 C:\WINDOWS\System32\Drivers\dump_atapi.sys, 98304 bytes
File Invisible dump_WMILIB.SYS 0xbadd6000 C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS, 8192 bytes
File Invisible rootrepeal.sys 0xaef97000 C:\WINDOWS\system32\drivers\rootrepeal.sys, 49152 bytes
File Invisible rxst.sys 0xba8a8000 rxst.sys, 54016 bytes

PROCESSES
-------------------
4 - System
100 - C:\Program Files\Firebird\Firebird_1_5\bin\fbserver.exe
292 - C:\Program Files\Vivotek\ST3402\Launcher_VV.exe
676 - C:\WINDOWS\system32\smss.exe
732 - C:\WINDOWS\system32\csrss.exe
764 - C:\WINDOWS\system32\winlogon.exe
808 - C:\WINDOWS\system32\services.exe
820 - C:\WINDOWS\system32\lsass.exe
960 - C:\Documents and Settings\Kamil\Plocha\RootRepeal.exe
996 - C:\WINDOWS\system32\ati2evxx.exe
1012 - C:\WINDOWS\system32\svchost.exe
1080 - C:\WINDOWS\system32\svchost.exe
1160 - C:\WINDOWS\system32\wscntfy.exe
1192 - C:\WINDOWS\system32\svchost.exe
1268 - C:\WINDOWS\system32\alg.exe
1284 - C:\WINDOWS\system32\svchost.exe
1388 - C:\WINDOWS\system32\svchost.exe
1484 - C:\WINDOWS\explorer.exe
1520 - C:\WINDOWS\system32\ati2evxx.exe
1544 - C:\WINDOWS\system32\spoolsv.exe
1640 - C:\WINDOWS\system32\scardsvr.exe
1796 - C:\WINDOWS\system32\spool\drivers\w32x86\3\HP1006MC.EXE
1888 - C:\WINDOWS\system32\svchost.exe
1948 - C:\Program Files\Firebird\Firebird_1_5\bin\fbguard.exe
2132 - C:\WINDOWS\RTHDCPL.exe
2448 - C:\WINDOWS\system32\svchost.exe
3424 - C:\Program Files\Mozilla Firefox\firefox.exe

FILES
-------------------
Mismatch C:\Documents and Settings\Kamil\Local Settings\Data aplikací\Mozilla\Firefox\Profiles\6vxrsaka.default\Cache\03362A00d01, Size mismatch (API: 105086, Raw: 100860)

STEALTH CODE
-------------------

HIDDEN SERVICES
-------------------

#14 Příspěvek od **stell** » 21 kvě 2010 13:32

ok,daj este G-MER a uvidime,,

rossini77 · #15 Příspěvek od **rossini77** » 21 kvě 2010 16:05

Nedaří se mi dokončit ani ten GMER, resp. při ukládání logu vytuhne, ale tváří se, že tam nic není. Asi to musím nechat "otevřené" do pondělí, oživím toto vlákno v pondělí. (Nejedná se o moje PC a budu k němu mít přístup až po víkendu). Pěkný víkend a dočasně děkuji.

VIRY.CZ

PC odesílá SPAM

PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM

Re: PC odesílá SPAM