IEmonster - kontrola logu prosím

[masta]

Ahoj, napadl mě IE monster.Chtělo to po mě nainstalovat Security tool.Ten oskenoval počítač a našel 48 nakaženejch souborů od spywaru az po viry a červy.Dále security tool bez zaplacení nehnul ani prstem.A akorát nemůžu nic spustit protože je vše nakažené.Přepnul sem se na učet s právy administrátora.Vypnul všechny okna a firewall a spustil ComboFix.Tady je log:

ComboFix 10-09-29.04 - showlee 30.09.2010 16:12:36.4.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1023.718 [GMT 2:00]
Spuštěný z: c:\documents and settings\showlee\Plocha\ComboFix.exe
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-08-28 do 2010-09-30 )))))))))))))))))))))))))))))))
.

2010-09-23 11:52 . 2010-09-23 11:52 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\UC.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\RAR.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKUNZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\NOCLOSE.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\LHA.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\ARJ.PIF
2010-09-02 11:45 . 2010-09-02 11:45 -------- d-----w- c:\program files\DIFX
2010-09-02 11:45 . 2009-10-22 15:09 72520 ----a-w- c:\windows\system32\drivers\ftser2k.sys
2010-09-02 11:45 . 2009-10-22 15:08 52552 ----a-w- c:\windows\system32\ftserui2.dll
2010-09-02 11:45 . 2009-10-22 15:17 206144 ----a-w- c:\windows\system32\ftd2xx.dll
2010-09-02 11:45 . 2009-10-22 15:17 120136 ----a-w- c:\windows\system32\ftbusui.dll
2010-09-02 11:45 . 2009-10-22 15:16 197952 ----a-w- c:\windows\system32\FTLang.dll
2010-09-02 11:45 . 2009-10-22 15:11 57800 ----a-w- c:\windows\system32\drivers\ftdibus.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-14 22:16 . 2001-10-25 14:00 494062 ----a-w- c:\windows\system32\perfh005.dat
2010-09-14 22:16 . 2001-10-25 14:00 102274 ----a-w- c:\windows\system32\perfc005.dat
2010-09-12 12:48 . 2009-12-01 19:41 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-12 12:48 . 2009-12-01 19:43 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-18 20:33 . 2010-08-18 20:33 -------- d-----w- c:\program files\Common Files\Java
2010-08-18 20:32 . 2010-02-10 21:17 -------- d-----w- c:\program files\Java
2010-07-20 15:22 . 2010-07-20 15:22 187328 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCSExpress\9.0\1033\ResourceCache.dll
2010-07-20 15:21 . 2010-07-19 15:00 416 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\MSDN\9.0\1033\ResourceCache.dll
2010-07-19 17:26 . 2010-07-19 15:01 112640 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCExpress\9.0\1033\ResourceCache.dll
2010-07-17 03:00 . 2010-08-18 20:32 423656 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-09-30_12.43.26 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-30 13:06 . 2010-09-30 13:06 16384 c:\windows\Temp\Perflib_Perfdata_698.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R3 Cap713x;Cap713x Video Capture;c:\windows\system32\drivers\Cap713x.sys [22.3.2010 21:30 328320]
S3 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\drivers\DLPORTIO.SYS [29.6.2000 18:24 3584]
S3 npggsvc;nProtect GameGuard Service;c:\windows\System32\GameMon.des -service --> c:\windows\System32\GameMon.des -service [?]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\program files\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.7.2008 2:28 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.7.2008 2:49 242712]
S4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.7.2008 2:28 369688]
.
.
------- Doplňkový sken -------
.
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\showlee\Data aplikací\Mozilla\Firefox\Profiles\8sa812mo.default\
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-30 16:15
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\System32\GameMon.des -service"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(528)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2332)
c:\windows\system32\msi.dll
.
Celkový čas: 2010-09-30 16:16:32
ComboFix-quarantined-files.txt 2010-09-30 14:16
ComboFix2.txt 2010-09-30 13:13
ComboFix3.txt 2010-09-30 13:03
ComboFix4.txt 2010-09-30 12:45

Před spuštěním: Volných bajtů: 26 436 968 448
Po spuštění: Volných bajtů: 26 427 543 552

- - End Of File - - A49AF4E542FF4DA7A135F08B7D347D83

Ještě má dotaz na domácí síť.Můžu zapnout v pohodě druhý počítač který mám sesíťovaný, nebo ho mám nechat raději vyplej dokud nebude povšem?

[masta]

Prosím poradte nekdo nevim co stim.Je nebezbecné se prihlasovat napr. na email, kdyz mam PC takhle nekazené.Nezachytí virus heslo?

[Rudy]

V logu nevidím nic nebezpečného. Nainstalujte AVPTool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 , restartujte do nouz. režimu a provedte sken. Dejte log.

[masta]

Stahuju zatim.... Je mozne ze se nakaza projevuje jen u uzivatelskyho uctu??Kdyz se prihlasim na jinej ucet s pravy Admin tak to nic nehlasi.Mozna proto ten cistej log.Jako uzivatel nic nespustim,vsechno je nakazeny a security tool hned hlásí...

[Rudy]

SecurityTool je šmejd a ten musíme odstranit. To, co vám hlásil, je blábol.

[masta]

No prave nevim jak, protoze nemuzu spustit "pridat a odebrat programy" . A kdyz sem jako admin tak ho tam ani nevidim...

[masta]

Tak sem ho vypatral ručně, ale nejde odstranit.

[Rudy]

Spustte AVPTool. Ten by na něj měl platit.

[masta]

SecurityTool na uživatelským účtu stále běží.Je normální že jako administrátor mám odepřen přístup do složky uživatele (v adresáři ducuments and settings)??

Takhle dopadl LOG:

Autoscan: completed 2 minutes ago (events: 8, objects: 277170, time: 01:26:55)
30.9.2010 21:05:33 Task started
30.9.2010 21:46:35 Detected: Trojan-PSW.Win32.Staem.oy D:\Instalačky\Arial.Audio.Converter.v2.3.5.Incl.Keymaker-EMBRACE\keygen.exe
30.9.2010 21:46:40 Deleted: Trojan-PSW.Win32.Staem.oy D:\Instalačky\Arial.Audio.Converter.v2.3.5.Incl.Keymaker-EMBRACE\keygen.exe
30.9.2010 21:47:10 Detected: Trojan-PSW.Win32.Staem.oy D:\Instalačky\Arial.Audio.Converter.v2.3.5.Incl.Keymaker-EMBRACE\e-aac235.zip/keygen.exe
30.9.2010 21:47:16 Deleted: Trojan-PSW.Win32.Staem.oy D:\Instalačky\Arial.Audio.Converter.v2.3.5.Incl.Keymaker-EMBRACE\e-aac235.zip/keygen.exe
30.9.2010 22:15:02 Detected: Trojan-PSW.Win32.Staem.oy D:\System Volume Information\_restore{B031F000-D84C-4A01-8AF8-275D26039AC7}\RP323\A0056182.exe
30.9.2010 22:15:58 Deleted: Trojan-PSW.Win32.Staem.oy D:\System Volume Information\_restore{B031F000-D84C-4A01-8AF8-275D26039AC7}\RP323\A0056182.exe
30.9.2010 22:32:28 Task completed

[Rudy]

Smazal pár keymakerů, jinak nic. Stáhněte a spustte toto: http://download.bleepingcomputer.com/grinler/rkill.com rkill . Nechte doběhnout a pak opět ComboFix. Vše v nouz. režimu.

[masta]

Jezis ja sem to nedelal v nouzaku.Hlavne ze sem si cet postup,tak znova a veseleji.... ouuuu

[masta]

Předem bych se chtěl zeptat,jestli ten SecurityTool může napadnout i počítač v domácí síti.Pak by me zajímalo jak může ublížit.Zatim to vypadá že jen škemrá o prachy.

RKILL:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as showlee on 01.10.2010 at 3:12:09.

Services Stopped:

Processes terminated by Rkill or while it was running:

C:\Documents and Settings\showlee\Plocha\rkill.com

Rkill completed on 01.10.2010 at 3:12:12.

COMBOFIX:

ComboFix 10-09-29.04 - showlee 01.10.2010 3:15.5.1 - x86 MINIMAL
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1023.839 [GMT 2:00]
Spuštěný z: c:\documents and settings\showlee\Plocha\ComboFix.exe
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-09-01 do 2010-10-01 )))))))))))))))))))))))))))))))
.

2010-10-01 00:38 . 2010-10-01 00:38 -------- d-----w- C:\!KillBox
2010-09-30 23:48 . 2010-01-22 07:56 149456 ----a-w- c:\windows\SGDetectionTool.dll
2010-09-30 23:48 . 2010-01-22 07:55 767952 ----a-w- c:\windows\BDTSupport.dll
2010-09-30 23:48 . 2009-10-27 23:36 1152444 ----a-w- c:\windows\UDB.zip
2010-09-30 23:48 . 2008-11-26 10:08 131 ----a-w- c:\windows\IDB.zip
2010-09-30 23:48 . 2010-01-22 07:56 165840 ----a-w- c:\windows\PCTBDRes.dll
2010-09-30 23:48 . 2010-01-22 07:56 1652688 ----a-w- c:\windows\PCTBDCore.dll
2010-09-30 23:46 . 2010-02-05 07:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2010-09-30 23:46 . 2010-10-01 00:37 218592 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2010-09-30 23:46 . 2009-11-23 11:54 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2010-09-30 23:46 . 2010-10-01 00:37 63360 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2010-09-30 23:46 . 2010-09-30 23:49 -------- d-----w- c:\program files\Common Files\PC Tools
2010-09-30 23:46 . 2010-10-01 01:10 -------- d-----w- c:\program files\Spyware Doctor
2010-09-30 21:06 . 2010-09-30 21:06 -------- d-----w- c:\documents and settings\Administrator
2010-09-30 20:44 . 2010-09-30 20:44 7168 ----a-w- c:\windows\system32\drivers\uteznzg1.sys
2010-09-30 19:01 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\70511262.sys
2010-09-30 19:01 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\7051126.sys
2010-09-30 19:01 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\70511261.sys
2010-09-23 11:52 . 2010-09-23 11:52 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\UC.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\RAR.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKUNZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\NOCLOSE.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\LHA.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\ARJ.PIF
2010-09-02 11:45 . 2010-09-02 11:45 -------- d-----w- c:\program files\DIFX
2010-09-02 11:45 . 2009-10-22 15:09 72520 ----a-w- c:\windows\system32\drivers\ftser2k.sys
2010-09-02 11:45 . 2009-10-22 15:08 52552 ----a-w- c:\windows\system32\ftserui2.dll
2010-09-02 11:45 . 2009-10-22 15:17 206144 ----a-w- c:\windows\system32\ftd2xx.dll
2010-09-02 11:45 . 2009-10-22 15:17 120136 ----a-w- c:\windows\system32\ftbusui.dll
2010-09-02 11:45 . 2009-10-22 15:16 197952 ----a-w- c:\windows\system32\FTLang.dll
2010-09-02 11:45 . 2009-10-22 15:11 57800 ----a-w- c:\windows\system32\drivers\ftdibus.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-14 22:16 . 2001-10-25 14:00 494062 ----a-w- c:\windows\system32\perfh005.dat
2010-09-14 22:16 . 2001-10-25 14:00 102274 ----a-w- c:\windows\system32\perfc005.dat
2010-09-12 12:48 . 2009-12-01 19:41 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-12 12:48 . 2009-12-01 19:43 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-18 20:33 . 2010-08-18 20:33 -------- d-----w- c:\program files\Common Files\Java
2010-08-18 20:32 . 2010-02-10 21:17 -------- d-----w- c:\program files\Java
2010-07-20 15:22 . 2010-07-20 15:22 187328 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCSExpress\9.0\1033\ResourceCache.dll
2010-07-20 15:21 . 2010-07-19 15:00 416 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\MSDN\9.0\1033\ResourceCache.dll
2010-07-19 17:26 . 2010-07-19 15:01 112640 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCExpress\9.0\1033\ResourceCache.dll
2010-07-17 03:00 . 2010-08-18 20:32 423656 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-09-30_12.43.26 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-07 00:19 . 2007-11-07 00:19 54272 c:\windows\WinSxS\x86_Microsoft.VC90.OpenMP_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_ecc42bd1\vcomp90.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 62976 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90rus.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 46080 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90kor.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 46592 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90jpn.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 64512 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90ita.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 39936 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90cht.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 38912 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90chs.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 66048 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90fra.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 65024 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esp.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 65024 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esn.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 56832 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90enu.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 66560 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90deu.dll
+ 2010-09-30 23:46 . 2010-09-30 23:46 228352 c:\windows\Installer\fbc37.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISTray"="c:\program files\Spyware Doctor\pctsTray.exe" [2010-10-01 1287120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\showlee\Nabˇdka Start\Programy\Po spuçtŘnˇ\
setup_9.0.0.722_30.09.2010_20-30.lnk - c:\documents and settings\showlee\Plocha\Virus Removal Tool\setup_9.0.0.722_30.09.2010_20-30\startup.exe [2010-9-30 72208]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 70511262;70511262 Boot Guard Driver;c:\windows\system32\drivers\70511262.sys [30.9.2010 21:01 37392]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [1.10.2010 1:46 218592]
S1 70511261;70511261;c:\windows\system32\drivers\70511261.sys [30.9.2010 21:01 128016]
S1 setup_9.0.0.722_30.09.2010_20-30drv;setup_9.0.0.722_30.09.2010_20-30drv;c:\windows\system32\drivers\7051126.sys [30.9.2010 21:01 315408]
S2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\Spyware Doctor\BDT\BDTUpdateService.exe [1.10.2010 1:48 112592]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [1.10.2010 1:46 366840]
S3 Cap713x;Cap713x Video Capture;c:\windows\system32\drivers\Cap713x.sys [22.3.2010 21:30 328320]
S3 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\drivers\DLPORTIO.SYS [29.6.2000 18:24 3584]
S3 npggsvc;nProtect GameGuard Service;c:\windows\System32\GameMon.des -service --> c:\windows\System32\GameMon.des -service [?]
S3 uteznzg1;AVZ Kernel Driver;c:\windows\system32\drivers\uteznzg1.sys [30.9.2010 22:44 7168]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\program files\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.7.2008 2:28 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.7.2008 2:49 242712]
S4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.7.2008 2:28 369688]
.
.
------- Doplňkový sken -------
.
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\showlee\Data aplikací\Mozilla\Firefox\Profiles\8sa812mo.default\
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

AddRemove-CleanUp! - c:\documents and settings\showlee\Plocha\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-01 03:20
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\System32\GameMon.des -service"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(252)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(760)
c:\windows\system32\msi.dll
.
Celkový čas: 2010-10-01 03:23:16
ComboFix-quarantined-files.txt 2010-10-01 01:23
ComboFix2.txt 2010-09-30 14:16
ComboFix3.txt 2010-09-30 13:13
ComboFix4.txt 2010-09-30 13:03
ComboFix5.txt 2010-10-01 01:14

Před spuštěním: Volných bajtů: 25 877 041 152
Po spuštění: Volných bajtů: 25 867 534 336

- - End Of File - - 6D0DA59E2116D7932323A897EDE36580

[Rudy]

Otevřte poznámkový blok a zkopírujte do něj:

Collect::
c:\windows\system32\drivers\uteznzg1.sys
c:\windows\system32\drivers\70511262.sys
c:\windows\system32\drivers\7051126.sys
c:\windows\system32\drivers\70511261.sys

Driver::
70511262
7051126
70511261
uteznzg1

Uložte na plochu jako CFScript.txt. Pak jej myší přetáhněte nad ikonu ComboFix a pustte. CF se spustí a vykoná příkazy ze skriptu.

[masta]

Tak sem zpět.Přetahl sem skript na combofix.Combofix pracoval pak se zrestartoval a při bootu mi to hodilo hlašku NTLRD is missing.Musel sem ho vypnout a spustit znovu.Pak naběhl a combofix vyplivl log:

ComboFix 10-09-29.04 - showlee 04.10.2010 10:30:30.6.1 - x86 MINIMAL
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1023.735 [GMT 2:00]
Spuštěný z: c:\documents and settings\showlee\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\showlee\Plocha\CFScript.txt

file zipped: c:\windows\system32\drivers\7051126.sys
file zipped: c:\windows\system32\drivers\70511261.sys
file zipped: c:\windows\system32\drivers\70511262.sys
file zipped: c:\windows\system32\drivers\uteznzg1.sys
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\7051126.sys
c:\windows\system32\drivers\70511261.sys
c:\windows\system32\drivers\70511262.sys
c:\windows\system32\drivers\uteznzg1.sys

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_70511261
-------\Legacy_70511262
-------\Legacy_UTEZNZG1
-------\Service_70511261
-------\Service_70511262
-------\Service_uteznzg1
-------\Legacy_setup_9.0.0.722_30.09.2010_20-30drv
-------\Service_setup_9.0.0.722_30.09.2010_20-30drv


((((((((((((((((((((((((( Soubory vytvořené od 2010-09-04 do 2010-10-04 )))))))))))))))))))))))))))))))
.

2010-10-01 08:25 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 08:25 . 2010-10-01 08:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-01 08:25 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-01 00:38 . 2010-10-01 00:38 -------- d-----w- C:\!KillBox
2010-09-30 23:48 . 2010-01-22 07:56 149456 ----a-w- c:\windows\SGDetectionTool.dll
2010-09-30 23:48 . 2010-01-22 07:55 767952 ----a-w- c:\windows\BDTSupport.dll
2010-09-30 23:48 . 2009-10-27 23:36 1152444 ----a-w- c:\windows\UDB.zip
2010-09-30 23:48 . 2008-11-26 10:08 131 ----a-w- c:\windows\IDB.zip
2010-09-30 23:48 . 2010-01-22 07:56 165840 ----a-w- c:\windows\PCTBDRes.dll
2010-09-30 23:48 . 2010-01-22 07:56 1652688 ----a-w- c:\windows\PCTBDCore.dll
2010-09-30 23:46 . 2010-02-05 07:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2010-09-30 23:46 . 2010-10-01 00:37 218592 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2010-09-30 23:46 . 2009-11-23 11:54 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2010-09-30 23:46 . 2010-10-01 00:37 63360 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2010-09-30 23:46 . 2010-09-30 23:49 -------- d-----w- c:\program files\Common Files\PC Tools
2010-09-30 23:46 . 2010-10-01 08:55 -------- d-----w- c:\program files\Spyware Doctor
2010-09-30 21:06 . 2010-09-30 21:06 -------- d-----w- c:\documents and settings\Administrator
2010-09-23 11:52 . 2010-09-23 11:52 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\UC.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\RAR.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKUNZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\NOCLOSE.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\LHA.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\ARJ.PIF

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-14 22:16 . 2001-10-25 14:00 494062 ----a-w- c:\windows\system32\perfh005.dat
2010-09-14 22:16 . 2001-10-25 14:00 102274 ----a-w- c:\windows\system32\perfc005.dat
2010-09-12 12:48 . 2009-12-01 19:41 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-12 12:48 . 2009-12-01 19:43 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-09-02 11:45 . 2010-09-02 11:45 -------- d-----w- c:\program files\DIFX
2010-08-18 20:33 . 2010-08-18 20:33 -------- d-----w- c:\program files\Common Files\Java
2010-08-18 20:32 . 2010-02-10 21:17 -------- d-----w- c:\program files\Java
2010-07-20 15:22 . 2010-07-20 15:22 187328 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCSExpress\9.0\1033\ResourceCache.dll
2010-07-20 15:21 . 2010-07-19 15:00 416 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\MSDN\9.0\1033\ResourceCache.dll
2010-07-19 17:26 . 2010-07-19 15:01 112640 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCExpress\9.0\1033\ResourceCache.dll
2010-07-17 03:00 . 2010-08-18 20:32 423656 ----a-w- c:\windows\system32\deployJava1.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISTray"="c:\program files\Spyware Doctor\pctsTray.exe" [2010-10-01 1287120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\showlee\Nabˇdka Start\Programy\Po spuçtŘnˇ\
setup_9.0.0.722_30.09.2010_20-30.lnk - c:\documents and settings\showlee\Plocha\Virus Removal Tool\setup_9.0.0.722_30.09.2010_20-30\startup.exe [2010-9-30 72208]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [1.10.2010 1:46 218592]
S2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\Spyware Doctor\BDT\BDTUpdateService.exe [1.10.2010 1:48 112592]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [1.10.2010 1:46 366840]
S3 Cap713x;Cap713x Video Capture;c:\windows\system32\drivers\Cap713x.sys [22.3.2010 21:30 328320]
S3 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\drivers\DLPORTIO.SYS [29.6.2000 18:24 3584]
S3 npggsvc;nProtect GameGuard Service;c:\windows\System32\GameMon.des -service --> c:\windows\System32\GameMon.des -service [?]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\program files\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.7.2008 2:28 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.7.2008 2:49 242712]
S4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.7.2008 2:28 369688]
.
.
------- Doplňkový sken -------
.
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\showlee\Data aplikací\Mozilla\Firefox\Profiles\8sa812mo.default\
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-04 10:50
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\System32\GameMon.des -service"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(256)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(800)
c:\windows\system32\msi.dll
.
Celkový čas: 2010-10-04 10:54:59 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-10-04 08:54
ComboFix2.txt 2010-10-01 01:23
ComboFix3.txt 2010-09-30 14:16
ComboFix4.txt 2010-09-30 13:13
ComboFix5.txt 2010-10-04 08:28

Před spuštěním: Volných bajtů: 25 821 241 344
Po spuštění: Volných bajtů: 25 756 364 800

- - End Of File - - 0F494970E860E996A15AC0C4DDC95135

[Rudy]

Log již vypadá čistý.