Restartování PC

Zpráva

Finris · #1 Příspěvek od **Finris** » 20 črc 2010 11:12

Dobrý den, žádám vás o radu o hledně restartovani počítače.Bohužel se restartuje každých cca 20 minut.Začalo to asi předměsícem,opravilo se to nejnovejšíma aktualizace od miscrosoftu,ale bohužel to přislo znovu

. Zatím sem soubor tcpip6.sys v nouzovym rezimu prejmenoval, uvidime jestli to pomuze.

Kód: Vybrat vše

DRIVER_IRQL_NOT_LESS_OR_EQUAL
Technické Informace: Stop: 0x000000D1 (0x0000002C,0x00000002,0x00000001,0xA80CCA8C)
tcpip6.sys - Address A80CCA8C base at A80A9000

dekuju predem za rady

#2 Příspěvek od **riffman** » 20 črc 2010 11:19

zdravim

stahnete a ulozte na plochu ComboFix

pote spustte aplikaci pod uctem s administratorskym opravnenim (nikoli pod uctem s omezenym opravnenim)

v operacnich systemech Windows Vista a Windows 7 spoustejte aplikaci jako spravce (kliknutim pravym mysitkem na ikonu aplikace a volbou "Spustit jako spravce"

hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano:

Obrázek

dale muze dojit k varovani ohledne rezidentniho stitu vaseho antiviru a upozorneni na nenainstalovanou konzoli pro zotaveni; tu zatim neinstalujte.

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: pokud pouzivate antispyware s rezidentnim stitem, deaktivujte jeho rezidentni stit, protoze dochazi pri skenu a vymazu pripadneho malware k nezadoucim kolizim Combofixu s rezidentem antispyware

po restartu aplikace vytvori log, ulozeny na C:/Combofix.txt (pri opakovanem pouziti jsou logy oznaceny Combofix2.txt atd.), jeho obsah vlozte sem

Finris · #3 Příspěvek od **Finris** » 20 črc 2010 11:27

nejde mi zapnout ten combofix pise at to vypnu cd-emulation drivry a ja nwm kde je vypnout

http://img706.imageshack.us/i/errorfj.png/

#4 Příspěvek od **riffman** » 20 črc 2010 11:33

zkuste to v nouzovem rezimu

Finris · #5 Příspěvek od **Finris** » 20 črc 2010 11:55

ComboFix 10-07-19.02 - (Uživatel) 20.07.2010 12:43:05.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1791.1275 [GMT 2:00]
Spuštěný z: c:\documents and settings\(Uživatel)\Plocha\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_npf

((((((((((((((((((((((((( Soubory vytvořené od 2010-06-20 do 2010-07-20 )))))))))))))))))))))))))))))))
.

2010-07-19 05:48 . 2010-07-19 05:48 98304 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-07-19 05:41 . 2010-07-19 05:41 -------- d-----w- c:\program files\Ubisoft
2010-07-19 05:41 . 2010-07-19 05:41 1 ----a-w- c:\windows\system32\SI.bin
2010-07-18 12:46 . 2010-07-18 12:47 -------- d-----w- c:\program files\Valve
2010-07-18 11:31 . 2010-07-19 10:27 -------- d-----w- c:\program files\Counter-Strike 1.6
2010-07-17 12:25 . 2010-07-18 08:30 -------- d-----w- c:\program files\KaM - The Peasants Rebellion
2010-07-16 13:53 . 2010-05-24 18:33 108032 ----a-w- c:\windows\system32\ff_vfw.dll
2010-07-16 13:53 . 2010-07-16 13:53 -------- d-----w- c:\program files\ffdshow
2010-07-15 16:00 . 2006-12-10 21:32 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-07-15 16:00 . 2010-07-16 07:57 -------- d-----w- c:\program files\AviSynth 2.5
2010-07-15 16:00 . 2010-07-16 07:52 -------- d-----w- c:\program files\The FilmMachine
2010-07-13 09:18 . 2010-07-13 09:18 -------- d-----w- c:\windows\ServicePackFiles
2010-07-13 09:17 . 2010-07-13 09:17 -------- d-----w- c:\windows\EHome
2010-07-13 07:36 . 2008-01-04 11:34 11832 ----a-w- c:\windows\system32\drivers\AsInsHelp64.sys
2010-07-13 07:36 . 2008-01-04 11:34 10216 ----a-w- c:\windows\system32\drivers\AsInsHelp32.sys
2010-07-13 07:33 . 2010-07-13 08:02 -------- d-----w- c:\program files\Frontline Registry Cleaner
2010-07-13 07:12 . 2010-07-13 07:12 -------- d-----w- c:\program files\NETGATE
2010-07-13 07:10 . 2008-04-13 21:53 11868 ----a-w- c:\windows\system32\drivers\mdmxsdk.sys
2010-07-13 07:10 . 2008-04-14 06:51 86016 ----a-w- c:\windows\system32\mdmxsdk.dll
2010-07-13 07:04 . 2010-07-13 07:02 51232 ----a-w- c:\windows\system32\RHCoInstXP.dll
2010-07-13 07:04 . 2010-07-13 07:02 4078400 ----a-w- c:\windows\system32\drivers\RtKHDMI.sys
2010-07-13 07:04 . 2010-07-13 07:02 1489440 ----a-w- c:\windows\RtaUpd.exe
2010-07-13 07:02 . 2010-07-13 07:02 9096 ----a-w- c:\windows\system32\drivers\amdide.sys
2010-07-13 06:58 . 2010-07-13 08:39 -------- d-----w- c:\program files\Driver Checker
2010-07-13 06:58 . 2008-12-03 15:40 81408 ----a-w- c:\windows\system32\devcon_x64.exe
2010-07-13 05:56 . 2010-07-13 05:56 -------- d-----w- c:\program files\Driver-Soft
2010-07-10 14:46 . 2010-07-10 14:46 -------- d-----w- C:\My Videos
2010-07-09 19:04 . 2010-07-09 19:04 41872 ----a-w- c:\windows\system32\xfcodec.dll
2010-07-07 05:06 . 2010-07-13 06:30 -------- d-----w- c:\program files\PFConfig
2010-06-30 16:39 . 2010-06-30 16:39 -------- d-----w- c:\windows\Performance
2010-06-30 16:39 . 2010-06-30 16:39 -------- d-----w- c:\program files\Microsoft Windows 7 Upgrade Advisor
2010-06-24 15:44 . 2010-07-19 16:05 -------- d-----w- c:\program files\Xfire

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-19 05:41 . 2010-01-13 22:59 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-07-18 10:45 . 2010-03-07 15:17 -------- d-----w- c:\program files\Warcraft III
2010-07-13 07:36 . 2010-01-13 16:11 -------- d-----w- c:\program files\ASUS
2010-07-13 07:27 . 2010-05-04 15:29 -------- d-----w- c:\program files\Download Direct
2010-07-13 07:19 . 2010-02-02 15:50 -------- d-----w- c:\program files\plugins
2010-07-13 07:03 . 2010-01-13 16:10 -------- d-----w- c:\program files\Realtek
2010-07-13 07:02 . 2010-05-24 06:46 100896 ----a-w- c:\windows\system32\RTNUninst32.dll
2010-07-13 07:02 . 2010-01-13 16:12 80416 ----a-w- c:\windows\system32\RtNicProp32.dll
2010-07-13 07:02 . 2010-01-13 16:12 220112 ----a-w- c:\windows\system32\drivers\Rtenicxp.sys
2010-07-13 05:54 . 2010-05-23 14:43 -------- d-----w- c:\program files\Driver Genius
2010-07-10 06:08 . 2010-01-14 19:28 -------- d-----w- c:\program files\Google
2010-06-23 06:25 . 2008-04-14 12:00 78076 ----a-w- c:\windows\system32\perfc005.dat
2010-06-23 06:25 . 2008-04-14 12:00 429080 ----a-w- c:\windows\system32\perfh005.dat
2010-06-14 14:31 . 2010-01-13 22:50 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-13 10:23 . 2010-06-13 10:23 -------- d-----w- c:\program files\Common Files\Skype
2010-06-03 12:15 . 2010-02-25 08:41 -------- d-----w- c:\program files\Scorpions WinCheater
2010-06-03 12:14 . 2010-02-25 08:39 -------- d-----w- c:\program files\Tropico
2010-06-03 12:13 . 2010-02-25 18:34 -------- d-----w- c:\program files\GoFTP
2010-05-24 08:31 . 2010-01-15 13:09 -------- d-----w- c:\program files\Eset
2010-05-23 13:50 . 2010-01-24 13:31 -------- d-----w- c:\program files\uTorrent
2010-05-06 10:35 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:09 . 2008-04-14 12:00 1851264 ----a-w- c:\windows\system32\win32k.sys
2010-04-30 15:22 . 2010-01-13 16:11 84512 ----a-w- c:\windows\SOUNDMAN.EXE
2010-04-30 15:22 . 2010-01-13 16:11 358944 ----a-w- c:\windows\vncutil.exe
2010-04-30 15:22 . 2010-01-13 16:11 1833504 ----a-w- c:\windows\SkyTel.exe
2010-04-30 15:22 . 2010-01-13 16:11 1489440 ----a-w- c:\windows\RtlUpd.exe
2010-04-30 15:22 . 2010-01-13 16:11 9721888 ----a-w- c:\windows\RTLCPL.EXE
2010-04-30 15:22 . 2010-01-13 16:11 51232 ----a-w- c:\windows\system32\RtkCoInstXP.dll
2010-04-30 15:22 . 2010-01-13 16:11 129568 ----a-w- c:\windows\RtkAudioService.exe
2010-04-30 15:22 . 2010-01-13 16:11 19523616 ----a-w- c:\windows\RTHDCPL.EXE
2010-04-30 15:22 . 2010-01-13 16:11 2177568 ----a-w- c:\windows\MicCal.exe
2010-04-30 15:22 . 2010-01-13 16:11 64032 ----a-w- c:\windows\ALCMTR.EXE
2010-04-30 15:22 . 2010-01-13 16:11 2815520 ----a-w- c:\windows\ALCWZRD.EXE
2010-04-30 14:56 . 2010-01-13 16:11 6032928 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2010-04-28 16:45 . 2010-01-13 16:10 1251872 ----a-w- c:\windows\RtlExUpd.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-05-23 322352]
"NETGATERegistryCleaner"="c:\program files\NETGATE\Registry Cleaner\RegistryCleaner.exe" [2010-06-24 1870488]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-14 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-04-30 19523616]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Zdena - Pavlˇkov \Nabˇdka Start\Programy\Po spuçtŘnˇ\
CurseClientStartup.ccip [2010-5-23 0]
Xfire.lnk - c:\program files\Xfire\Xfire.exe [2010-7-9 3493776]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\STARY_PC\\Program Files\\World of Warcraft\\WoW-3.2.0-enGB-downloader.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\STARY_PC\\Program Files\\Garena\\Garena.exe"=
"c:\\STARY_PC\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Xfire\\Xfire.exe"=
"c:\\Program Files\\Warcraft III\\war3.exe"=
"c:\\Program Files\\Counter-Strike 1.6\\hl.exe"=
"c:\\STARY_PC\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Documents and Settings\\(Uživatel)\\Local Settings\\Apps\\2.0\\GCCT994L.CWT\\WE7EO25T.AL9\\curs..tion_eee711038731a406_0004.0000_172b37d8269e5e48\\CurseClient.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:W3 Hoster

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [21.12.2007 8:21 33800]
R2 ekrn;Eset Service;c:\program files\Eset\ESET NOD32 Antivirus\ekrn.exe [21.12.2007 8:21 468224]
R2 NGRegClnSrv;NETGATE Registry Cleaner Service;c:\program files\NETGATE\Registry Cleaner\RegistryCleanerSrv.exe [13.7.2010 9:12 440912]
S2 Apache2.2;Apache2.2;c:\progra~1\EASYPH~1.0DE\Apache\bin\apache.exe [7.2.2010 14:55 24645]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [1.5.2010 13:56 136176]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [13.1.2010 18:11 1691480]
S3 cdrmkaun;cdrmkaun;\??\c:\docume~1\ZDENA-~1\LOCALS~1\Temp\cdrmkaun.sys --> c:\docume~1\ZDENA-~1\LOCALS~1\Temp\cdrmkaun.sys [?]
S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\ZDENA-~1\LOCALS~1\Temp\XMSE6D.tmp --> c:\docume~1\ZDENA-~1\LOCALS~1\Temp\XMSE6D.tmp [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [5.2.2010 19:39 691696]
.
Obsah adresáře 'Naplánované úlohy'

2010-07-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-01 11:56]

2010-07-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-01 11:56]

2010-07-19 c:\windows\Tasks\User_Feed_Synchronization-{DB09F0FB-B0A8-4CF2-9C0F-1D1F80E3F563}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\(Uživatel)\Data aplikací\Mozilla\Firefox\Profiles\2kl5mswu.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - http://google.cz
FF - prefs.js: keyword.URL -
FF - component: c:\documents and settings\(Uživatel)\Data aplikací\Mozilla\Firefox\Profiles\2kl5mswu.default\extensions\radiobar@toolbar\components\toolbarhomewmp.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\stary_pc\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\stary_pc\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\stary_pc\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\stary_pc\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\stary_pc\Program Files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-20 12:50
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\docume~1\ZDENA-~1\LOCALS~1\Temp\XMSE6D.tmp"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-57989841-854245398-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:f5,56,fb,b9,30,52,82,b5,3e,a4,34,25,46,9b,22,d8,00,c5,ce,20,4f,
7b,2d,61,91,67,48,70,75,43,62,88,da,1e,ec,7c,f2,2f,0c,6b,be,06,67,24,d5,81,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(712)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2972)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\RTHDCPL.EXE
c:\windows\Microsoft.NET\Framework\v2.0.50727\dfsvc.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2010-07-20 12:52:36 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-07-20 10:52

Před spuštěním: Volných bajtů: 31 030 992 896
Po spuštění: Volných bajtů: 31 542 009 856

WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 7337C5B9293FD9E180B2176B9F866A83

#6 Příspěvek od **riffman** » 20 črc 2010 12:03

nez docistime...

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:W3 Hoster

tenhle port je otevreny zamerne?

Finris · #7 Příspěvek od **Finris** » 20 črc 2010 12:12

jop na hostovani w3

#8 Příspěvek od **riffman** » 20 črc 2010 12:14

jeste se zeptam - CurseClientStartup.ccip s tim ma taky neco spolecneho?

Finris · #9 Příspěvek od **Finris** » 20 črc 2010 12:18

ten curse client odinstaluju ho a vzdy po startu pocitace se zacne sam stahovat a instalovat

#10 Příspěvek od **riffman** » 20 črc 2010 12:21

ok, spachame to jeste jinak...

http://www.viry.cz/forum/viewtopic.php?f=29&t=67229

stahnout, nainstalovat, spustit sken, nic nemazat, nacpat sem log

Finris · #11 Příspěvek od **Finris** » 20 črc 2010 13:57

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 4052

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20.7.2010 14:56:00
mbam-log-2010-07-20 (14-56-00).txt

Typ skenu: Rychlý sken
Skenované objekty: 118765
Uplynulý čas: 4 minuta(y), 29 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 1

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
C:\Documents and Settings\(uživatel)\Plocha\asx-homm5.exe (Malware.Packer) -> Quarantined and deleted successfully.

#12 Příspěvek od **riffman** » 20 črc 2010 16:35

nyni poprosim o opetovnou aplikaci Combofixu a aktualni log sem

Finris · #13 Příspěvek od **Finris** » 21 črc 2010 08:04

ComboFix 10-07-20.03 - (uživatel) 21.07.2010 8:58.2.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1791.1413 [GMT 2:00]
Spuštěný z: c:\documents and settings\(uživatel)\Plocha\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Vytvořen nový Bod Obnovení
* Rezidentní štít AV je zapnutý

.

((((((((((((((((((((((((( Soubory vytvořené od 2010-06-21 do 2010-07-21 )))))))))))))))))))))))))))))))
.

2010-07-20 12:50 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-20 12:50 . 2010-07-20 12:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-20 12:50 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-19 05:48 . 2010-07-19 05:48 98304 ----a-w- c:\windows\system32\CmdLineExt.dll
2010-07-19 05:41 . 2010-07-19 05:41 -------- d-----w- c:\program files\Ubisoft
2010-07-19 05:41 . 2010-07-19 05:41 1 ----a-w- c:\windows\system32\SI.bin
2010-07-18 12:46 . 2010-07-18 12:47 -------- d-----w- c:\program files\Valve
2010-07-18 11:31 . 2010-07-19 10:27 -------- d-----w- c:\program files\Counter-Strike 1.6
2010-07-17 12:25 . 2010-07-18 08:30 -------- d-----w- c:\program files\KaM - The Peasants Rebellion
2010-07-16 13:53 . 2010-05-24 18:33 108032 ----a-w- c:\windows\system32\ff_vfw.dll
2010-07-16 13:53 . 2010-07-16 13:53 -------- d-----w- c:\program files\ffdshow
2010-07-15 16:00 . 2006-12-10 21:32 348160 ----a-w- c:\windows\system32\msvcr71.dll
2010-07-15 16:00 . 2010-07-16 07:57 -------- d-----w- c:\program files\AviSynth 2.5
2010-07-15 16:00 . 2010-07-16 07:52 -------- d-----w- c:\program files\The FilmMachine
2010-07-13 09:18 . 2010-07-13 09:18 -------- d-----w- c:\windows\ServicePackFiles
2010-07-13 09:17 . 2010-07-13 09:17 -------- d-----w- c:\windows\EHome
2010-07-13 07:36 . 2008-01-04 11:34 11832 ----a-w- c:\windows\system32\drivers\AsInsHelp64.sys
2010-07-13 07:36 . 2008-01-04 11:34 10216 ----a-w- c:\windows\system32\drivers\AsInsHelp32.sys
2010-07-13 07:33 . 2010-07-13 08:02 -------- d-----w- c:\program files\Frontline Registry Cleaner
2010-07-13 07:12 . 2010-07-13 07:12 -------- d-----w- c:\program files\NETGATE
2010-07-13 07:10 . 2008-04-13 21:53 11868 ----a-w- c:\windows\system32\drivers\mdmxsdk.sys
2010-07-13 07:10 . 2008-04-14 06:51 86016 ----a-w- c:\windows\system32\mdmxsdk.dll
2010-07-13 07:04 . 2010-07-13 07:02 51232 ----a-w- c:\windows\system32\RHCoInstXP.dll
2010-07-13 07:04 . 2010-07-13 07:02 4078400 ----a-w- c:\windows\system32\drivers\RtKHDMI.sys
2010-07-13 07:04 . 2010-07-13 07:02 1489440 ----a-w- c:\windows\RtaUpd.exe
2010-07-13 07:02 . 2010-07-13 07:02 9096 ----a-w- c:\windows\system32\drivers\amdide.sys
2010-07-13 06:58 . 2010-07-13 08:39 -------- d-----w- c:\program files\Driver Checker
2010-07-13 06:58 . 2008-12-03 15:40 81408 ----a-w- c:\windows\system32\devcon_x64.exe
2010-07-13 05:56 . 2010-07-13 05:56 -------- d-----w- c:\program files\Driver-Soft
2010-07-10 14:46 . 2010-07-10 14:46 -------- d-----w- C:\My Videos
2010-07-09 19:04 . 2010-07-09 19:04 41872 ----a-w- c:\windows\system32\xfcodec.dll
2010-07-07 05:06 . 2010-07-13 06:30 -------- d-----w- c:\program files\PFConfig
2010-06-30 16:39 . 2010-06-30 16:39 -------- d-----w- c:\windows\Performance
2010-06-30 16:39 . 2010-06-30 16:39 -------- d-----w- c:\program files\Microsoft Windows 7 Upgrade Advisor
2010-06-24 15:44 . 2010-07-19 16:05 -------- d-----w- c:\program files\Xfire

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-19 05:41 . 2010-01-13 22:59 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-07-18 10:45 . 2010-03-07 15:17 -------- d-----w- c:\program files\Warcraft III
2010-07-13 07:36 . 2010-01-13 16:11 -------- d-----w- c:\program files\ASUS
2010-07-13 07:27 . 2010-05-04 15:29 -------- d-----w- c:\program files\Download Direct
2010-07-13 07:19 . 2010-02-02 15:50 -------- d-----w- c:\program files\plugins
2010-07-13 07:03 . 2010-01-13 16:10 -------- d-----w- c:\program files\Realtek
2010-07-13 07:02 . 2010-05-24 06:46 100896 ----a-w- c:\windows\system32\RTNUninst32.dll
2010-07-13 07:02 . 2010-01-13 16:12 80416 ----a-w- c:\windows\system32\RtNicProp32.dll
2010-07-13 07:02 . 2010-01-13 16:12 220112 ----a-w- c:\windows\system32\drivers\Rtenicxp.sys
2010-07-13 05:54 . 2010-05-23 14:43 -------- d-----w- c:\program files\Driver Genius
2010-07-10 06:08 . 2010-01-14 19:28 -------- d-----w- c:\program files\Google
2010-06-23 06:25 . 2008-04-14 12:00 78076 ----a-w- c:\windows\system32\perfc005.dat
2010-06-23 06:25 . 2008-04-14 12:00 429080 ----a-w- c:\windows\system32\perfh005.dat
2010-06-14 14:31 . 2010-01-13 22:50 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-13 10:23 . 2010-06-13 10:23 -------- d-----w- c:\program files\Common Files\Skype
2010-06-03 12:15 . 2010-02-25 08:41 -------- d-----w- c:\program files\Scorpions WinCheater
2010-06-03 12:14 . 2010-02-25 08:39 -------- d-----w- c:\program files\Tropico
2010-06-03 12:13 . 2010-02-25 18:34 -------- d-----w- c:\program files\GoFTP
2010-05-24 08:31 . 2010-01-15 13:09 -------- d-----w- c:\program files\Eset
2010-05-23 13:50 . 2010-01-24 13:31 -------- d-----w- c:\program files\uTorrent
2010-05-06 10:35 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:09 . 2008-04-14 12:00 1851264 ----a-w- c:\windows\system32\win32k.sys
2010-04-30 15:22 . 2010-01-13 16:11 84512 ----a-w- c:\windows\SOUNDMAN.EXE
2010-04-30 15:22 . 2010-01-13 16:11 358944 ----a-w- c:\windows\vncutil.exe
2010-04-30 15:22 . 2010-01-13 16:11 1833504 ----a-w- c:\windows\SkyTel.exe
2010-04-30 15:22 . 2010-01-13 16:11 1489440 ----a-w- c:\windows\RtlUpd.exe
2010-04-30 15:22 . 2010-01-13 16:11 9721888 ----a-w- c:\windows\RTLCPL.EXE
2010-04-30 15:22 . 2010-01-13 16:11 51232 ----a-w- c:\windows\system32\RtkCoInstXP.dll
2010-04-30 15:22 . 2010-01-13 16:11 129568 ----a-w- c:\windows\RtkAudioService.exe
2010-04-30 15:22 . 2010-01-13 16:11 19523616 ----a-w- c:\windows\RTHDCPL.EXE
2010-04-30 15:22 . 2010-01-13 16:11 2177568 ----a-w- c:\windows\MicCal.exe
2010-04-30 15:22 . 2010-01-13 16:11 64032 ----a-w- c:\windows\ALCMTR.EXE
2010-04-30 15:22 . 2010-01-13 16:11 2815520 ----a-w- c:\windows\ALCWZRD.EXE
2010-04-30 14:56 . 2010-01-13 16:11 6032928 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2010-04-28 16:45 . 2010-01-13 16:10 1251872 ----a-w- c:\windows\RtlExUpd.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-05-23 322352]
"NETGATERegistryCleaner"="c:\program files\NETGATE\Registry Cleaner\RegistryCleaner.exe" [2010-06-24 1870488]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-01-14 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2010-04-30 19523616]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Zdena - Pavlˇkov \Nabˇdka Start\Programy\Po spuçtŘnˇ\
CurseClientStartup.ccip [2010-5-23 0]
Xfire.lnk - c:\program files\Xfire\Xfire.exe [2010-7-9 3493776]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\STARY_PC\\Program Files\\World of Warcraft\\WoW-3.2.0-enGB-downloader.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\STARY_PC\\Program Files\\Garena\\Garena.exe"=
"c:\\STARY_PC\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Xfire\\Xfire.exe"=
"c:\\Program Files\\Warcraft III\\war3.exe"=
"c:\\Program Files\\Counter-Strike 1.6\\hl.exe"=
"c:\\Documents and Settings\\(uživatel)\\Local Settings\\Apps\\2.0\\GCCT994L.CWT\\WE7EO25T.AL9\\curs..tion_eee711038731a406_0004.0000_172b37d8269e5e48\\CurseClient.exe"=
"c:\\STARY_PC\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:W3 Hoster

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [21.12.2007 8:21 33800]
R2 ekrn;Eset Service;c:\program files\Eset\ESET NOD32 Antivirus\ekrn.exe [21.12.2007 8:21 468224]
R2 NGRegClnSrv;NETGATE Registry Cleaner Service;c:\program files\NETGATE\Registry Cleaner\RegistryCleanerSrv.exe [13.7.2010 9:12 440912]
S2 Apache2.2;Apache2.2;c:\progra~1\EASYPH~1.0DE\Apache\bin\apache.exe [7.2.2010 14:55 24645]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [1.5.2010 13:56 136176]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [13.1.2010 18:11 1691480]
S3 cdrmkaun;cdrmkaun;\??\c:\docume~1\ZDENA-~1\LOCALS~1\Temp\cdrmkaun.sys --> c:\docume~1\ZDENA-~1\LOCALS~1\Temp\cdrmkaun.sys [?]
S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\ZDENA-~1\LOCALS~1\Temp\XMSE6D.tmp --> c:\docume~1\ZDENA-~1\LOCALS~1\Temp\XMSE6D.tmp [?]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [5.2.2010 19:39 691696]
.
Obsah adresáře 'Naplánované úlohy'

2010-07-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-01 11:56]

2010-07-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-05-01 11:56]

2010-07-21 c:\windows\Tasks\User_Feed_Synchronization-{DB09F0FB-B0A8-4CF2-9C0F-1D1F80E3F563}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\(uživatel)\Data aplikací\Mozilla\Firefox\Profiles\2kl5mswu.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - www.laststand.clanweb.cz
FF - prefs.js: keyword.URL -
FF - component: c:\documents and settings\(uživatel)\Data aplikací\Mozilla\Firefox\Profiles\2kl5mswu.default\extensions\radiobar@toolbar\components\toolbarhomewmp.dll
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.29\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\stary_pc\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\stary_pc\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\stary_pc\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\stary_pc\Program Files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\stary_pc\Program Files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-21 09:02
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine]
"ImagePath"="\??\c:\docume~1\ZDENA-~1\LOCALS~1\Temp\XMSE6D.tmp"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-57989841-854245398-725345543-1004\Software\SecuROM\License information*]
"datasecu"=hex:f5,56,fb,b9,30,52,82,b5,3e,a4,34,25,46,9b,22,d8,00,c5,ce,20,4f,
7b,2d,61,91,67,48,70,75,43,62,88,da,1e,ec,7c,f2,2f,0c,6b,be,06,67,24,d5,81,\
"rkeysecu"=hex:29,23,be,84,e1,6c,d6,ae,52,90,49,f1,f1,bb,e9,eb
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(712)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2010-07-21 09:03:19
ComboFix-quarantined-files.txt 2010-07-21 07:03
ComboFix2.txt 2010-07-20 10:52

Před spuštěním: Volných bajtů: 34 057 273 344
Po spuštění: Volných bajtů: 34 047 279 104

WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer

- - End Of File - - 4146BDDE07DCBC16CEA8EE0EDFE09CA7

#14 Příspěvek od **riffman** » 21 črc 2010 09:12

pokud jste tak jeste neucinil, presunte Combofix na plochu

otevrete si Poznamkovy blok

do nej zkopirujte skript z nasledujiciho okna:

Kód: Vybrat vše

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Documents and Settings\\(uživatel)\\Local Settings\\Apps\\2.0\\GCCT994L.CWT\\WE7EO25T.AL9\\curs..tion_eee711038731a406_0004.0000_172b37d8269e5e48\\CurseClient.exe"=-

File::
c:\Documents and Settings\(uživatel)\Local Settings\Apps\2.0\GCCT994L.CWT\WE7EO25T.AL9\curs..tion_eee711038731a406_0004.0000_172b37d8269e5e48\CurseClient.exe

ulozte vami vytvoreny textovy soubor jako CFScript.txt na plochu

po ulozeni uchopte vami vytvoreny skript levym tlacitkem mysi a presunte jej nad ikonu Combofixu, nad niz skript upustte:

Obrázek

po aplikaci by na vas mel vybafnout dalsi log, vlozte jej sem

Upozorneni: je mozne, ze po aplikaci skriptu a restartu nenabehnou Windows, v takovem pripade znovu restartujte, po restartu mackejte F8 a zvolte Posledni znamou fukncni konfiguraci

Finris · #15 Příspěvek od **Finris** » 01 srp 2010 10:53

Problem vyresen instalovanim windows 7 muzete lock.

VIRY.CZ

Restartování PC

Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC

Re: Restartování PC