antimalware-doctor ???

[jacktenrek]

ok děkuji večer snad tu bude log ale pokračováni asi až v pondeli pač je to pracovni komp

[jacktenrek]

ComboFix 10-07-08.02 - mspackova 09.07.2010 12:51:29.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.247.60 [GMT 2:00]
Spuštěný z: c:\documents and settings\mspackova\Plocha\ComboFix.exe
AV: avast! Antivirus *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\Outlook Express\rasadhlp.dll
c:\windows\Downloaded Program Files\Install.dll
c:\windows\Downloaded Program Files\Install.inf
c:\windows\g32.txt
c:\windows\inf\vvt.pnf
c:\windows\system32\images
c:\windows\system32\images\h_com.gif
c:\windows\system32\images\h_foto.jpg
c:\windows\system32\images\h_future.gif
c:\windows\system32\images\h_logo.gif
c:\windows\system32\images\n_select.gif
c:\windows\system32\images\spacer.gif
c:\windows\xpsp1hfm.log

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-06-09 do 2010-07-09 )))))))))))))))))))))))))))))))
.

2010-07-09 09:19 . 2010-07-09 09:19 -------- d-----w- C:\_OTL
2010-07-09 07:48 . 2010-06-28 20:37 165456 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-07-09 07:48 . 2010-06-28 20:32 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-07-09 07:48 . 2010-06-28 20:37 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-07-09 07:48 . 2010-06-28 20:32 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-07-09 07:48 . 2010-06-28 20:32 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-07-09 07:48 . 2010-06-28 20:32 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-07-09 07:47 . 2010-06-28 20:57 38848 ----a-w- c:\windows\avastSS.scr
2010-07-09 05:39 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-09 05:38 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-09 05:38 . 2010-07-09 05:39 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-08 10:42 . 2010-07-08 10:51 -------- d-----w- c:\windows\system32\MpEngineStore

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-09 07:44 . 2005-12-05 09:37 -------- d-----w- c:\program files\Alwil Software
2010-06-28 20:57 . 2005-12-05 09:37 165032 ----a-w- c:\windows\system32\aswBoot.exe
2010-06-28 20:33 . 2005-12-05 09:38 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-06-14 05:28 . 2003-04-29 18:07 365100 ----a-w- c:\windows\system32\perfh005.dat
2010-06-14 05:28 . 2003-04-29 18:07 52622 ----a-w- c:\windows\system32\perfc005.dat
2010-05-02 08:27 . 2003-04-29 18:08 1850880 ----a-w- c:\windows\system32\win32k.sys
2010-04-20 05:48 . 2003-04-29 18:06 285696 ----a-w- c:\windows\system32\atmfd.dll
2010-04-16 15:38 . 2004-02-06 16:07 663040 ----a-w- c:\windows\system32\wininet.dll
2010-04-16 15:38 . 2004-08-17 22:49 81920 ------w- c:\windows\system32\ieencode.dll
2008-05-23 11:57 . 2008-05-23 11:57 1725672 ----a-w- c:\program files\UltraVNC-102-Setup.zip
2008-03-28 07:48 . 2008-05-23 11:57 1758856 ----a-w- c:\program files\UltraVNC-102-Setup.exe
2007-02-13 19:06 . 2008-08-07 10:51 8741475 ----a-w- c:\program files\sapsprow.exe
2006-04-03 09:18 . 2006-04-03 09:17 683 ----a-w- c:\program files\Docházka.xls.lnk
.

------- Sigcheck -------

[-] 2008-04-13 . 1DF7F42665C94B825322FAE71721130D . 182656 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\8fb85d68ee3649be8b622da7b69408ee\ndis.sys
[7] 2004-08-04 . 558635D3AF1C7546D26067D5D9B6959E . 182912 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\ndis.sys

c:\windows\System32\drivers\ndis.sys ... chybí !!
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-06-06 155648]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-12-07 21686568]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-16 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-04-06 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-04-06 114688]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-06-06 155648]
"Communicator"="c:\program files\Microsoft Office Communicator\communicator.exe" [2010-04-10 5116256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - c:\program files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
EPSON Status Monitor 3 Environment Check(2).lnk - c:\windows\system32\spool\drivers\w32x86\3\E_SRCV02.EXE [2008-1-2 131584]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2000478354-839522115-682003330-3291\Scripts\Logon\0\0]
"Script"=\\TENZO.LOCAL\SysVol\TENZO.LOCAL\scripts\vsichni.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2000478354-839522115-682003330-3641\Scripts\Logon\0\0]
"Script"=\\TENZO.LOCAL\SysVol\TENZO.LOCAL\scripts\vsichni.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2000478354-839522115-682003330-500\Scripts\Logon\0\0]
"Script"=\\TENZO.LOCAL\SysVol\TENZO.LOCAL\scripts\vsichni.bat

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\UltraVNC\\winvnc.exe"=
"c:\\Program Files\\Microsoft Office\\Live Meeting 8\\Console\\PWConsole.exe"=
"c:\\Program Files\\Microsoft Office Communicator\\communicator.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [23.5.2008 13:58 6016]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [29.1.2010 16:46 135664]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2B70E743-DA12-3CFF-3873-7B6535DB3F2B}]
2007-06-13 13:23 43573 ---h--w- c:\windows\jafavh8\java6.exe
.
Obsah adresáře 'Naplánované úlohy'

2010-07-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 14:46]

2010-07-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-29 14:46]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://cz_z1_srv001
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\translat\WEBIE.DLL
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - c:\translat\WEBIE.DLL
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - c:\translat\WEBIE.DLL
Trusted Zone: mojebanka.cz\www
DPF: KTPro SP KB R9 - hxxps://www.mojebanka.cz/jars/ktpsp.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: SH App KB R9 - hxxps://www.mojebanka.cz/jars/shapp.cab
DPF: {50E43D86-A74D-11D0-98CE-004005249458} - hxxps://www.mojebanka.cz/jars/confwiz/MVSGif.cab
FF - ProfilePath - c:\documents and settings\mspackova\Data aplikací\Mozilla\Firefox\Profiles\2e9dm9bc.default\
FF - prefs.js: browser.startup.homepage - hxxp://cz_z1_srv001/default.aspx
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

AddRemove-BDE implementation_is1 - c:\sapsprow\Default\unins000.exe
AddRemove-HijackThis - d:\utility\HijackThis\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-09 13:05
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Celkový čas: 2010-07-09 13:12:17
ComboFix-quarantined-files.txt 2010-07-09 11:12

Před spuštěním: Volných bajtů: 18 948 034 560
Po spuštění: Volných bajtů: 18 921 385 984

- - End Of File - - 80AD2736BAB290D3B8761C48E9C70322

[motji]

Jestli tu ještě tak půl hodinky budete, tak by jsme to mohli zvládnout, jinak v pondělí.

Dejte soubor otestovat na http://www.virustotal.com

c:\program files\sapsprow.exe


-Na virustotalu dáte procházet, a do spodního okénka nakopírujete přímo cestu k souboru a dáte odeslat
-z prohlížeče zkopírujete adresu ke stránce s výsledky
-pokud se Vás zeptá, dejte soubor otestovat znovu, tak aby to byl soubor z Vašeho počítače


A pak se pustíme do nahrazování jednoho souboru

[jacktenrek]

saps je program pro cnc pálící automaticke stroje. Jinak nam to vyhodilo internet a nefunguje ani ipconfig ... a jakmile se spusti komp hned se seka jakoby se vytížila pamet ...

[motji]

Chybí Vám soubor, který je pro internet důležitý, proto nejde. Vydržte chvilku, pošlu Vám soubor k nahrazení.

[motji]

Stáhněte si z přílohy rar, rozbalte ho a uložte přímo na plochu, tak aby cesta k souborům byla
c:\ndis.sys
c:\A\ndis.sys



Stáhněte Avenger
http://swandog46.geekstogo.com/avenger.exe

-spustíte program a potvrdíte kliknutím na ok,tím potvrzujete, že všechny činnosti s tím spojené činíte na vlastní riziko.
-Po odkliknutí se objeví hlavní okno programu,do bílého okna něj zkopírujte tento skript:

Kód: Vybrat vše

Begin copying here:
Files to move:
c:\ndis.sys | c:\windows\System32\drivers\ndis.sys
c:\A\ndis.sys | c:\windows\SoftwareDistribution\Download\8fb85d68ee3649be8b622da7b69408ee\ndis.sys

-zaškrtněte políčko scan for rootkits

a klikněte na tlačítko Execute.
-Potom se objeví okno,kde kliknutím Yes potvrdíte spuštění skriptu. Pak znovu tlačítkem yes potvrdíte restart počítače.
-Po restartu by se měl otevřít poznámkový blok s logem o vykonání skriptu, bude také uložený v C:\avenger.txt.
-Log vložte sem


Pak znovu spustte combofix. Kdyby byl nějaký problém, napište.

[jacktenrek]

tak když jsem vykonal dle instrukci akci tak se začal komp restartovat a jedine me to pusti do nouzaku, ale tam me zas nepustí protože udajne nedavam spravne přihlašovaci udaje ikdyž jsou spravne ....

[motji]

Máte inst.cd na opravu?

[jacktenrek]

jj už se provadi oprava systemu ale to tam bude pořád ne ?

[motji]

A jste si jistý, že máte správné přihlašovací udaje?

[jacktenrek]

jj to jsem

[motji]

Přihlašujete se jako administrátor, máte možnost se přihlásit ještě pod jiným učtem?
Po opravě systému nahlašte, jak to vypadá

[jacktenrek]

tak jsme se rozhodli pro radikalni řešeni po oprave jsme ted zazalohovali vše potřebne a bude nasledovat format c: tak snad to bude stačit jen nevim zda se to nedostalo jinam než by melo ...

[motji]

Po opravě jste se dostali do pc?
Formátovat to nemusíte, jen bych potřebovala vědět, zda se ten soubor nahradil a mělo by být hotovo.
Záleží na Vás , nevím v jakém stavu je ted počítač, takže nemůžu posoudit.

[jacktenrek]

no je to starší počítač ktery roky nebyl udržovan a až ted to tam začalo bublat tak jsme aspon zazalohovali a ted dame novy system a snad to bude ok. Chel bych vám i tak mooc podekovat za velkou snahu a ocenuji váš pozitivni přístup