prosím o kontrolu logu-Rootkit

[Feva]

Ďakujem za snahu ale opäť to nepomohlo.Pri prvom pokuse spustenia z CD počas načítavania vyskočila modrá obrazovka (dole bolo niečo ako PCI.SYS Address......) po opätovnom spustení už to išlo, všetko som v tej konzole urobil ako odporúčate a dokonca som skúsil aj zástupné znaky (del C:\Qoobox\*.* ) ale stále vyhodilo hlášku "prístup bol odopretý". Počítač sa velmi dlho vypína alebo ho musím vypnúť na silu (po spustení ani nerobí kontrolu disku).Po spustení sa mi otvorí na ploche okno (plocha) s ikonami na ploche.

[Rudy]

začíná to zavánět poškozeným systémem. Udělejte sken AVPTool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 a dejte log.

[Feva]

Tak sken už mám za sebou niečo našlo asi väčšina kreky? Mám to zmazať ručne?

Automatická kontrola: dokončeno před 14 min. (události: 16, objekty: 744787, čas: 03:21:20)
17. 11. 2010 19:00:27 Úloha byla spuštěna
17. 11. 2010 20:04:22 Zjištěno: not-a-virus:AdWare.Win32.MegaSearch.aj C:\Documents and Settings\Ferdinand\Plocha\Ďaľšie Programy\Registracia-prihlásenia-Inter\5 MEGa manager\megamanager.exe/MegauploadToolbarSetup.exe/data0085
17. 11. 2010 20:04:59 Odstraněno: not-a-virus:AdWare.Win32.MegaSearch.aj C:\Documents and Settings\Ferdinand\Plocha\Ďaľšie Programy\Registracia-prihlásenia-Inter\5 MEGa manager\megamanager.exe
17. 11. 2010 20:38:30 Zjištěno: not-a-virus:AdWare.Win32.MegaSearch.aj C:\System Volume Information\_restore{35B4C8F3-34AB-460E-BE90-3B7D19A6A6F9}\RP20\A0032465.exe/MegauploadToolbarSetup.exe/data0085
17. 11. 2010 20:41:18 Odstraněno: not-a-virus:AdWare.Win32.MegaSearch.aj C:\System Volume Information\_restore{35B4C8F3-34AB-460E-BE90-3B7D19A6A6F9}\RP20\A0032465.exe
17. 11. 2010 21:32:05 Zjištěno: Trojan.Win32.Rettesser.ed E:\INŠTAL_21G\ANTIVÍR-ÚDRŽBA\ČISTENIE_optimal,Registr Wind_aj CARE\Windows.Doctor.2.5.0.Retail.rar/Windows Doctor 2.5.0/WindowsDoctor25.exe/data0010
17. 11. 2010 21:32:05 Neošetřeno: Trojan.Win32.Rettesser.ed E:\INŠTAL_21G\ANTIVÍR-ÚDRŽBA\ČISTENIE_optimal,Registr Wind_aj CARE\Windows.Doctor.2.5.0.Retail.rar/Windows Doctor 2.5.0/WindowsDoctor25.exe/data0010 Zápis není podporován
17. 11. 2010 21:32:09 Zjištěno: Trojan.Win32.Rettesser.ee E:\INŠTAL_21G\ANTIVÍR-ÚDRŽBA\ČISTENIE_optimal,Registr Wind_aj CARE\Windows.Doctor.2.5.0.Retail.rar/Windows Doctor 2.5.0/WindowsDoctor25.exe/data0012
17. 11. 2010 21:32:09 Neošetřeno: Trojan.Win32.Rettesser.ee E:\INŠTAL_21G\ANTIVÍR-ÚDRŽBA\ČISTENIE_optimal,Registr Wind_aj CARE\Windows.Doctor.2.5.0.Retail.rar/Windows Doctor 2.5.0/WindowsDoctor25.exe/data0012 Zápis není podporován
17. 11. 2010 21:34:05 Zjištěno: Trojan.Win32.Swisyn.xrn E:\INŠTAL_21G\ANTIVÍR-ÚDRŽBA\ČISTENIE_optimal,Registr Wind_aj CARE\REgistry Fix\bez registr\Registry_Fix_It.exe/RegistryFixIT.exe
17. 11. 2010 21:34:08 Odstraněno: Trojan.Win32.Swisyn.xrn E:\INŠTAL_21G\ANTIVÍR-ÚDRŽBA\ČISTENIE_optimal,Registr Wind_aj CARE\REgistry Fix\bez registr\Registry_Fix_It.exe
17. 11. 2010 21:41:11 Zjištěno: Trojan-Downloader.Win32.Delf.acva E:\INŠTAL_21G\DISK_KOntrola+Partícia_Záloha\Acroins_záloha\Acronis Disk Director Suite 10.0.2239_Ang\Acronis_Disk_Director_Suite_10.0.2239.rar/Acronis Disk Director Suite 10.0.2239/Keygen CORE English.exe/UPX
17. 11. 2010 21:41:11 Neošetřeno: Trojan-Downloader.Win32.Delf.acva E:\INŠTAL_21G\DISK_KOntrola+Partícia_Záloha\Acroins_záloha\Acronis Disk Director Suite 10.0.2239_Ang\Acronis_Disk_Director_Suite_10.0.2239.rar/Acronis Disk Director Suite 10.0.2239/Keygen CORE English.exe/UPX Zápis není podporován
17. 11. 2010 22:05:05 Zjištěno: Trojan.Win32.Swisyn.xrn E:\System Volume Information\_restore{35B4C8F3-34AB-460E-BE90-3B7D19A6A6F9}\RP21\A0032498.exe/RegistryFixIT.exe
17. 11. 2010 22:05:24 Odstraněno: Trojan.Win32.Swisyn.xrn E:\System Volume Information\_restore{35B4C8F3-34AB-460E-BE90-3B7D19A6A6F9}\RP21\A0032498.exe
17. 11. 2010 22:21:47 Úloha byla dokončena

[Rudy]

Většina z toho byla smazána. Jak se nyní PC chová?

[Feva]

zatiaľ som ho netestoval,nereštartol,aj skype dotiaľ ide,uvidím pri vypínaní a zajtra pri spustení, potom napíšem či sa niečo oproti predchádzajúcemu chovaniu zmenilo idem ešte skúsiť zmazať ten nezničitelný Qoobox NIE nejde zmazať v tom priečinku Qoobox/BackEnv sa stále nedá odstrániť...

[Feva]

Tak som tu zas.Pri vypínaní PC cez štart sa ponuka vypnutia PC zobrazí asi za minútu po kliknutí vypnúť sa dostane do polohy vypínam... a už nevypne musím vypnúť natvrdo(tak ako predtým občas áno po dlhom čakaní občas nie).Po naštartovaní nerobí vôbec kontrolu súborov (po nekorektnom vypnutí) a normálne nabehne systém.Neviem prísť na to aký proces využíva ten nezničitelný Qoobox\BackEnv. Urobil som log z programu UPM o procesoch.Dávam k nahliadnutiu

Windows XP SP 3 (build 2600)
Boot Mode: Normal
Overení sůborů Microsoftu: Áno
Whitelist: Áno
Internet Explorer v8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
Log vygenerovaný:18. 11. 2010 9:52:26
================================================================
Bežiace procesy
================================================================

C:\PROGRAM FILES\O2MICRO OZ128 DRIVER\O2FLASH.EXE
C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE
C:\WINDOWS\SYSTEM32\HKCMD.EXE
C:\WINDOWS\SYSTEM32\IGFXPERS.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRAM FILES\NOKIA\NOKIA PC SUITE 7\PCSUITE.EXE
C:\PROGRAM FILES\PC CONNECTIVITY SOLUTION\SERVICELAYER.EXE
C:\PROGRAM FILES\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLUSBSRV.EXE
C:\PROGRAM FILES\PC CONNECTIVITY SOLUTION\TRANSPORTS\NCLRSSRV.EXE
C:\DOCUMENTS AND SETTINGS\FERDINAND\PLOCHA\A>AIE PROGRAMY\NÁSTROJE-ANTIV,ÚDR~BAPC\UPM\UPM.EXE

Scanner
================================================================
[?] o2flash.exe
Nemá okno
Súbor 7%

[S] explorer.exe
Spúšťa sa po štarte HKLM Winlogon [Shell]

[?] igfxtray.exe
Non Microsoft v System32:
Spúšťa sa po štarte HKLM Run [IgfxTray]

[?] igfxsrvc.exe
Non Microsoft v System32:
Nemá okno

[?] hkcmd.exe
Non Microsoft v System32:
Spúšťa sa po štarte HKLM Run [HotKeysCmds]

[?] igfxpers.exe
Non Microsoft v System32:
Spúšťa sa po štarte HKLM Run [Persistence]

[?] RTHDCPL.exe
Spúšťa sa po štarte HKLM Run [RTHDCPL]

[R] realsched.exe
Spúšťa sa po štarte HKLM Run [TkBellExe]

[R] AvastUI.exe
Spúšťa sa po štarte HKLM Run [avast5]

[R] AWC.exe
Spúšťa sa po štarte HKCU Run [Advanced SystemCare 3]
EntryPoint v sekcii: CODE
|_ Celkový počet sekcií: 8

[?] PCSuite.exe
Spúšťa sa po štarte HKCU Run [PC Suite Tray]
Súbor 7%

[S] ctfmon.exe
Spúšťa sa po štarte HKCU Run [ctfmon.exe]

[?] ServiceLayer.exe
Súbor 7%

[?] NclUSBSrv.exe
Súbor 7%

[?] NclRSSrv.exe
Súbor 7%

[R] WINWORD.EXE
Overený Microsoft: Nie

[?] UPM.exe
Bez výrobcu
Skrytá cesta EXE: C:\Documents and Settings\Ferdinand\Plocha\Ďaľšie Programy\Nástroje-ANtiv,údržbaPC\UPM\UPM.exe


Po spustení
================================================================

HKCU Run
|_ [R][Advanced SystemCare 3] C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe /startup
|_ [?][PC Suite Tray] C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe -onlytray

HKLM Run
|_ [?][IgfxTray] C:\WINDOWS\system32\igfxtray.exe
|_ [?][HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
|_ [?][Persistence] C:\WINDOWS\system32\igfxpers.exe
|_ [?][RTHDCPL] C:\WINDOWS\RTHDCPL.EXE
|_ [R][TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe -osboot
|_ [R][avast5] C:\Program Files\Alwil Software\Avast5\avastUI.exe /nogui

HKLM IC
|_ [X][>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP (Súbor nebol nájdený)
|_ [?][{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] C:\WINDOWS\INF\msnetmtg.inf ,NetMtg.Install.PerUser.NT
|_ [?][{5945c046-1e7d-11d1-bc44-00c04fd912be}] C:\WINDOWS\INF\msmsgs.inf ,BLC.QuietInstall.PerUser
|_ [?][{6BF52A52-394A-11d3-B153-00C04F79FAA6}] C:\WINDOWS\INF\wmp11.inf ,PerUserStub
|_ [?][{89820200-ECBD-11cf-8B85-00AA005B4340}] regsvr32.exe /s /n /i:U shell32.dll

HKLM Winlogon Notify
|_ [?][!SASWinLogon] C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL
|_ [?][igfxcui] C:\WINDOWS\system32\igfxdev.dll

Job
|_ [?][REGCUR~1.JOB] C:\Program Files\RegCure\RegCure.exe
|_ [?][RegCure.job] C:\Program Files\RegCure\RegCure.exe


HKLM BHO
|_ [?][{2DB66063-BB98-466A-AA0D-3E7ACF5ED853}] C:\Documents and Settings\All Users\Data aplikací\LangSoft\WebIE.dll
|_ [X][{AE7CD045-E861-484f-8273-0445EE161910}] (Súbor nebol nájdený)
|_ [?][{E99421FB-68DD-40F0-B4AC-B7027CAE2F1A}] C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
|_ [X][{F4971EE7-DAA0-4053-9964-665D8EE6A077}] (Súbor nebol nájdený)

HKCU IE WebBrowser Toolbar
|_ [X][{47833539-D0C5-4125-9FA8-0819E2EAAC93}] (Súbor nebol nájdený)
|_ [?][{EE5D279F-081B-4404-994D-C6B60AAEBA6D}] C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

HKLM IE Toolbar
|_ [X][{47833539-D0C5-4125-9FA8-0819E2EAAC93}] (Súbor nebol nájdený)
|_ [?][{EE5D279F-081B-4404-994D-C6B60AAEBA6D}] C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
|_ [?][{BFC32E1D-EE75-4A48-BC60-104E11EE2431}] C:\Documents and Settings\All Users\Data aplikací\LangSoft\WebIE.dll

Služby (Zobraz bežiace: True, Zobraz zastavené: False, Zobraz i bezpečné: False)
================================================================
[X] ABBYY FineReader 10 CE Licensing Service
|_ Cesta: C:\Program Files\Common Files\ABBYY\FineReader\10.00\Licensing\CE\NetworkLicenseServer.exe -service
| |_ Výrobca:
| |_ Popis:
| |_ MD5:
|
|_ Meno: ABBYY.Licensing.FineReader.Corporate.10.0
|_ StartName: LocalSystem
|_ Typ spúšťania: Auto Start
|_ Status: Spustené
|_ Typ: Win32 Own Process
|_ Dependency: RPCSS

[X] Sledování infračerveného přenosu
|_ Cesta: C:\WINDOWS\system32\svchost.exe
| |_ Výrobca: Microsoft Corporation
| |_ Popis: Generic Host Process for Win32 Services
| |_ MD5: BE4A520E29B6391F49E79CCC52044D93
|
|_ ServiceDLL: C:\WINDOWS\System32\irmon.dll
| |_ Výrobca:
| |_ Popis:
| |_ MD5:
|
|_ Meno: Irmon
|_ StartName: LocalSystem
|_ Typ spúšťania: Auto Start
|_ Status: Zastavené
|_ Typ: Win32 Share Process
|_ Dependency: irda

[X] NMSAccess
|_ Cesta: C:\Program Files\Blaze Media Pro\NMSAccess32.exe
| |_ Výrobca:
| |_ Popis:
| |_ MD5:
|
|_ Meno: NMSAccess
|_ StartName: LocalSystem
|_ Typ spúšťania: Auto Start
|_ Status: Zastavené
|_ Typ: Win32 Own Process
|_ Dependency:

[?] O2Micro Flash Memory Card Service
|_ Cesta: C:\Program Files\O2Micro Oz128 Driver\o2flash.exe
| |_ Výrobca: O2Micro International
| |_ Popis: O2 Flash Memory Service
| |_ MD5: D955D5DE998DB2476BF0892BE3A96C26
|
|_ Meno: o2flash
|_ StartName: LocalSystem
|_ Typ spúšťania: Auto Start
|_ Status: Spustené
|_ Typ: Win32 Own Process
|_ Dependency:

[?] ServiceLayer
|_ Cesta: C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
| |_ Výrobca: Nokia
| |_ Popis: ServiceLayer Module
| |_ MD5: 5C1858EEADD097912443AE8EFD44DA6B
|
|_ Meno: ServiceLayer
|_ StartName: LocalSystem
|_ Typ spúšťania: Ručné spustenie
|_ Status: Spustené
|_ Typ:
|_ Dependency: RPCSS

[X] Spy Emergency Engine Service
|_ Cesta: C:\Program Files\NETGATE\Spy Emergency 2009\SpyEmergencySrv.exe
| |_ Výrobca:
| |_ Popis:
| |_ MD5:
|
|_ Meno: SpyEmrgSrv
|_ StartName: LocalSystem
|_ Typ spúšťania: Auto Start
|_ Status: Zastavené
|_ Typ: Win32 Own Process
|_ Dependency:

lNetStat
================================================================
Typ: PID Proces Local <-> Remote Status
----------------------------------------------------------------------------------------
TCP (1220) svchost.exe 0.0.0.0:135 LISTENING
TCP (4) Systém 0.0.0.0:445 LISTENING
TCP (1184) alg.exe 127.0.0.1:1025 LISTENING
TCP (1696) AvastSvc.exe 127.0.0.1:12025 LISTENING
TCP (1696) AvastSvc.exe 127.0.0.1:12110 LISTENING
TCP (1696) AvastSvc.exe 127.0.0.1:12119 LISTENING
TCP (1696) AvastSvc.exe 127.0.0.1:12143 LISTENING
TCP (1696) AvastSvc.exe 127.0.0.1:12465 LISTENING
TCP (1696) AvastSvc.exe 127.0.0.1:12563 LISTENING
TCP (1696) AvastSvc.exe 127.0.0.1:12993 LISTENING
TCP (1696) AvastSvc.exe 127.0.0.1:12995 LISTENING
TCP (4) Systém 192.168.1.2:139 LISTENING
TCP (3820) iexplore.exe 192.168.1.2:1078 <-> 209.85.135.100:80 ESTABLISHED
UDP (4) Systém 0.0.0.0:445 TIME_WAIT
UDP (984) lsass.exe 0.0.0.0:500
UDP (1404) svchost.exe 0.0.0.0:1053
UDP (984) lsass.exe 0.0.0.0:4500
UDP (1260) svchost.exe 127.0.0.1:123
UDP (3820) iexplore.exe 127.0.0.1:1054
UDP (1428) svchost.exe 127.0.0.1:1900
UDP (1260) svchost.exe 192.168.1.2:123
UDP (4) Systém 192.168.1.2:137
UDP (4) Systém 192.168.1.2:138
UDP (1428) svchost.exe 192.168.1.2:1900

Access violations - HKCU
================================================================


================================================================
Ultimate Process Manager v4.1.3 - [ Lodus Software ] - Not Registered =(

[Rudy]

Zkuste ještě jednou Avenger se skriptem:

Folders to delete:
C:\Qoobox\BackEnv

[Feva]

Pomohlo vďaka,už som sa toho zbavil. A uvidím ako sa bude tváriť počítač. Pri spustení mi znova otvára to okno s pracovnou plochou, neviem či sa do dá niekde nastaviť aby to neotváralo.

[Rudy]

Mělo by to jít zakázat v msconfig, záložka Po spuštění. Start>spustit>(napsat) msconfig>OK.

[Feva]

A ktorá s týchto položiek to bude?
tieto neviem k čomu patria-hkcmd, RTHDCPL,ctfmon.exe---že by táto?nie je to pre písanie? (realsched--toto bude asi realPlayer,) ..ostatné viem určiť

[Rudy]

C:\Documents and Settings\user\Data aplikací\Microsoft\Internet Explorer\Quick Launch

Mělo by to být tohle.

[Feva]

Na tej ceste .....Microsoft\.. sa u mňa taká položka nenachádza

[Feva]

nainštaloval som a spustil Anti-malware našiel 2x TrojanFake Alert v registroch :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 5156

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

20. 11. 2010 12:15:23
mbam-log-2010-11-20 (12-15-23).txt

Typ skenu: Rychlý sken
Skenované objekty: 155023
Uplynulý čas: 7 minuta(y), 35 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 2
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
HKEY_CURRENT_USER\SOFTWARE\ASH24SXZ9S (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\OTGV1DNWQQ (Trojan.FakeAlert) -> No action taken.

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
(Žádné škodlivé položky nebyly zjištěny)

[Rudy]

Nalezené položky smažte.

[Feva]

Zmazal som ale to vypínanie je velmi zdĺhavé cez ponuku štart, ak použijem ALT+F4 hneď mi naskočí okno s možnosťou ukončenia ale pri vypínaní veľmi dlho ukončuje. Zatiaľ ďakujem.