Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz

Asi virus

Máte problém s virem? Vložte sem log z FRST nebo RSIT.

Moderátor: Moderátoři

Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]

Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.

!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Odpovědět
Zpráva
Autor
thai2
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 29 čer 2010 21:42

Asi virus

#1 Příspěvek od thai2 »

Mám Windows XP SP2, nemám antivirus/antispy. Jednou za čas nainstaluju NOD, updatnu databázi, projedu pc, nic nenajdu a zase odinstaluju. Tohle praktikuju už pár let a nikdy jsem neměl problém.

Před pár dny jsem strčil do počítače cizí flashku a začaly se dít věci.
- průzkumník mi přestal zobrazovat skryté soubory. Když tuhle volbu zapnu, vzápětí ji něco vypne
- nejdou mi otevřít některé weby a stáhnout některé soubory. Tyto výpadky jsou u různých webů asi hodinové, ale na weby eset a grisoft se nedostanu vůbec. (může to být náhoda a problém u providera, ale on tvrdí, že o problému neví)
- když jsem si stáhl nod odjinud, nedařilo se mi updatovat virovou bázi. Ale teď pozor: nakonec jsem nainstaloval starý NOD2.5, do něj data stáhl a NOD mi virus nenašel (je čistě ve schopnosti detekovat viry rozdíl mezi verzí 2.5 a 4?)
- hned po spuštění počítače mi problikne hláška, že BOOT.INI je neplatný a bude se bootovat ze složky windows (dodatečně jsem zjistil, že stejná hláška se zobrazuje na tom PC, jehož majiteli patří ona flashka)
- mezi ty soubory, co se mi nedaří stáhnout, patří i zde uvedený rsit.exe

Takže teď nevím, co s tím.
Přikládám aspoň seznam procesů. Nevidím nic podezřelého, ale chápu, že v svchost.exe může být leccos.

Obrázek
Nahoru
Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Asi virus

#2 Příspěvek od motji »

Dobrý večer :)
Zkuste stahnout tyto programy


:arrow: Stahněte a použijte
http://go.microsoft.com/?linkid=9668866


:arrow: Smažte cache Opery/Firefoxu bud ručně nebo ATF Cleanerem
http://www.slunecnice.cz/sw/atf-cleaner/

- v menu nahoře vyberte záložku Firefox / Opera a klikněte na ni
- zatrhněte Select All a pak klikněte na Empty Selected

pozor - přijdete o všechna hesla uložená ve FF /Opere!

- Na záložce main zaškrtněte All users temp a potvrdte Empty selected





:arrow: Stahněte OTL http://oldtimer.geekstogo.com/OTL.exe
-uložte ho na plochu a spustte soubor OTL.exe.
-do bílého okna dole skopírujte tento skript:

Kód: Vybrat vše

netsvcs
drivers32
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
c:\windows\*.* /U
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
symmpi.sys
adp3132.sys
mv61xx.sys
nvraid.sys
ndis.sys
winlogon.exe
explorer.exe
userinit.exe
lsass.exe
svchost.exe
smss.exe
hal.dll
ws2_32.dll
tcpip.sys
cryptsvc.dll
Changer.sys
JakNDis.sys
isapnp.sys
cdrom.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
%systemroot%\system32\drivers\*.sys /3
%systemroot%\system32\*.* /3
CREATERESTOREPOINT
- zaškrtněte okénko Pro všechny uživatele.
-označte okénka Kontrola na havěť "LOP" a Kontrola na havěť "Purity"
- Klikněte na tlačítko Prohledat
-po dokončení skenu se objeví logy OTL.Txt a Extras.txt, vložte je zde :)
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Nahoru
thai2
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 29 čer 2010 21:42

Re: Asi virus

#3 Příspěvek od thai2 »

Hned ten první link mi nejde otevřít.
Jestli to má nějakou rozumnou velikost, nemohl by mi to někdo stáhnout a dát někam na leteckou poštu? Děkuju moc.
Nahoru
Uživatelský avatar
mahajana
Vzorný návštěvník
Vzorný návštěvník
Příspěvky: 308
Registrován: 15 led 2010 16:08

Re: Asi virus

#4 Příspěvek od mahajana »

thai2 píše:Hned ten první link mi nejde otevřít.
Jestli to má nějakou rozumnou velikost, nemohl by mi to někdo stáhnout a dát někam na leteckou poštu? Děkuju moc.
:) http://leteckaposta.cz/700501500 je tam vše
Nahoru
thai2
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 29 čer 2010 21:42

Re: Asi virus

#5 Příspěvek od thai2 »

otl.exe mi nejde spustit. Pár sekund se o něco snaží, ale pak to skončí chybou: Exception EOleSysError in module OTL.exe. Třída není zaregistrována.
Nahoru
Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Asi virus

#6 Příspěvek od motji »

Vydržte chvilku, pošlu Vám jeden prográmek
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Nahoru
Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Asi virus

#7 Příspěvek od motji »

Stáhněte si soubor z přílohy, rozbalte
-spustte ho, potvrdte tlačítko KillAll processes
-následně spustte tlačítko OTL

Pokud stále nepůjde, napište. Zkusíme ještě jeden program, jinak máte možnost na jiném pc vybálit bootovací cd ?
Přílohy
OTH.rar
(248.69 KiB) Staženo 148 x
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Nahoru
thai2
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 29 čer 2010 21:42

Re: Asi virus

#8 Příspěvek od thai2 »

Bohužel to skončí stejně :(

Tady je screenshot:
http://sklad.obrazku.cz/obr430555_screen.jpg

Bootovací CD bych asi vyrobit mohl ale beru to až jako krajní možnost.
(mimochodem děkuju všem dosavadním rádcům)
Nahoru
Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Asi virus

#9 Příspěvek od motji »

dejte mi pár minutek, zas Vám něco pošlu. Máte 32bytový systém?
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Nahoru
thai2
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 29 čer 2010 21:42

Re: Asi virus

#10 Příspěvek od thai2 »

jj, 32B.
Nahoru
Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Asi virus

#11 Příspěvek od motji »

Opět si stahněte z přílohy složku s programy.


Takže nabootujete do nouzového režimu (po restartu mačkejte F8)

:arrow: spustíte Rkill SCR:

-spusťte ho a nechejte pracovat. Sám se ukončí.

- :!: Ted nerestartujte počítač! :!:



:arrow: Spustte přejmenovaný combofix na cobra.com

- ComboFix je třeba spustit pod účtem s právy administrátora

- Před použitím vypněte všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary

- Po spuštění se zobrazí podmínky užití, potvrďte je stiskem tlačítka Ano

- Dále postupujte dle pokynů, během aplikování ComboFixu neklikejte do zobrazujícího se okna :!:

- Po dokončení skenování, trvajícího maximálně 10 minut, by měl program vytvořit log - C:\ComboFix.txt, zkopírujte celý jeho obsah sem


:arrow: Zkuste mi udělat log ze Rsitu - je přejmenovaný na beruška.exe :D


Já ted musím od počítače, nakouknu po půl 1 . Pokud nic z toho nepůjde spustit, tak by jste vypálil boot.cd s OTL, mimo systém už by to mohlo jít. Ale to předbíhám, zatím zkuste aspon tohle a udělat log ze Rsitu.
Přílohy
programy.rar
(4.23 MiB) Staženo 38 x
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Nahoru
thai2
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 29 čer 2010 21:42

Re: Asi virus

#12 Příspěvek od thai2 »

ComboFix 10-06-29.03 - Administrator 30.06.2010 12:17:46.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.383.177 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\cobra.com.exe

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Data aplikací\Seekapp
c:\windows\system\MSVCRT40.DLL
c:\windows\system32\Driveinfo.log
c:\windows\system32\drivers\downld
c:\windows\system32\zlibwapi.dll
c:\windows\UNWISE.EXE

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-05-28 do 2010-06-30 )))))))))))))))))))))))))))))))
.

2010-06-30 10:06 . 2010-06-30 10:06 -------- d-----w- C:\Rar$DR01.922
2010-06-27 17:09 . 2010-06-27 17:09 -------- d-----w- c:\program files\GIMP-2.0
2010-06-24 11:03 . 2010-06-24 11:03 -------- d-----w- c:\program files\HWiNFO32
2010-06-18 03:55 . 2010-06-30 10:08 -------- d-----w- c:\program files\ESET
2010-06-13 14:29 . 2010-06-13 14:29 -------- d-----w- C:\Corel
2010-05-31 11:43 . 2010-05-31 11:43 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-30 08:16 . 2010-04-30 10:58 -------- d-----w- c:\program files\Minilyrics
2010-06-23 18:54 . 2009-08-11 01:23 -------- d-----w- c:\program files\SpeedFan
2010-06-23 18:51 . 2009-08-20 18:45 -------- d-----w- c:\program files\LockHunter
2010-06-22 13:19 . 2010-01-07 14:35 -------- d-----w- c:\program files\ChromePlus
2010-06-20 16:01 . 2009-06-19 20:13 -------- d-----w- c:\program files\pdf995
2010-06-13 14:17 . 2010-05-30 20:43 -------- d-----w- c:\program files\OpenOffice.org 3
2010-06-13 08:20 . 2006-03-20 19:29 -------- d-----w- c:\program files\The Bat!
2010-06-07 06:19 . 2007-11-22 20:40 -------- d-----w- c:\program files\AIMP2
2010-06-04 23:20 . 2006-06-08 17:46 -------- d-----w- c:\program files\Opera
2010-05-30 20:32 . 2006-01-05 19:38 134157 ----a-w- c:\windows\Help\hhcolreg.dat
2010-05-24 13:34 . 2007-08-23 18:09 -------- d-----w- c:\program files\Google
2010-05-24 13:31 . 2009-09-04 11:20 -------- d-----w- c:\program files\Runtime Software
2010-05-22 12:38 . 2010-05-22 12:37 -------- d-----w- c:\program files\MyDefrag v4.3.1
2010-05-21 11:42 . 2010-05-12 19:04 -------- d-----w- c:\program files\EasyPHP5.2.10
2010-05-21 10:11 . 2010-05-22 12:37 475648 ----a-w- c:\windows\system32\MyDefragScreenSaver_v4.3.1.scr
2010-05-21 10:11 . 2010-05-22 12:37 1061888 ----a-w- c:\windows\system32\MyDefragScreenSaver_v4.3.1.exe
2010-05-20 09:44 . 2009-08-23 07:45 -------- d-----w- c:\program files\vSoft
2010-05-14 18:21 . 2010-05-14 18:21 -------- d-----w- c:\program files\mplayer
2010-04-15 16:47 . 2001-10-25 14:00 484738 ----a-w- c:\windows\system32\perfh005.dat
2010-04-15 16:47 . 2001-10-25 14:00 100766 ----a-w- c:\windows\system32\perfc005.dat
2009-07-14 00:50 . 2009-07-14 00:50 4183793 ----a-w- c:\program files\PSPad editor.rar
2004-08-17 13:49 . 2004-08-17 13:49 161513 --sha-r- c:\windows\system32\uecjs.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirtualDrive-W:"="subst W:" [X]
"WizMouse"="c:\program files\WizMouse\WizMouse.exe" [2009-09-14 553720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
perfmn.lnk.lnk - c:\program files\Perfect Menu\StartPerfectMenu.exe [2008-7-29 15872]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetWorx]
2010-01-17 18:07 2892288 ----a-w- c:\program files\NetWorx\networx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-08-13 08:15 77824 ----a-w- c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WizMouse]
2009-09-14 12:21 553720 ----a-w- c:\program files\WizMouse\WizMouse.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"BthServ"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Opera\\Opera.exe"=
"c:\\Program Files\\Altap Salamander 2.5\\SALAMAND.exe"=
"c:\\Program Files\\Cerberus\\Cerberus.exe"=
"c:\\Program Files\\Microsoft Visual Studio\\VB98\\VB6.EXE"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"c:\\Program Files\\FTP Galerie\\FTP Galerie.exe"=
"c:\\Program Files\\Microsoft Visual Studio\\VB98\\Projects\\Hromadny Resize fotek\\FTP galerie.exe"=
"c:\\Program Files\\IBP 9\\IBP.exe"=
"c:\\Program Files\\Miranda075\\miranda32.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Program Files\\Real Alternative\\Media Player Classic\\mplayerc.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\VLC\\vlc.exe"=
"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\frd.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"19318:TCP"= 19318:TCP:BitComet 19318 TCP
"19318:UDP"= 19318:UDP:BitComet 19318 UDP
"6445:TCP"= 6445:TCP:jvgwifl

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [24.5.2009 17:44 26624]
R1 HWiNFO32;HWiNFO32 Kernel Driver;c:\program files\HWiNFO32\HWiNFO32.SYS [24.6.2010 13:03 19320]
R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [23.12.2006 17:49 3026]
R1 PSSDK42;PSSDK42;c:\windows\system32\drivers\pssdk42.sys [19.1.2010 1:32 38976]
S0 RRamdisk;Ramdisk Driver;c:\windows\system32\drivers\rramdisk.sys [30.12.2008 15:40 12288]
S1 amdtools;AMD Special Tools Driver;c:\windows\system32\DRIVERS\amdtools.sys --> c:\windows\system32\DRIVERS\amdtools.sys [?]
S2 lvifb;Support Server;c:\windows\system32\svchost.exe -k netsvcs [17.8.2004 15:49 14336]
S2 yohctenyr;Boot System;c:\windows\system32\svchost.exe -k netsvcs [17.8.2004 15:49 14336]
S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);c:\windows\system32\drivers\adusbmdm65.sys [10.6.2007 23:27 64896]
S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);c:\windows\system32\drivers\adusbser65.sys [10.6.2007 23:27 64896]
S3 ALSysIO;ALSysIO;\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\ALSysIO.sys --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\ALSysIO.sys [?]
S3 BTCOMM;BTCOMM;c:\windows\system32\drivers\Btcomm.sys --> c:\windows\system32\drivers\Btcomm.sys [?]
S3 BTKRNBDG;Bluetooth COM Bridge;c:\windows\system32\DRIVERS\btkrnbdg.sys --> c:\windows\system32\DRIVERS\btkrnbdg.sys [?]
S3 CSRBC01;%CSRBC01.SvcDesc%;c:\windows\system32\Drivers\csrbc01.sys --> c:\windows\system32\Drivers\csrbc01.sys [?]
S3 esihdrv;esihdrv;\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\esihdrv.sys --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\esihdrv.sys [?]
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\c:\documents and settings\Administrator\Local Settings\Temp\{CCAA4775-6E42-44E1-B5C1-85765E7FDD2D}\fsgk.sys --> c:\documents and settings\Administrator\Local Settings\Temp\{CCAA4775-6E42-44E1-B5C1-85765E7FDD2D}\fsgk.sys [?]
S3 mwgeqkeyu;mwgeqkeyu;\??\c:\windows\system32\01.tmp --> c:\windows\system32\01.tmp [?]
S3 SIVDRIVER;SIV Kernel Driver;c:\windows\system32\drivers\SIVX32.sys [15.3.2010 16:39 54848]
S3 SmartBackupService;Smart Backup Service; [x]
S3 tap0901_2gm;VPN Anonymizer Adapter;c:\windows\system32\drivers\tap0901_2gm.sys [21.6.2007 16:21 30720]
S3 vad_multi;Windigo Virtual Audio Device (WDM);c:\windows\system32\drivers\vadmulti.sys --> c:\windows\system32\drivers\vadmulti.sys [?]
S4 gupdate1c986bb88b51086;Google Update Service (gupdate1c986bb88b51086);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.10.2006 23:30 611064]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
yohctenyr
lvifb
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.cz/
uDefault_Search_URL = hxxp://www.findscout.com
uCustomizeSearch = hxxp://www.findscout.com
uSearchAssistant = hxxp://www.findscout.com/sp/
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=%s
TCP: {57F1A9A4-B1B9-485C-803D-C128AC6488A7} = 192.168.1.21,192.168.1.20
FF - ProfilePath - c:\documents and settings\Administrator\Data aplikací\Mozilla\Firefox\Profiles\3buouzst.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: browser.startup.homepage -
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
FF - plugin: c:\progra~1\MOZILL~1\plugins\npnul32.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\program files\Opera\program\plugins\np-mswmp.dll
FF - plugin: c:\program files\Opera\program\plugins\nppl3260.dll
FF - plugin: c:\program files\Opera\program\plugins\nppl3260.dll
FF - plugin: c:\program files\Opera\program\plugins\nprpjplug.dll
FF - plugin: c:\program files\Opera\program\plugins\nprpjplug.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
.
------- Asociace souborů -------
.
txtfile=c:\windows\NOTEPAD.EXE %1
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

BHO-{201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
Toolbar-{3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
WebBrowser-{3041D03E-FD4B-44E0-B742-2D9B88305F98} - (no file)
HKLM-Run-SiSPower - Rundll32.ex1 SiSPower.dll
HKLM-Run-SoundMan - SOUNDMAN.EX1
HKLM-Run-BluetoothAuthenticationAgent - rundll32.ex1 bthprops.cpl
AddRemove-HijackThis - c:\documents and settings\Administrator\Local Settings\Data aplikací\Opera\Opera\temporary_downloads\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-30 12:27
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mwgeqkeyu]
"ImagePath"="\??\c:\windows\system32\01.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lvifb]
"ServiceDll"="c:\windows\system32\uecjs.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\yohctenyr]
"ServiceDll"="c:\windows\system32\uecjs.dll"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-1409082233-1532298954-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,77,fd,13,72,a7,22,c5,45,a7,07,40,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,77,fd,13,72,a7,22,c5,45,a7,07,40,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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

[HKEY_LOCAL_MACHINE\software\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677}*_]
"fr"="078F7355425E5D"
"lr"="078F7355425E5D"
.
Celkový čas: 2010-06-30 12:34:42
ComboFix-quarantined-files.txt 2010-06-30 10:34

Před spuštěním: 670 429 184
Po spuštění: 635 183 104

- - End Of File - - 11469950ED10B464634CEBBEFC38EA94
Nahoru
Uživatelský avatar
motji
VIP
VIP
Příspěvky: 23302
Registrován: 23 říj 2008 08:02

Re: Asi virus

#13 Příspěvek od motji »

Omlouvám se, nešel mi teď internet :roll:

Pěkné, :arcisit: tu flešku, ze které jste chytl nákazu, ještě máte?

:arrow: Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

KillAll::

Collect::
c:\windows\system32\01.tmp
c:\windows\system32\uecjs.dll

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6445:TCP"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VirtualDrive-W:"=-

Driver::
mwgeqkeyu
lvifb
yohctenyr
SmartBackupService

Reglock::
[HKEY_USERS\S-1-5-21-1409082233-1532298954-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]

Regnull::
[HKEY_LOCAL_MACHINE\software\Xanthic\{1246792F-C12E-81AE-FE96-35D2FC917677}*_]

DDS::
uDefault_Search_URL = hxxp://www.findscout.com
uCustomizeSearch = hxxp://www.findscout.com
uSearchAssistant = hxxp://www.findscout.com/sp/
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=%s

Firefox::
FF - ProfilePath - c:\documents and settings\Administrator\Data aplikací\Mozilla\Firefox\Profiles\3buouzst.default\
FF - prefs.js: browser.search.selectedEngine - Ask
FF - prefs.js: keyword.URL - hxxp://toolbar.ask.com/toolbarv/askRedi ... t=&gc=1&q=
-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:

Obrázek


-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

:arrow: tento soubor znáte?
C:\Rar$DR01.922


:arrow: Stahněte MBAM z mého podpisu
-Nainstalujte,dejte úplný sken

NIC NEMAZAT :!:
-MBAM má občas falešné detekce,proto budeme mazat až po kontrole logu.
-Log zkopírujte sem.


:arrow: poprosím o log ze Rsitu a napište, jak to vypadá s počítačem
Nepoužívejte COMBOFIX bez doporučení rádce, může dojít k poškození systému!
Vždy před odvirováním počítače zazálohujte důležitá data :!:
Chcete podpořit naše forum? Informace zde

Obrázek

K zastižení jsem spíše v noci, mezi 21.-23. hodinou
Pokud máte nějaké dotazy, můžete mi napsat na email Motji(zavináč)forum.viry.cz.
Nahoru
thai2
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 29 čer 2010 21:42

Re: Asi virus

#14 Příspěvek od thai2 »

SmartBackupService jsem nechal, znám ho, dělal jsem ho sám :-)
(jdu na ten MBAM)


ComboFix 10-06-29.03 - Administrator 30.06.2010 14:12:02.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.383.189 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\cobra.com.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator\Plocha\cfscript.txt

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

file zipped: c:\windows\system32\uecjs.dll
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\uecjs.dll

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_LVIFB
-------\Legacy_YOHCTENYR
-------\Service_lvifb
-------\Service_mwgeqkeyu
-------\Service_yohctenyr


((((((((((((((((((((((((( Soubory vytvořené od 2010-05-28 do 2010-06-30 )))))))))))))))))))))))))))))))
.

2010-06-30 11:15 . 2010-06-30 11:15 -------- d-----w- c:\program files\trend micro
2010-06-30 11:15 . 2010-06-30 11:15 -------- d-----w- C:\rsit
2010-06-30 10:06 . 2010-06-30 10:06 -------- d-----w- C:\Rar$DR01.922
2010-06-27 17:09 . 2010-06-27 17:09 -------- d-----w- c:\program files\GIMP-2.0
2010-06-24 11:03 . 2010-06-24 11:03 -------- d-----w- c:\program files\HWiNFO32
2010-06-18 03:55 . 2010-06-30 10:08 -------- d-----w- c:\program files\ESET
2010-06-13 14:29 . 2010-06-13 14:29 -------- d-----w- C:\Corel

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-30 08:16 . 2010-04-30 10:58 -------- d-----w- c:\program files\Minilyrics
2010-06-23 18:54 . 2009-08-11 01:23 -------- d-----w- c:\program files\SpeedFan
2010-06-23 18:51 . 2009-08-20 18:45 -------- d-----w- c:\program files\LockHunter
2010-06-22 13:19 . 2010-01-07 14:35 -------- d-----w- c:\program files\ChromePlus
2010-06-20 16:01 . 2009-06-19 20:13 -------- d-----w- c:\program files\pdf995
2010-06-13 14:17 . 2010-05-30 20:43 -------- d-----w- c:\program files\OpenOffice.org 3
2010-06-13 08:20 . 2006-03-20 19:29 -------- d-----w- c:\program files\The Bat!
2010-06-07 06:19 . 2007-11-22 20:40 -------- d-----w- c:\program files\AIMP2
2010-06-04 23:20 . 2006-06-08 17:46 -------- d-----w- c:\program files\Opera
2010-05-30 20:32 . 2006-01-05 19:38 134157 ----a-w- c:\windows\Help\hhcolreg.dat
2010-05-24 13:34 . 2007-08-23 18:09 -------- d-----w- c:\program files\Google
2010-05-24 13:31 . 2009-09-04 11:20 -------- d-----w- c:\program files\Runtime Software
2010-05-22 12:38 . 2010-05-22 12:37 -------- d-----w- c:\program files\MyDefrag v4.3.1
2010-05-21 11:42 . 2010-05-12 19:04 -------- d-----w- c:\program files\EasyPHP5.2.10
2010-05-21 10:11 . 2010-05-22 12:37 475648 ----a-w- c:\windows\system32\MyDefragScreenSaver_v4.3.1.scr
2010-05-21 10:11 . 2010-05-22 12:37 1061888 ----a-w- c:\windows\system32\MyDefragScreenSaver_v4.3.1.exe
2010-05-20 09:44 . 2009-08-23 07:45 -------- d-----w- c:\program files\vSoft
2010-05-14 18:21 . 2010-05-14 18:21 -------- d-----w- c:\program files\mplayer
2010-04-15 16:47 . 2001-10-25 14:00 484738 ----a-w- c:\windows\system32\perfh005.dat
2010-04-15 16:47 . 2001-10-25 14:00 100766 ----a-w- c:\windows\system32\perfc005.dat
2009-07-14 00:50 . 2009-07-14 00:50 4183793 ----a-w- c:\program files\PSPad editor.rar
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WizMouse"="c:\program files\WizMouse\WizMouse.exe" [2009-09-14 553720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
perfmn.lnk.lnk - c:\program files\Perfect Menu\StartPerfectMenu.exe [2008-7-29 15872]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NetWorx]
2010-01-17 18:07 2892288 ----a-w- c:\program files\NetWorx\networx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-08-13 08:15 77824 ----a-w- c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WizMouse]
2009-09-14 12:21 553720 ----a-w- c:\program files\WizMouse\WizMouse.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"BthServ"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Opera\\Opera.exe"=
"c:\\Program Files\\Altap Salamander 2.5\\SALAMAND.exe"=
"c:\\Program Files\\Cerberus\\Cerberus.exe"=
"c:\\Program Files\\Microsoft Visual Studio\\VB98\\VB6.EXE"=
"c:\\WINDOWS\\system32\\ftp.exe"=
"c:\\Program Files\\FTP Galerie\\FTP Galerie.exe"=
"c:\\Program Files\\Microsoft Visual Studio\\VB98\\Projects\\Hromadny Resize fotek\\FTP galerie.exe"=
"c:\\Program Files\\IBP 9\\IBP.exe"=
"c:\\Program Files\\Miranda075\\miranda32.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Program Files\\Real Alternative\\Media Player Classic\\mplayerc.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\VLC\\vlc.exe"=
"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\frd.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"19318:TCP"= 19318:TCP:BitComet 19318 TCP
"19318:UDP"= 19318:UDP:BitComet 19318 UDP

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [24.5.2009 17:44 26624]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.10.2006 23:30 611064]
R1 HWiNFO32;HWiNFO32 Kernel Driver;c:\program files\HWiNFO32\HWiNFO32.SYS [24.6.2010 13:03 19320]
R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [23.12.2006 17:49 3026]
R1 PSSDK42;PSSDK42;c:\windows\system32\drivers\pssdk42.sys [19.1.2010 1:32 38976]
S0 RRamdisk;Ramdisk Driver;c:\windows\system32\drivers\rramdisk.sys [30.12.2008 15:40 12288]
S1 amdtools;AMD Special Tools Driver;c:\windows\system32\DRIVERS\amdtools.sys --> c:\windows\system32\DRIVERS\amdtools.sys [?]
S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);c:\windows\system32\drivers\adusbmdm65.sys [10.6.2007 23:27 64896]
S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);c:\windows\system32\drivers\adusbser65.sys [10.6.2007 23:27 64896]
S3 ALSysIO;ALSysIO;\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\ALSysIO.sys --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\ALSysIO.sys [?]
S3 BTCOMM;BTCOMM;c:\windows\system32\drivers\Btcomm.sys --> c:\windows\system32\drivers\Btcomm.sys [?]
S3 BTKRNBDG;Bluetooth COM Bridge;c:\windows\system32\DRIVERS\btkrnbdg.sys --> c:\windows\system32\DRIVERS\btkrnbdg.sys [?]
S3 CSRBC01;%CSRBC01.SvcDesc%;c:\windows\system32\Drivers\csrbc01.sys --> c:\windows\system32\Drivers\csrbc01.sys [?]
S3 esihdrv;esihdrv;\??\c:\docume~1\ADMINI~1\LOCALS~1\Temp\esihdrv.sys --> c:\docume~1\ADMINI~1\LOCALS~1\Temp\esihdrv.sys [?]
S3 F-Secure Standalone Minifilter;F-Secure Standalone Minifilter;\??\c:\documents and settings\Administrator\Local Settings\Temp\{CCAA4775-6E42-44E1-B5C1-85765E7FDD2D}\fsgk.sys --> c:\documents and settings\Administrator\Local Settings\Temp\{CCAA4775-6E42-44E1-B5C1-85765E7FDD2D}\fsgk.sys [?]
S3 SIVDRIVER;SIV Kernel Driver;c:\windows\system32\drivers\SIVX32.sys [15.3.2010 16:39 54848]
S3 SmartBackupService;Smart Backup Service; [x]
S3 tap0901_2gm;VPN Anonymizer Adapter;c:\windows\system32\drivers\tap0901_2gm.sys [21.6.2007 16:21 30720]
S3 vad_multi;Windigo Virtual Audio Device (WDM);c:\windows\system32\drivers\vadmulti.sys --> c:\windows\system32\drivers\vadmulti.sys [?]
S4 gupdate1c986bb88b51086;Google Update Service (gupdate1c986bb88b51086);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.cz/
uSearchAssistant = hxxp://www.findscout.com/sp/
uSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=%s
TCP: {57F1A9A4-B1B9-485C-803D-C128AC6488A7} = 192.168.1.21,192.168.1.20
FF - ProfilePath - c:\documents and settings\Administrator\Data aplikací\Mozilla\Firefox\Profiles\3buouzst.default\
FF - prefs.js: browser.startup.homepage -

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-30 14:25
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x82B751D8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf7629fc3
\Driver\ACPI -> ACPI.sys @ 0xf73abcb8
\Driver\atapi -> 0x82b751d8
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577d44
ParseProcedure -> ntkrnlpa.exe @ 0x80576964
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80577d44
ParseProcedure -> ntkrnlpa.exe @ 0x80576964
NDIS: Realtek RTL8139 Family PCI Fast Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf723ebc3
PacketIndicateHandler -> NDIS.sys @ 0xf724ab21
SendHandler -> NDIS.sys @ 0xf723ed33
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="7132698B78834966A8A012ABE4E656F0DDC1AB2C2F93F8B770E094B127C75F7CCB3B2BE9DA1D72D32AA3CD19621D205FF00AE4FAC0A4A65993C077F1CE9CFBE8889B5C8BB976BBCAD2D971CC1908314C98E766D4832DDF93476796CCC1BBADB3CB0C77280D49941CD6C80DB4603F60CB39CDF87D4EBE055D41D493787A5603593B38960A10055169EDE85550D38F6D45BAA20C4A40245F03BC7BB542B8D2E7AD02C17993414B2B2953282437D3F677740ABD312539D997287442E708FBC93154CEBB853864733D27C7667590052906E8996F1E8D5F8E3BBE2D843ABC8D8A96C7542DC1807F8688818D78EA1BCF0F81FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74C8EDD5E5BE2F6E6675D575E7D6A3B9808BA7FD869164D67948EDD5E5BE2F6E6679C6FF003ACE9C0225AAB49876F53867A292104C1C769CDD7AF3759C9AA94894215A2A4206580FDA7EAAD8F26B1645218621090A99268F71F5652B6808B8CDA1DA7C644AF97AE67C25C1020A78293620DA2B50C110406095D914B35A4B10A0915C5A891134294C0CEC7AE07081860D69C471EEEAAA6451F5D20FEDCBE202FCE9BB415BD4EFA167E859768C5E0BA8E026A005BA7C917E989CC18CF280068E1998A8EDE748969D84E0A09A051F549286C00CF80196B897D4D3E6022853AB0CC8B9BC2DD4E0F49C98B5F3041922B3378D14B8EA798AAC34EA12938E1D963B5DDF76E116CDC516C15CAEDF3336689FE8E211E696CEF4B20EB75662E7B7A98C6C76A060FE72461B5B151820FE79D3DC540FDAC5EEFDDB10C2C6636A8DF3217467F1FCA28B41D791D541BCC0F527E96B4A4BF92425793E98B28CB38DF06C0C2AC4009879838B1F43078556157E9C08C8C9872C9BC4AB720B2BC2BF560665AA10407CC6BF3DDC3D28FDEE239A0AA9238A23C5537C87564A6AD8B44D60B7F24DEEB97C30A1E1326B66D875A30739414D362F25B9EB70BA772B979052C95523A491876FA5BD04C226A143D86072EAAD9C1C5E5AC28AB3D829FA93093A60765AB55CF6FB53A9B007258DE8765E285F3ED875F0025E31D476BEAE29B48DC3DC07A176E8EE7E6DF274711BDB8A94AFE7E4DCCD5F153C15864CD36606EAE4969741E4BE128BB03D1C145C8B562BAAAF6D6E86060307C177BD40608B09C08498F90025130D10F187CD18456DEDA32551A93A4B0CEF2969DFCDD6788F5DFC8A1082B852A6D64F20FBD5E90B5E53F5E7CEACADBD47FB5CD72A2C8B50766B41A7880DDF9FE4700AC3A46F1E9878A6EC23BC2975983E83980178861ADF44C5DD6D5F9C52998FA05B64A1E9B8310200A158C4B1BDE1C1502C3711F777C6905DD90A94885CB675E9A3DD81CEDC6B5907A404F8278A21E2057DE4BA9E2431C04800D46154111FD562BA260EF"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(2344)
c:\windows\system32\ieframe.dll
c:\windows\system32\msls31.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\program files\Perfect Menu\perfmn.exe
c:\program files\Perfect Menu\perfmn.exe
.
**************************************************************************
.
Celkový čas: 2010-06-30 14:33:31 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-06-30 12:33
ComboFix2.txt 2010-06-30 10:34

Před spuštěním: 688 889 856
Po spuštění: 589 725 696

- - End Of File - - F99C1DF16CB9AE1E7EA1908A87D4CBFB
Nahoru
thai2
Návštěvník
Návštěvník
Příspěvky: 11
Registrován: 29 čer 2010 21:42

Re: Asi virus

#15 Příspěvek od thai2 »

MBAM log:
(našel dva soubory, smazal jsem je)


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 4260

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

30.6.2010 14:52:49
mbam-log-2010-06-30 (14-52-49).txt

Typ skenu: Rychlý sken
Skenované objekty: 142972
Uplynulý čas: 7 minuta(y), 23 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 1
Infikované hodnoty registru: 0
Infikované datové položky registru: 1
Infikované složky: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{a5cdf7ec-751b-46aa-ad69-4005fe080de8} (Trojan.Agent) -> Quarantined and deleted successfully.

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
(Žádné škodlivé položky nebyly zjištěny)
Nahoru
Odpovědět

Zpět na „Řešení problémů, logy“