Nod hlasi trojan INJECTOR.CUA

[rk3999]

Zasílám RSIT log z počítače, kde mi ESET Nod hlásí trojan INJECTOR.CUA, který se projevuje tím, že mi na jakémkoliv flash disku skryje složky, vytvoří složku 8585485, kam umístí progrmy exe s názvem každé složky, kterou najde na flash disku. V rootu vytvoří zástupce, kterým přiřadí v průzkumníkovi ikonku jako složka, takže dvojklikem dojde ke spuštění programu, kterým se trojan hezky rozmnoží... Fikaný... Ale nějak se ho nemůžu zbavit. Díky za pomoc.

LOG

Logfile of random's system information tool 1.08 (written by random/random)
Run by Administrator at 2010-09-24 11:43:46
Microsoft Windows 2000 Professional Service Pack 4
System drive C: has 26 GB (92%) free of 29 GB
Total RAM: 128 MB (32% free)

HijackThis download failed

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{8E718888-423F-11D2-876E-00A0C9082467} - @msdxmLC.dll,-1@1033,&Rádio - C:\WINNT\System32\msdxm.ocx [2003-09-18 848656]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"=mobsync.exe /logon []

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Nezapomen"=C:\pamatuj\nezapomen.exe [2001-06-30 457216]
"ctfmon.exe"=C:\WINNT\system32\ctfmon.exe [2001-02-20 8192]
"C:\Program Files\NetMeter\NetMeter.exe"=C:\Program Files\NetMeter\NetMeter.exe [2007-08-11 331264]
"Windows USB Service"=C:\Documents and Settings\Administrator\Data aplikací\U-2535-6853-8747\winusbmgr.exe [2010-08-24 163840]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\nm.sys]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=149

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\Documents and Settings\Administrator\Data aplikací\U-2535-6853-8747\winusbmgr.exe"="C:\Documents and Settings\Administrator\Data aplikací\U-2535-6853-8747\winusbmgr.exe:*:Enabled:Windows USB Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======List of files/folders created in the last 1 months======

2010-09-24 11:43:48 ----D---- C:\Program Files\trend micro
2010-09-24 11:43:46 ----D---- C:\rsit
2010-09-20 12:02:42 ----ASHD---- C:\Config.Msi
2010-08-26 10:45:26 ----RSHD---- C:\Documents and Settings\Administrator\Data aplikací\U-2535-6853-8747

======List of files/folders modified in the last 1 months======

2010-09-24 11:43:48 ----RAD---- C:\Program Files
2010-09-24 11:43:48 ----AD---- C:\WINNT\system32
2010-09-24 11:43:30 ----D---- C:\acces2000
2010-09-24 11:43:24 ----A---- C:\WINNT\wincmd.ini
2010-09-24 11:17:33 ----D---- C:\WINNT\system32\NtmsData
2010-09-24 07:17:20 ----AD---- C:\WINNT\security
2010-09-24 07:11:31 ----AD---- C:\WINNT\Debug
2010-09-23 15:00:27 ----A---- C:\WINNT\SchedLgU.Txt
2010-09-22 14:59:19 ----D---- C:\VELKOS
2010-09-22 11:19:11 ----A---- C:\WINNT\ODBC.INI
2010-09-20 12:03:25 ----SHD---- C:\WINNT\Installer
2010-09-20 12:02:56 ----D---- C:\Documents and Settings\All Users\Data aplikací\Adobe
2010-09-20 12:02:56 ----AD---- C:\WINNT
2010-09-20 10:19:03 ----AD---- C:\WINNT\system32\CatRoot
2010-09-20 07:48:15 ----D---- C:\WINREDAP

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R0 agp440;Intel AGP Bus Filter; C:\WINNT\System32\DRIVERS\agp440.sys [2003-06-19 21008]
R0 atapi;Standardní řadič disku IDE či ESDI; C:\WINNT\System32\DRIVERS\atapi.sys [2003-06-19 86672]
R0 Disk;Ovladač disku; C:\WINNT\System32\DRIVERS\disk.sys [2003-06-19 30768]
R0 Diskperf;Diskperf; C:\WINNT\system32\drivers\Diskperf.sys [2003-06-19 7728]
R0 dmio;Ovladač správce logických disků; C:\WINNT\System32\drivers\dmio.sys [2003-06-19 137936]
R0 dmload;dmload; C:\WINNT\System32\drivers\dmload.sys [2003-06-19 7312]
R0 Ftdisk;Ovladač správce svazků; C:\WINNT\System32\DRIVERS\ftdisk.sys [2003-06-19 115632]
R0 IntelIde;IntelIde; C:\WINNT\System32\DRIVERS\intelide.sys [2003-06-19 4624]
R0 isapnp;Řadič Plug and Play sběrnice ISA/EISA; C:\WINNT\System32\DRIVERS\isapnp.sys [2003-06-19 46992]
R0 KSecDD;KSecDD; C:\WINNT\system32\drivers\KSecDD.sys [2003-06-19 71888]
R0 MountMgr;MountMgr; C:\WINNT\system32\drivers\MountMgr.sys [2003-06-19 29264]
R0 Mup;Služba Multiple UNC Provider; C:\WINNT\system32\drivers\Mup.sys [2004-12-02 89328]
R0 NDIS;Systémový ovladač NDIS; C:\WINNT\system32\drivers\NDIS.sys [2003-06-19 170928]
R0 PartMgr;PartMgr; C:\WINNT\system32\drivers\PartMgr.sys [2003-06-19 11792]
R0 PCI;Řadič sběrnice PCI; C:\WINNT\System32\DRIVERS\pci.sys [2003-06-19 59888]
R2 Nbf;Protokol NetBEUI; C:\WINNT\System32\DRIVERS\nbf.sys [2002-08-26 102160]
R2 NwlnkIpx;Transportní protokol kompatibilní s NWLink IPX/SPX/NetBIOS; C:\WINNT\System32\DRIVERS\nwlnkipx.sys [2003-06-19 91408]
R2 NwlnkNb;NWLink NetBIOS; C:\WINNT\System32\DRIVERS\nwlnknb.sys [2003-06-19 65520]
R2 NwlnkSpx;Protokol NWLink SPX/SPXII; C:\WINNT\System32\DRIVERS\nwlnkspx.sys [2002-08-26 58480]
R3 es1371;Creative AudioPCI (ES1371,ES1373) (WDM); C:\WINNT\system32\drivers\es1371mp.sys [1999-11-06 44528]
R3 mga64;mga64; C:\WINNT\System32\DRIVERS\mga64m.sys [1999-11-30 150960]
R3 NtApm;Ovladač rozhraní služby NT Apm/Legacy; C:\WINNT\System32\DRIVERS\NtApm.sys [2000-03-08 9136]
R3 rtl8139;Realtek RTL8139-based PCI Fast Ethernet Adapter NT Driver; C:\WINNT\System32\DRIVERS\RTL8139.SYS [1999-09-25 18704]
R3 uhcd;Ovladač univerzálního hostitelského řadiče USB; C:\WINNT\System32\DRIVERS\uhcd.sys [2003-06-19 32848]
R3 usbhub;Ovladač standardního rozbočovače USB; C:\WINNT\System32\DRIVERS\usbhub.sys [2003-06-19 40176]
R3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB; C:\WINNT\System32\DRIVERS\USBSTOR.SYS [2003-06-19 21552]
S3 sermouse;Ovladač sériové myši; C:\WINNT\System32\DRIVERS\sermouse.sys [2000-03-08 17136]
S3 usbprint;Třída USB Printer; C:\WINNT\System32\DRIVERS\usbprint.sys [2003-06-19 21872]
S4 ACPI;ACPI; C:\WINNT\system32\drivers\ACPI.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-20 322120]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]

-----------------EOF-----------------

[vyosek]

Zdravim a pekny den preji

Zapojte vsechny flash disky co pouzivate

PROSIM CTETE DUKLADNE NAVOD - TATO UTILITA MA VELKOU SCHOPNOST MAZAT A JE NUTNE JI APLIKOVAT JEN NA DOPORUCENI, JINAK VAM MUZE JIT SYSTEM DO KYTEK
Stahnete a ulozte na plochu Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Vypnete vsechny rezidentni bezpecnostní programy - firewally, antiviry, antispywary apod.
• Vložte do PC vsechny USB klice (flash disky, ext.disky apod.)
• Pokud mate Win XP spustte pod uctem Spravce\Administratora
• Pokud mate Win Vista ci Win 7, kliknete na Combofix pravym a dejte Run As Administrator ci Spustit jako spravce
• Ihned po startu se zobrazi stranka s licencnim ujednanim, pokracujte kliknutim na Ano
• Pokud Vam CF nabidne instalaci Konzoly pro zotaveni, tak souhlaste
• Dale postupujte dle pokynu, behem scanu nechte PC naprosto v klidu - nespoustejte zadne aplikace a neklikejte do zobrazujiciho se okna
• Scan by mel trvat cca 10 min, ale pokud bude PC hodne zaneseno, muze se cas prodlouzit
• Po dokonceni skenu a pripadnem restartu CF zobrazi log, pripadne jej najdete zde C:\ComboFix.txt, jeho obsah sem vlozte
• Detailni postup vc. obrazku mate zde http://www.bleepingcomputer.com/combofi ... t-combofix

[rk3999]

Log z Combofixu:


ComboFix 10-09-19.03 - Administrator 24.09.2010 13:17:48.1.1 - x86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.128.32 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\system\WINSPOOL.DRV
c:\winnt\Web\default.htt

Nakažená kopie c:\winnt\system32\msgsvc.dll byla nalezena a vyléčena.
Obnovena kopie z - c:\winnt\ServicePackFiles\i386\msgsvc.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-08-24 do 2010-09-24 )))))))))))))))))))))))))))))))
.

2010-09-24 09:43 . 2010-09-24 09:43 -------- d-----w- c:\program files\trend micro
2010-09-24 09:43 . 2010-09-24 09:51 -------- d-----w- C:\rsit

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-04-02 12:14 . 2007-04-02 12:14 22034 ---h--w- c:\program files\folder.htt
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Nezapomen"="c:\pamatuj\nezapomen.exe" [2001-06-30 457216]
"c:\program files\NetMeter\NetMeter.exe"="c:\program files\NetMeter\NetMeter.exe" [2007-08-11 331264]
"Windows USB Service"="c:\documents and settings\Administrator\Data aplikací\U-2535-6853-8747\winusbmgr.exe" [2010-08-24 163840]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-19 111888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2002-08-26 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 188688]

R3 mga64;mga64;c:\winnt\system32\drivers\mga64m.sys [2.4.2007 14:50 150960]
R3 NtApm;Ovladač rozhraní služby NT Apm/Legacy;c:\winnt\system32\drivers\NtApm.sys [2.4.2007 14:52 9136]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - IPNAT
*NewlyCreated* - RASAUTO
*NewlyCreated* - SHAREDACCESS
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-24 13:32
Windows 5.0.2195 Service Pack 4 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(184)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'explorer.exe'(636)
c:\winnt\AppPatch\AcLayers.DLL
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\program files\Common Files\Microsoft Shared\Web Components\10\1029\OWCI10.DLL
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\program files\Common Files\Microsoft Shared\Web Components\11\1029\OWCI11.DLL
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\winnt\system32\regsvc.exe
c:\winnt\system32\MSTask.exe
c:\winnt\System32\WBEM\WinMgmt.exe
.
**************************************************************************
.
Celkový čas: 2010-09-24 13:37:47 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-09-24 11:37

Před spuštěním: Volných bajtů: 27 417 755 648
Po spuštění: Volných bajtů: 27 401 572 352

- - End Of File - - 7B075037A615583CDB63F32F4256B65D

[vyosek]

Poprosim Vas abyste text nedaval do barvicek...

Nasledujici soubory otestujte na VirusTotalu (viz muj podpis)

• "c:\documents and settings\Administrator\Data aplikací\U-2535-6853-8747\winusbmgr.exe
  c:\winnt\system32\drivers\mga64m.sys
  c:\winnt\system32\drivers\NtApm.sys
• Kliknete na Prochazet
• Soubor nehledejte, jen vlozte cestu souboru, ktery chci otestovat
• Pokud napise Soubor byl jiz testovan, dejte otestovat znovu
• Kliknete na Otestovat soubor
• Vysledek analyzy sem vlozte (jako odkaz)

[rk3999]

http://www.virustotal.com/file-scan/rep ... 1285331270
http://www.virustotal.com/file-scan/rep ... 1285331454
http://www.virustotal.com/file-scan/rep ... 1285331683

[vyosek]

Omlouvam se za zpozdeni, pracovni povinnosti me drive k PC nepustily...Jdem jej smazat mrchu

Pokud nemate, tak presunte Combofix na plochu

• Spustte poznamkovy blok (Start-spustit-notepad)
• Zkopirujte skript nize

• Kód: Vybrat vše

  Collect::
  c:\documents and settings\Administrator\Data aplikací\U-2535-6853-8747\winusbmgr.exe
  
  Registry::
  [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  "Windows USB Service"=-

• Ulozte vytvoreny TXT jako CFScript.txt
• Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
  
• Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

[rk3999]

Nový log po CFScript.txt

ComboFix 10-09-19.03 - Administrator 29.09.2010 8:59.2.1 - x86
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator\Plocha\cfscript.txt
.
- REŽIM S OMEZENOU FUNKČNOSTÍ -

file zipped: c:\documents and settings\Administrator\Data aplikací\U-2535-6853-8747\winusbmgr.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

Nakažená kopie c:\winnt\system32\msgsvc.dll byla nalezena a vyléčena.
Obnovena kopie z - c:\winnt\ERDNT\cache\msgsvc.dll

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-08-28 do 2010-09-29 )))))))))))))))))))))))))))))))
.

2010-09-24 09:43 . 2010-09-24 09:43 -------- d-----w- c:\program files\trend micro
2010-09-24 09:43 . 2010-09-24 09:51 -------- d-----w- C:\rsit

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-04-02 12:14 . 2007-04-02 12:14 22034 ---h--w- c:\program files\folder.htt
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Nezapomen"="c:\pamatuj\nezapomen.exe" [2001-06-30 457216]
"c:\program files\NetMeter\NetMeter.exe"="c:\program files\NetMeter\NetMeter.exe" [2007-08-11 331264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-19 111888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2002-08-26 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 188688]

R3 mga64;mga64;c:\winnt\system32\drivers\mga64m.sys [2.4.2007 14:50 150960]
R3 NtApm;Ovladač rozhraní služby NT Apm/Legacy;c:\winnt\system32\drivers\NtApm.sys [2.4.2007 14:52 9136]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
LSP: %SystemRoot%\system32\msafd.dll
DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-29 09:05
Windows 5.0.2195 Service Pack 4 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(188)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'explorer.exe'(1164)
c:\winnt\AppPatch\AcLayers.DLL
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
c:\program files\Common Files\Microsoft Shared\Web Components\10\1029\OWCI10.DLL
c:\progra~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
c:\program files\Common Files\Microsoft Shared\Web Components\11\1029\OWCI11.DLL
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\winnt\system32\regsvc.exe
c:\winnt\system32\MSTask.exe
c:\winnt\System32\WBEM\WinMgmt.exe
.
**************************************************************************
.
Celkový čas: 2010-09-29 09:10:43 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-09-29 07:10
ComboFix2.txt 2010-09-24 11:37

Před spuštěním: Volných bajtů: 27 400 396 800
Po spuštění: Volných bajtů: 27 395 964 928

- - End Of File - - 4AF5F104B2A6EFCF07736EBF9FFE16D5

[vyosek]

Zapojte do PC vsechny USB klice (flashky, ext. disky apod.)

• Stahne a ulozte na plochu UsbFix http://www.viry.cz/forum/viewtopic.php?f=24&t=102308
• Spustte a kliknete na Deletion
• Po dokonceni sem vlozte log, pokud na Vas nevyskoci, najdete jej zde C:\UsbFix.txt

[rk3999]

############################## | UsbFix 7.027 | [Deletion]

User: Administrator (Administrator) # MILAN [ ]
Updated 28/09/10 by El Desaparecido / C_XX
Started at 07:33:45 | 30/09/2010
Website: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

Microsoft Windows 2000 Professional (5.0.2195 32-Bit) # Service Pack 4
Internet Explorer 6.0.2800.1106

RAM -> 128 Mb
C:\ (%systemdrive%) -> Fixed drive # 28 Gb (26 Mb free - 91%) [] # NTFS
F:\ -> CD-ROM
G:\ -> Removable drive # 2 Gb (254 Mb free - 13%) [] # FAT

################## | Files # Infected Folders |


Deleted ! G:\log.txt

################## | Registry |

Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Deleted ! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Deleted ! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[30/09/2010 - 07:33:05 | D ] C:\acces2000
[19/06/2003 - 21:05:04 | RASH | 150528] C:\arcldr.exe
[19/06/2003 - 21:05:04 | RASH | 163840] C:\arcsetup.exe
[02/04/2007 - 14:15:53 | H | 0] C:\AUTOEXEC.BAT
[07/06/2007 - 09:42:18 | HD ] C:\BJPrinter
[02/04/2007 - 14:10:20 | SH | 192] C:\boot.ini
[26/08/2002 - 02:00:00 | RASH | 4438] C:\Bootfont.bin
[29/09/2010 - 09:10:45 | A | 4216] C:\ComboFix.txt
[20/09/2010 - 12:05:23 | AD ] C:\Config.Msi
[02/04/2007 - 14:15:53 | H | 0] C:\CONFIG.SYS
[02/04/2007 - 14:24:50 | AD ] C:\Documents and Settings
[02/04/2007 - 14:15:53 | RASH | 0] C:\IO.SYS
[02/04/2007 - 14:15:53 | RASH | 0] C:\MSDOS.SYS
[15/01/2010 - 10:51:10 | RD ] C:\MSOCache
[26/08/2002 - 02:00:00 | RASH | 34724] C:\NTDETECT.COM
[02/04/2007 - 14:47:30 | RASH | 214960] C:\ntldr
[30/09/2010 - 07:16:26 | ASH | 201326592] C:\pagefile.sys
[20/01/2010 - 13:48:27 | D ] C:\pamatuj
[24/09/2010 - 11:43:48 | RAD ] C:\Program Files
[29/09/2010 - 09:10:50 | D ] C:\Qoobox
[30/09/2010 - 07:35:48 | SHD ] C:\RECYCLER
[24/09/2010 - 11:51:32 | D ] C:\rsit
[02/04/2007 - 14:24:22 | ASHD ] C:\System Volume Information
[02/04/2007 - 15:12:18 | D ] C:\totalcmd
[30/09/2010 - 07:35:48 | D ] C:\UsbFix
[30/09/2010 - 07:36:14 | A | 916] C:\UsbFix.txt
[29/09/2010 - 15:55:45 | D ] C:\VELKOS
[29/09/2010 - 09:10:48 | AD ] C:\WINNT
[24/09/2010 - 12:31:45 | D ] C:\WINREDAP
[02/02/2010 - 17:30:45 | D ] C:\Zaloha
[06/01/2010 - 10:00:38 | A | 6868992] D:\A2006.mdb
[06/11/2009 - 13:19:38 | A | 6799360] D:\A2006old.mdb
[08/02/2010 - 08:24:06 | D ] D:\Canon S520
[04/08/2005 - 16:37:06 | A | 51200] D:\CENIKND.xls
[28/02/2008 - 13:27:16 | A | 30208] D:\Dopis uživatelům, kterým končí užitná doba vozíku.doc
[08/04/2010 - 07:06:50 | D ] D:\HP LJ 1015 - VISTA
[14/01/2010 - 15:12:26 | A | 3891200] D:\Ja2006.mdb
[10/09/2010 - 08:33:25 | A | 49102848] D:\Ja2006_do_2009.mdb
[13/09/2010 - 10:52:11 | D ] D:\Jana
[30/09/2010 - 07:31:19 | A | 256] D:\Kury2006.ldb
[30/09/2010 - 07:27:43 | A | 28540928] D:\Kury2006.mdb
[12/01/2010 - 08:40:22 | N | 10477568] D:\KURY_DATA.mdb
[04/02/2010 - 14:32:13 | N | 9818112] D:\LI2006.mdb
[06/01/2010 - 10:02:18 | N | 3448832] D:\LI2007.mdb
[04/08/2009 - 11:44:38 | A | 3833856] D:\LIDA.mdb
[03/02/2010 - 15:07:46 | A | 8994816] D:\LIDA2004a.MDB
[07/04/2008 - 13:14:22 | A | 3833856] D:\LIDAold.mdb
[15/01/2010 - 09:38:36 | D ] D:\manual
[29/06/2009 - 10:42:14 | A | 1572864] D:\Mi2006.mdb
[01/11/2005 - 13:30:40 | A | 4530176] D:\Milan2.mdb
[04/02/2010 - 14:26:46 | A | 615355] D:\NetMeter_v113.exe
[02/02/2010 - 16:55:53 | D ] D:\OPERACE
[31/10/2005 - 15:53:12 | A | 2043904] D:\PETR.mdb
[30/09/2010 - 07:31:21 | A | 2605056] D:\POUKAZY.mdb
[18/02/2010 - 13:12:09 | D ] D:\Zaloha 2010-01-04
[02/02/2010 - 17:59:58 | D ] D:\Zalohy před instalaci noveho PC
[06/01/2010 - 10:00:38 | A | 6868992] E:\A2006.mdb
[06/11/2009 - 13:19:38 | A | 6799360] E:\A2006old.mdb
[08/02/2010 - 08:24:06 | D ] E:\Canon S520
[04/08/2005 - 16:37:06 | A | 51200] E:\CENIKND.xls
[28/02/2008 - 13:27:16 | A | 30208] E:\Dopis uživatelům, kterým končí užitná doba vozíku.doc
[08/04/2010 - 07:06:50 | D ] E:\HP LJ 1015 - VISTA
[14/01/2010 - 15:12:26 | A | 3891200] E:\Ja2006.mdb
[10/09/2010 - 08:33:25 | A | 49102848] E:\Ja2006_do_2009.mdb
[13/09/2010 - 10:52:11 | D ] E:\Jana
[30/09/2010 - 07:31:19 | A | 256] E:\Kury2006.ldb
[30/09/2010 - 07:27:43 | A | 28540928] E:\Kury2006.mdb
[12/01/2010 - 08:40:22 | N | 10477568] E:\KURY_DATA.mdb
[04/02/2010 - 14:32:13 | N | 9818112] E:\LI2006.mdb
[06/01/2010 - 10:02:18 | N | 3448832] E:\LI2007.mdb
[04/08/2009 - 11:44:38 | A | 3833856] E:\LIDA.mdb
[03/02/2010 - 15:07:46 | A | 8994816] E:\LIDA2004a.MDB
[07/04/2008 - 13:14:22 | A | 3833856] E:\LIDAold.mdb
[15/01/2010 - 09:38:36 | D ] E:\manual
[29/06/2009 - 10:42:14 | A | 1572864] E:\Mi2006.mdb
[01/11/2005 - 13:30:40 | A | 4530176] E:\Milan2.mdb
[04/02/2010 - 14:26:46 | A | 615355] E:\NetMeter_v113.exe
[02/02/2010 - 16:55:53 | D ] E:\OPERACE
[31/10/2005 - 15:53:12 | A | 2043904] E:\PETR.mdb
[30/09/2010 - 07:31:21 | A | 2605056] E:\POUKAZY.mdb
[18/02/2010 - 13:12:09 | D ] E:\Zaloha 2010-01-04
[02/02/2010 - 17:59:58 | D ] E:\Zalohy před instalaci noveho PC
[19/02/2010 - 09:50:16 | D ] G:\ad libitum
[19/02/2010 - 08:40:36 | D ] G:\foerster
[23/02/2010 - 21:50:32 | A | 266240] G:\oh.xls
[24/02/2010 - 05:35:56 | D ] G:\kovboj
[02/02/2010 - 22:23:00 | A | 134758] G:\brixi_vidiaquqm.pdf
[07/02/2010 - 20:11:10 | A | 68096] G:\potvrzeni_o_prijmu.doc
[10/02/2010 - 21:27:32 | D ] G:\scan
[16/02/2010 - 22:38:04 | A | 730624] G:\oh.doc
[22/07/2010 - 23:36:20 | A | 913920] G:\historie ZOH.doc
[10/03/2010 - 14:46:12 | A | 393216] G:\oh.mdb
[22/09/2010 - 10:59:58 | A | 36864] G:\povodeň.xls
[19/07/2010 - 22:58:38 | D ] G:\bla-me
[27/02/2009 - 07:57:26 | A | 20480] G:\včs 2009.doc
[27/02/2009 - 08:39:40 | A | 19968] G:\včs 2009 rozpis.doc
[28/02/2008 - 15:04:48 | A | 19968] G:\včs 2008 rozpis.doc
[28/02/2008 - 09:53:06 | A | 20480] G:\včs 2008.doc
[23/02/2010 - 05:29:10 | A | 63298] G:\Dokončení objednávky - ZAHR...mdi
[25/02/2010 - 05:34:50 | D ] G:\povodeň
[25/02/2010 - 05:38:08 | D ] G:\zpěvník
[29/12/2009 - 13:45:06 | A | 20992] G:\nám se daří.doc
[25/02/2010 - 10:01:36 | A | 32256] G:\včs 2010.doc
[03/08/2010 - 11:30:48 | A | 1003520] G:\atletika.mdb
[19/02/2010 - 08:37:22 | D ] G:\noty capella
[25/02/2010 - 10:38:16 | A | 24576] G:\včs 2010 rozpis.doc
[30/06/2010 - 11:30:56 | A | 25600] G:\sms.doc
[03/02/2010 - 23:29:20 | D ] G:\aerosmith
[18/06/2010 - 10:38:38 | A | 27648] G:\článek zlatokop 2010.doc
[10/07/2010 - 01:07:36 | A | 34304] G:\ondrášovka cup.xls
[01/08/2010 - 20:13:26 | A | 40960] G:\CHEATY.doc
[04/02/2010 - 14:24:16 | D ] G:\sedící býk
[17/03/2010 - 09:50:06 | A | 17408] G:\výroční zpráva výpočet.xls
[05/03/2010 - 13:56:38 | A | 130560] G:\VČS 2010 program 2-3.pub
[19/07/2010 - 22:56:20 | A | 124928] G:\ondrášovka cup.doc
[16/03/2010 - 21:19:16 | A | 455680] G:\DzP Milan.xls
[06/08/2010 - 08:44:16 | D ] G:\bla-me1
[05/03/2010 - 13:46:52 | A | 53248] G:\VČS 2010 program 4-1.pub
[10/03/2010 - 11:33:34 | A | 312832] G:\obal dokumentární filmy.pub
[16/03/2010 - 21:29:12 | A | 455168] G:\DzP Radka.xls
[17/03/2009 - 13:55:28 | A | 21504] G:\2008 zpráva o hospodaření.doc
[17/03/2010 - 09:48:14 | A | 23040] G:\2009 zpráva o hospodaření.doc
[24/06/2010 - 11:52:32 | D ] G:\Sony
[25/06/2010 - 11:21:42 | A | 336024] G:\1277213921_sb_plakat_a4.jpg
[24/03/2010 - 09:49:54 | A | 948224] G:\mapy katastr.doc
[24/03/2010 - 09:57:52 | A | 54784] G:\katastr les.doc
[12/07/2010 - 22:39:06 | A | 21504] G:\nikdy to nevzdám.doc
[30/03/2010 - 22:22:26 | A | 743] G:\Ja mam bol.txt
[22/03/2010 - 23:58:36 | A | 75776] G:\historie ELH.doc
[22/03/2010 - 23:58:32 | A | 47616] G:\historie ELH.xls
[12/05/2010 - 11:39:32 | A | 25088] G:\nebeská brána.doc
[14/07/2010 - 23:33:26 | A | 247296] G:\superpohár.doc
[06/05/2010 - 22:54:00 | D ] G:\velký cvrkot 2009
[13/08/2010 - 14:48:54 | A | 25088] G:\nohejbal.xls
[20/09/2010 - 13:03:10 | A | 339991] G:\RSIT.exe
[19/07/2010 - 22:47:16 | D ] G:\gambrinus liga
[16/08/2010 - 13:23:04 | A | 28160] G:\životopis.doc
[07/05/2010 - 07:49:36 | D ] G:\velký cvrkot 2010
[07/08/2010 - 15:50:42 | A | 47323] G:\lame ses dobrej.odt
[30/08/2010 - 05:54:00 | D ] G:\country 2009
[17/05/2010 - 10:25:00 | A | 27840512] G:\Automechanik 2008.doc
[18/06/2010 - 09:05:10 | SH | 5120] G:\Thumbs.db
[10/06/2010 - 12:49:58 | A | 1494528] G:\ms fotbal 2010.doc
[17/06/2010 - 23:51:10 | D ] G:\poháry 2010 2011
[19/06/2009 - 11:13:32 | A | 27648] G:\kovbojský 2009 2.doc
[19/06/2009 - 11:13:38 | A | 29184] G:\kovbojský 2009.doc
[13/09/2010 - 11:36:18 | A | 23552] G:\hvězdář.doc
[10/06/2010 - 08:17:14 | D ] G:\kovbojský den
[30/09/2010 - 07:10:26 | A | 1206657] G:\UsbFix.exe
[30/08/2010 - 08:53:00 | A | 29541] G:\Povodeň logo.jpg
[30/08/2010 - 08:58:24 | A | 25049] G:\logo_dupot.jpg
[30/08/2010 - 10:54:46 | A | 1152000] G:\country bál 2010.doc
[30/08/2010 - 10:54:34 | A | 138752] G:\country bál 2010 obrázek.doc
[31/08/2010 - 00:07:34 | A | 21504] G:\školka.doc
[30/08/2010 - 22:43:12 | A | 323584] G:\me 1934.doc
[06/09/2010 - 13:05:46 | A | 19968] G:\hippie.doc
[31/08/2010 - 09:22:52 | A | 19968] G:\volné vstupenky 2010.doc
[03/09/2010 - 07:50:02 | A | 19968] G:\country bál country.doc
[10/09/2010 - 13:04:00 | D ] G:\2010 sponzoři
[20/09/2010 - 09:06:00 | D ] G:\foto
[20/09/2010 - 09:44:10 | A | 98816] G:\dispozice 100920.doc
[20/09/2010 - 10:04:02 | D ] G:\ClamWinPortable-antivirus
[24/09/2010 - 11:50:50 | A | 4096] G:\info.txt
[20/09/2010 - 13:00:34 | A | 3847043] G:\ComboFix.exe
[24/09/2010 - 13:38:42 | A | 4366] G:\log2.txt
[30/11/1999 - 02:47:48 | A | 150960] G:\mga64m.sys
[08/03/2000 - 20:28:32 | A | 9136] G:\NtApm.sys

################## | Vaccin |

C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)

################## | Upload |

Please send the file: C:\UsbFix_Upload_Me_MILAN.zip
http://chiquitine.changelog.fr/Sample/Upload.php
Thank you for your contribution.

################## | E.O.F |

[vyosek]

Jak se chova PC, NOD stale hlasi nejakou havet

[rk3999]

PC vypadá v pořádku, flashka čistá....

[vyosek]

Poprosim o zabaleni cele slozky C:\Qoobox a zaslani na vyosek@forum.viry.cz bude slouzit pro dalsi vyzkum haveti a taktez ji predame sUBSovi - autorovi ComboFixu - jelikoz CF automaticky tu mrchu nesmazal...Dekuji Az ji zabalite a zaslete - pokud by neslo, tak upnete na LP http://leteckaposta.cz/ tak pokracujte nize cistenim PC po utilitach

Znovu spusťte Usbfix a zvolte možnost Uninstall.

Odinstalujte Combofix

• Start - Spustit (nebo pouzijte klavesobou zkratku Win+R)
• Napiste ComboFix /Uninstall
• Stisknete Enter
• Tohle smaze Combofix a jeho slozky

T-Cleaner http://sweb.cz/Marinus/T-Cleaner.exe

• Stahnete a spustte
• Pro potvrzeni volby mackejte A, Enter
• Po pouziti utilitu smazte
• Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)

OTC http://oldtimer.geekstogo.com/OTC.exe

• Stahnete a spustte
• Kliknete na CleanUp a potvrdte YES
• Program uklidi a restartuje PC

TFC http://oldtimer.geekstogo.com/TFC.exe

• Stahnete a spustte
• Kliknete na Start a potvrdte OK
• Program uklidi a restartuje pc
• Po pouziti utilitu smazte

Stahnete Ccleaner (viz muj podpis), pri instalaci dejte fajfku pryc u yahoo toolbaru
Panel čistič

• Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner

Panel registry

• dejte Hledej problémy
• nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
• postup opakujte dokud nebude bez problemu - vetsinou cca 3x

Panel nástroje

• Zde muzete odinstalovat nepotrebne programy

CCleaner doporucuji pouzivat cca jednou za 14 dni

Havet se usadila v bodech obnoveni - smazte je dle navodu kolegy riffa http://www.viry.cz/forum/viewtopic.php?f=11&t=47040

Vlozte novy log ze RSIT