Problém s virem

[stell]

ok,stacime zajtra aj ,ja dnes koncim,
ano combofix zmazal zopar smejdov,takze uz mozes do windowsu ,,

[Ti2sto]

ComboFix 10-06-27.02 - admin 28.06.2010 13:22:09.4.1 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.767.364 [GMT 2:00]
Spuštěný z: c:\users\admin\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\admin\Desktop\CFScript.txt.txt
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::
"c:\users\admin\AppData\Roaming\khiteb.dat"
"c:\users\admin\AppData\Roaming\qcopjv.dat"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Předchozí spuštění -------
.
c:\users\admin\AppData\Roaming\khiteb.dat
c:\users\admin\AppData\Roaming\qcopjv.dat

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-05-28 do 2010-06-28 )))))))))))))))))))))))))))))))
.

2010-06-28 11:32 . 2010-06-28 11:32 -------- d-----w- c:\users\QIP Infium\AppData\Local\temp
2010-06-28 11:32 . 2010-06-28 11:32 -------- d-----w- c:\users\Public\AppData\Local\temp
2010-06-28 11:32 . 2010-06-28 11:32 -------- d-----w- c:\users\Default\AppData\Local\temp
2010-06-27 20:53 . 2010-06-28 11:34 -------- d-----w- c:\users\admin\AppData\Local\temp
2010-06-01 08:32 . 2010-06-01 08:44 -------- d-----w- c:\users\admin\AppData\Roaming\Audacity

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-28 11:15 . 2007-01-08 21:09 598600 ----a-w- c:\windows\system32\perfh005.dat
2010-06-28 11:15 . 2007-01-08 21:09 114808 ----a-w- c:\windows\system32\perfc005.dat
2010-06-27 21:32 . 2009-04-24 20:12 -------- d-----w- c:\program files\Winamp
2010-06-27 16:39 . 2009-10-31 15:04 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-06-24 19:03 . 2008-08-19 20:04 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-24 18:49 . 2008-12-09 10:57 -------- d-----w- c:\program files\ICQ6.5
2010-06-11 15:12 . 2010-06-11 15:12 512000 ----a-w- c:\users\admin\AppData\Roaming\GRETECH\GomPlayer\GrLauncherTempSetup.exe
2010-06-08 15:00 . 2009-01-25 00:29 -------- d-----w- c:\program files\Valve
2010-05-21 12:14 . 2009-10-02 19:16 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-04-16 18:00 . 2010-04-24 20:45 85504 ----a-w- c:\windows\system32\ff_vfw.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-03-20 1312256]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="RtHDVCpl.exe" [2007-02-15 4390912]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2007-02-06 464168]
"eDSMSNfix"="c:\acer\Empowering Technology\eDSMSNfix.exe" [2007-02-08 13312]
"WarReg_PopUp"="c:\acer\WR_PopUp\WarReg_PopUp.exe" [2006-11-05 57344]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-06-19 13535776]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-06-19 92704]
"Acer Empowering Technology Monitor"="c:\acer\Empowering Technology\SysMonitor.exe" [2007-01-24 319488]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2008-07-07 167936]

c:\users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Věýezy obrazovky a spuçtŘnˇ aplikace OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2008-10-25 98696]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Empowering Technology Launcher.lnk - c:\acer\Empowering Technology\eAPLauncher.exe [2007-5-3 528384]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia.PCSync]
2009-03-12 14:33 1347584 ----a-w- c:\program files\Nokia\Nokia PC Suite 7\PcSync2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2009-03-20 12:32 1312256 ----a-w- c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):f6,7f,e8,da,9e,bd,ca,01

R2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [x]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-10-31 721904]
S3 Ph3xIB32;Philips 713x VU PCI TV Card;c:\windows\system32\DRIVERS\Ph3xIB32.sys [2007-04-03 1131136]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Obsah adresáře 'Naplánované úlohy'

2010-06-28 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-04-16 07:09]
.
.
------- Doplňkový sken -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mStart Page = hxxp://cs.intl.acer.yahoo.com
uInternet Settings,ProxyServer = socks=
uInternet Settings,ProxyOverride = plimus.com,www.plimus.com,regnow.com,www.regnow.com,
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: {{7E6A20FB-153F-402c-A84B-1A64E1955D3D} - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - c:\programdata\LangSoft\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748449} - {CC963627-B1DC-40E0-B52A-CF21EE748449} - c:\programdata\LangSoft\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\programdata\LangSoft\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - c:\programdata\LangSoft\WebIE.dll
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - c:\programdata\LangSoft\WebIE.dll
TCP: {98F178C4-DBEC-4468-A176-2C093E8879F4} = 192.168.14.1,80.78.144.6
FF - ProfilePath - c:\users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\eib58ae6.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.eurofotbal.cz
FF - component: c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru\components\KavLinkFilter.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-28 13:34
Windows 6.0.6002 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'Explorer.exe'(3180)
c:\windows\system32\MsnChatHook.dll
c:\windows\system32\ShowErrMsg.dll
c:\windows\system32\sysenv.dll
c:\windows\system32\BatchCrypto.dll
c:\windows\system32\CryptoAPI.dll
c:\windows\system32\keyManager.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_cze.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\conime.exe
c:\acer\Empowering Technology\ePerformance\MemCheck.exe
c:\windows\RtHDVCpl.exe
c:\windows\System32\rundll32.exe
c:\acer\Empowering Technology\eDataSecurity\eDSService.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\system32\WUDFHost.exe
c:\acer\Empowering Technology\eRecovery\eRecoveryService.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\ehome\ehmsas.exe
c:\windows\ehome\ehsched.exe
c:\windows\ehome\ehRecvr.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Celkový čas: 2010-06-28 13:40:49 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-06-28 11:40
ComboFix2.txt 2010-06-27 18:00

Před spuštěním: Volných bajtů: 45 181 534 208
Po spuštění: Volných bajtů: 45 054 373 888

- - End Of File - - 7CD645E37CC18469AF7AB609AC957E6D

[stell]

ok,
start-spustit-vloz prikaz combofix /uninstall
Stiahnes na plochu TFC
zatvor vsetko co mas otvorene a spust-po skane restart

a ak nie su uz problemy s pc,,tak tot vse,

[Ti2sto]

Po včerejším skenu mi nefunguje internet ... bude odstranění combofixu problém vyřešen ?

[stell]

(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
ak by bol na pricine combofix tak nespravi tento vypis,,tj,po skene musel fungovat.
skontroluj nastavenie

Jestliže nepoužíváte pevnou IP adresu, proxy atd., v sekci Start - Nastavení - Ovládací panely - Síťová připojení - Připojení k místní síti - Vlastnosti - Protokol sítě Internet (TCP/IP) - Vlastnosti zvolíme Získat adresu IP ze serveru DHCP automaticky a Získat adresu serveru DNS automaticky. V opačném případě zadáme do volných řádků nastavení od poskytovatele internetu.

[Ti2sto]

Internet stále nejde. Už jsem požádal o pomoc providera, takže něco vykutíme

Já ti moc děkuju za pomoc ... počítač šlape jako hodinky

[stell]

nemas zaco.

[Ti2sto]

Ještě bych se chtěl zeptat .... ať spustím téměř cokoliv, mám využití CPU 100% a PC neskutečně hučí. Nebude v PC ještě nějaký neřád ?

Opět díky ....

[stell]

bootkit_remover
stiahni na plochu a spust,otvori sa ti okno,,obsah vloz sem.

[Ti2sto]

Tady screen

[stell]

Otvor Notepad (Poznámkový blok) a zkopíruj do neho celý zeleny tex:

Kód: Vybrat vše

@ECHO OFF
remover.exe fix \\.\PhysicalDrive0
EXIT

Potom klik na Subor -> Uložiť ako.. .. -> Ako je Názov souboru tak do toho riadku napiš:fix.bat
Typ súboru tak tam vyberies *všetky súbory
A ulož ho na plochu.

pravy klik a spust ako admin,,po restarte,znova spust remover a log vloz sem.

[Ti2sto]

Takže stačí mít ten pozn. blok jen na ploše, nebo s ním mám udělat totéž, jako jsem dělal u combofixu ?

[stell]

nie na combofix zabudni,,precitaj este raz co som napisal,,musis vytvorit subor Fix.bat

[Ti2sto]

jj, jen jsem nevěděl, jestli mám ten soubor přetáhnout do toho programu nebo jen ho mít na ploše a spustit program.

nový screen

[stell]

Takto,,pojdes do nudzoveho rezimu a tam spust este raz fix.bat
a nemusis screenshot,davat ale spustis po restarte remover.exe,,v lavom hornom rohu kliknes na ikonku-v menu vyber vybrat vse--este raz kliknes na ikonku-a v menu zvol kopirovat a vloz sem.