Prosim o kontrolu logu.dekuji

Zpráva

Alex_h4 · #1 Příspěvek od **Alex_h4** » 26 lis 2010 15:23

Windows XP SP 2 (build 2600)
Boot Mode: Normal
Ověření souborů Microsoftu: Ano
Whitelist: Ano
Internet Explorer v6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
Log vygenerován: 26.11.2010 9:09:21
================================================================

SmallARK
================================================================
[?]NtCreateKey -> spyr.sys
[?]NtEnumerateKey -> spyr.sys
[?]NtEnumerateValueKey -> spyr.sys
[?]NtOpenKey -> spyr.sys
[?]NtQueryKey -> spyr.sys
[?]NtQueryValueKey -> spyr.sys
[?]NtSetValueKey -> spyr.sys

Běžící procesy
================================================================

C:\PROGRAM FILES\ESRI\LICENSE\ARCGIS9X\ARCGIS.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\PROGRAM FILES\ATKOSD2\ATKOSD2.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRAM FILES\COMMON FILES\AHEAD\LIB\NMBGMONITOR.EXE

Scanner
================================================================
[S] csrss.exe
Podvržená cesta modulu: (00270000) [DLL] ?

[S] explorer.exe
Spouští se po startu HKLM Winlogon [Shell]
Podvržená cesta modulu: (001A0000) [DLL] ?

[?] ARCGIS.EXE
Bez výrobce
Nemá okno
Soubor 12%

[?] nvsvc32.exe
Non Microsoft v System32:

[?] ATKOSD2.exe
Bez výrobce
Spouští se po startu HKLM Run [ATKOSD2]
Soubor 25%

[S] rundll32.exe
Spouští se po startu HKLM Run [NvCplDaemon]

[R] nod32kui.exe
Spouští se po startu HKLM Run [nod32kui]

[R] jusched.exe
Spouští se po startu HKLM Run [SunJavaUpdateSched]

[?] RTHDCPL.exe
Spouští se po startu HKLM Run [RTHDCPL]

[R] ACDaemon.exe
Spouští se po startu HKLM Run [ArcSoft Connection Service]

[S] ctfmon.exe
Spouští se po startu HKCU Run [CTFMON.EXE]

[?] NMBgMonitor.exe
Spouští se po startu HKCU Run [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
Soubor 7%

[R] TOTALCMD.EXE
EntryPoint v sekci: UPX1
|_ Celkový počet sekcí: 3

[R] firefox.exe
Podvržená cesta modulu: (001A0000) [DLL] ?

[R] SpyEmergency.exe
Spouští se po startu HKCU Run [SpyEmergency]

[S] svchost.exe
Podvržená cesta modulu: (001A0000) [DLL] ?

Po spuštění
================================================================

HKCU Run
|_ [?][BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

HKLM Run
|_ [?][ATKOSD2] C:\Program Files\ATKOSD2\ATKOSD2.exe
|_ [?][NvCplDaemon] C:\WINDOWS\system32\NvCpl.dll ,NvStartup
|_ [?][nwiz] nwiz.exe /install
|_ [?][NvMediaCenter] C:\WINDOWS\system32\NvMcTray.dll ,NvTaskbarInit
|_ [R][nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
|_ [?][RTHDCPL] C:\WINDOWS\RTHDCPL.EXE
|_ [?][SkyTel] C:\WINDOWS\SkyTel.EXE
|_ [?][Alcmtr] C:\WINDOWS\ALCMTR.EXE

HKLM IC
|_ [X][>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS] RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP (Soubor nenalezen)
|_ [?][{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] C:\WINDOWS\INF\msnetmtg.inf ,NetMtg.Install.PerUser.NT
|_ [?][{5945c046-1e7d-11d1-bc44-00c04fd912be}] C:\WINDOWS\INF\msmsgs.inf ,BLC.QuietInstall.PerUser
|_ [?][{6BF52A52-394A-11d3-B153-00C04F79FAA6}] C:\WINDOWS\INF\wmp.inf ,PerUserStub
|_ [?][{89820200-ECBD-11cf-8B85-00AA005B4340}] regsvr32.exe /s /n /i:U shell32.dll

HKLM Winlogon Notify
|_ [?][wingew32] C:\WINDOWS\system32\wingew32.dll

Po spuštění
|_ C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

HKLM BHO
|_ [?][{2DB66063-BB98-466A-AA0D-3E7ACF5ED853}] C:\TRANSLAT\WEBIE.DLL

HKLM IE Toolbar
|_ [?][{BFC32E1D-EE75-4A48-BC60-104E11EE2431}] C:\TRANSLAT\WEBIE.DLL

Služby (Zobraz běžící: True, Zobraz zastavené: False, Zobraz i bezpečné služby: False)
================================================================
[X] Java Quick Starter
|_ Cesta: C:\Program Files\Java\jre6\bin\jqs.exe -service -config C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf
| |_ Výrobce:
| |_ Popis:
| |_ MD5:
|
|_ Jméno: JavaQuickStarterService
|_ StartName: LocalSystem
|_ Typ spouštění: Auto Start
|_ Status: Spuštěno
|_ Typ: Win32 Own Process
|_ Dependency:

[?] NVIDIA Display Driver Service
|_ Cesta: C:\WINDOWS\system32\nvsvc32.exe
| |_ Výrobce: NVIDIA Corporation
| |_ Popis: NVIDIA Driver Helper Service, Version 156.54
| |_ MD5: 681FE96144FE19F5691869D55B92CFE0
|
|_ Jméno: NVSvc
|_ StartName: LocalSystem
|_ Typ spouštění: Auto Start
|_ Status: Spuštěno
|_ Typ: Win32 Own Process
|_ Dependency:

Ovladače (Zobraz běžící: True, Zobraz zastavené: False, Zobraz i bezpečné služby: False)
================================================================
[?] Atheros AR5008 Wireless Network Adapter Service
|_ Cesta: C:\WINDOWS\system32\DRIVERS\athw.sys
| |_ Výrobce: Atheros Communications, Inc.
| |_ Popis: Driver for Atheros AR5008 Wireless Network Adapter
| |_ MD5: D3E782AD9DCA4D6215222A43345F43B0
|
|_ Jméno: AR5416
|_ StartName:
|_ Typ spouštění: Ruční spuštění
|_ Status: Spuštěno
|_ Typ: Kernel Driver
|_ Dependency:

[?] Service for Realtek HD Audio (WDM)
|_ Cesta: C:\WINDOWS\system32\drivers\RtkHDAud.sys
| |_ Výrobce: Realtek Semiconductor Corp.
| |_ Popis: Realtek(r) High Definition Audio Function Driver
| |_ MD5: B1A809E7FE19BECD5ACA61F0E7088C8C
|
|_ Jméno: IntcAzAudAddService
|_ StartName:
|_ Typ spouštění: Ruční spuštění
|_ Status: Spuštěno
|_ Typ: Kernel Driver
|_ Dependency:

[?] nv
|_ Cesta: C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
| |_ Výrobce: NVIDIA Corporation
| |_ Popis: NVIDIA Compatible Windows 2000 Miniport Driver, Version 156.54
| |_ MD5: 38D848323B440E20550129A7858365B6
|
|_ Jméno: nv
|_ StartName:
|_ Typ spouštění: Ruční spuštění
|_ Status: Spuštěno
|_ Typ: Kernel Driver
|_ Dependency:

[?] NVIDIA nForce Networking Controller Driver
|_ Cesta: C:\WINDOWS\system32\DRIVERS\NVENETFD.sys
| |_ Výrobce: NVIDIA Corporation
| |_ Popis: NVIDIA Networking Function Driver.
| |_ MD5: 89FA84C4887EC984A002A518258499FE
|
|_ Jméno: NVENETFD
|_ StartName:
|_ Typ spouštění: Ruční spuštění
|_ Status: Spuštěno
|_ Typ: Kernel Driver
|_ Dependency:

[?] NVIDIA Network Bus Enumerator
|_ Cesta: C:\WINDOWS\system32\DRIVERS\nvnetbus.sys
| |_ Výrobce: NVIDIA Corporation
| |_ Popis: NVIDIA Networking Bus Driver.
| |_ MD5: AA91A32A36E2CB3F06223056F6668E8F
|
|_ Jméno: nvnetbus
|_ StartName:
|_ Typ spouštění: Ruční spuštění
|_ Status: Spuštěno
|_ Typ: Kernel Driver
|_ Dependency:

[?] nvsmu
|_ Cesta: C:\WINDOWS\system32\DRIVERS\nvsmu.sys
| |_ Výrobce: NVIDIA Corporation
| |_ Popis: NVIDIA® nForce(TM) SMU Microcontroller Driver
| |_ MD5: 9AEBC32F9D6E02EBEE0369AB296FE7C8
|
|_ Jméno: nvsmu
|_ StartName:
|_ Typ spouštění: Ruční spuštění
|_ Status: Spuštěno
|_ Typ: Kernel Driver
|_ Dependency:

[?] PxHelp20
|_ Cesta: C:\WINDOWS\system32\DRIVERS\PxHelp20.sys
| |_ Výrobce: Sonic Solutions
| |_ Popis: Px Engine Device Driver for Windows 2000/XP
| |_ MD5: B572ED0C3E6165643FA116AF20425A54
|
|_ Jméno: PxHelp20
|_ StartName:
|_ Typ spouštění: Boot Start
|_ Status: Spuštěno
|_ Typ: Kernel Driver
|_ Dependency:

[?] sptd
|_ Cesta: C:\WINDOWS\System32\Drivers\sptd.sys
| |_ Výrobce:
| |_ Popis:
| |_ MD5:
|
|_ Jméno: sptd
|_ StartName:
|_ Typ spouštění: Boot Start
|_ Status: Spuštěno
|_ Typ: Kernel Driver
|_ Dependency:

[?] USB2.0 1.3M WebCam
|_ Cesta: C:\WINDOWS\System32\Drivers\SynMini.sys
| |_ Výrobce:
| |_ Popis:
| |_ MD5: 472B9E75DDAB952F0CD37BD9AA3E81F8
|
|_ Jméno: SynMini
|_ StartName:
|_ Typ spouštění: Ruční spuštění
|_ Status: Spuštěno
|_ Typ: Kernel Driver
|_ Dependency:

[?] USB2.0 1.3M WebCam Still Image
|_ Cesta: C:\WINDOWS\System32\Drivers\SynScan.sys
| |_ Výrobce:
| |_ Popis:
| |_ MD5: BED9A41E66E9F038AF6D2E487A3F2757
|
|_ Jméno: SynScan
|_ StartName:
|_ Typ spouštění: Ruční spuštění
|_ Status: Spuštěno
|_ Typ: Kernel Driver
|_ Dependency:

lNetStat
================================================================
Typ: PID Proces Local <-> Remote Status
-----------------------------------------------------------------------------------------
TCP (1084) svchost.exe 0.0.0.0:135 LISTENING
TCP (4) Systém 0.0.0.0:445 LISTENING
TCP (604) ARCGIS.EXE 0.0.0.0:1026 LISTENING
TCP (968) spnsrvnt.exe 0.0.0.0:6002 LISTENING
TCP (3052) SpyEmergencySrv.exe 0.0.0.0:8211 LISTENING
TCP (3052) SpyEmergencySrv.exe 0.0.0.0:8212 LISTENING
TCP (3052) SpyEmergencySrv.exe 0.0.0.0:8213 LISTENING
TCP (3052) SpyEmergencySrv.exe 0.0.0.0:8214 LISTENING
TCP (332) lmgrd.exe 0.0.0.0:27001 LISTENING
TCP (604) ARCGIS.EXE 127.0.0.1:1028 <-> 127.0.0.1:1029 ESTABLISHED
TCP (604) ARCGIS.EXE 127.0.0.1:1029 <-> 127.0.0.1:1028 ESTABLISHED
TCP (604) ARCGIS.EXE 127.0.0.1:1030 <-> 127.0.0.1:27001 ESTABLISHED
TCP (2384) alg.exe 127.0.0.1:1034 LISTENING
TCP (280) firefox.exe 127.0.0.1:1052 <-> 127.0.0.1:1053 ESTABLISHED
TCP (280) firefox.exe 127.0.0.1:1053 <-> 127.0.0.1:1052 ESTABLISHED
TCP (280) firefox.exe 127.0.0.1:1060 <-> 127.0.0.1:1061 ESTABLISHED
TCP (280) firefox.exe 127.0.0.1:1061 <-> 127.0.0.1:1060 ESTABLISHED
TCP (544) jqs.exe 127.0.0.1:5152 LISTENING
TCP (544) jqs.exe 127.0.0.1:5152 CLOSE_WAIT
TCP (356) mDNSResponder.exe 127.0.0.1:5354 LISTENING
TCP (332) lmgrd.exe 127.0.0.1:27001 <-> 127.0.0.1:1030 ESTABLISHED
TCP (4) Systém 192.168.1.103:139 LISTENING
TCP (0) 192.168.1.103:1327 TIME_WAIT
TCP (0) 192.168.1.103:1384 TIME_WAIT
TCP (0) 192.168.1.103:1472 TIME_WAIT
TCP (260) UPM.exe 192.168.1.103:1521 <-> 199.7.52.190:80 ESTABLISHED
UDP (4) Systém 0.0.0.0:445 <-> 199.7.51.190:80 ESTABLISHED
UDP (880) lsass.exe 0.0.0.0:500
UDP (356) mDNSResponder.exe 0.0.0.0:1025
UDP (880) lsass.exe 0.0.0.0:4500
UDP (968) spnsrvnt.exe 127.0.0.1:6001
UDP (4) Systém 192.168.1.103:137
UDP (4) Systém 192.168.1.103:138
UDP (356) mDNSResponder.exe 192.168.1.103:5353
UDP (968) spnsrvnt.exe 192.168.1.103:6001

Moduly (Zobraz i bezpečné DLL: False, Jen bez výrobce: True, Zobraz registrované: False)
================================================================
[?] wingew32.dll
|_ Cesta: C:\WINDOWS\system32\wingew32.dll
|_ MD5: 4793C209B8B246E2BC7696A1F4AF4D5C
|_ Výrobce:
|_ Procesy
|_ winlogon.exe (824)

[?] pr_imon.dll
|_ Cesta: C:\Program Files\ESET\pr_imon.dll
|_ MD5: E367058BB58A44B817A1C26A98A472C8
|_ Výrobce:
|_ Procesy
|_ lsass.exe (880)
|_ svchost.exe (1084)
|_ svchost.exe (1184)
|_ explorer.exe (1488)
|_ lmgrd.exe (332)
|_ mDNSResponder.exe (356)
|_ jqs.exe (544)
|_ nod32krn.exe (596)
|_ ARCGIS.EXE (604)
|_ spnsrvnt.exe (968)
|_ nod32kui.exe (2216)
|_ alg.exe (2384)
|_ firefox.exe (280)
|_ SpyEmergencySrv.exe (3052)
|_ SpyEmergency.exe (2828)
|_ UPM.exe (260)
|_ svchost.exe (3464)

[?] mdnsnsp.dll
|_ Cesta: C:\Program Files\Bonjour\mdnsNSP.dll
|_ MD5: 1F5A570AD942DFCFE4500326ABDD72B2
|_ Výrobce: Apple Computer, Inc.
|_ Procesy
|_ svchost.exe (1084)
|_ spoolsv.exe (1744)
|_ lmgrd.exe (332)
|_ ARCGIS.EXE (604)
|_ spnsrvnt.exe (968)
|_ firefox.exe (280)
|_ SpyEmergency.exe (2828)
|_ UPM.exe (260)
|_ svchost.exe (3464)

[?] nod32krr.dll
|_ Cesta: C:\Program Files\ESET\nod32krr.dll
|_ MD5: EE05D8FB21CDC4F0939B75BFC3F1B3B9
|_ Výrobce: Eset
|_ Procesy
|_ nod32krn.exe (596)

[?] pr_upd.dll
|_ Cesta: C:\Program Files\ESET\pr_upd.dll
|_ MD5: CED01516B7F726874595CAA8F16E0E0A
|_ Výrobce:
|_ Procesy
|_ nod32krn.exe (596)
|_ nod32kui.exe (2216)

[?] pr_amon.dll
|_ Cesta: C:\Program Files\ESET\pr_amon.dll
|_ MD5: DD2EA02F095981652DF66D2AF9A69094
|_ Výrobce: Eset
|_ Procesy
|_ nod32krn.exe (596)
|_ nod32kui.exe (2216)

[?] pr_nod32.dll
|_ Cesta: C:\Program Files\ESET\pr_nod32.dll
|_ MD5: CD0D69080FD066D56E3FF328319131AC
|_ Výrobce: Eset
|_ Procesy
|_ nod32krn.exe (596)
|_ nod32kui.exe (2216)

[?] pr_dmon.dll
|_ Cesta: C:\Program Files\ESET\pr_dmon.dll
|_ MD5: E440C26F795C58BD53A9DAF9C89249D6
|_ Výrobce:
|_ Procesy
|_ nod32krn.exe (596)
|_ nod32kui.exe (2216)

[?] pr_emon.dll
|_ Cesta: C:\Program Files\ESET\pr_emon.dll
|_ MD5: F17588F8BDB8EDA20257598847144A36
|_ Výrobce:
|_ Procesy
|_ nod32krn.exe (596)
|_ nod32kui.exe (2216)

[?] nod32rui.dll
|_ Cesta: C:\Program Files\ESET\nod32rui.dll
|_ MD5: 4655C9716D8781609CAAA1C0473A69D8
|_ Výrobce:
|_ Procesy
|_ nod32kui.exe (2216)

[?] nmindexstoresvrps.dll
|_ Cesta: C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvrPS.dll
|_ MD5: 2257589EF50B9F2ACCB7BC9C058447ED
|_ Výrobce: Nero AG
|_ Procesy
|_ NMBgMonitor.exe (2280)

[?] nmdataservices.dll
|_ Cesta: C:\Program Files\Common Files\Ahead\Lib\NMDataServices.dll
|_ MD5: 5E49990CAF2BF1AE9A421BB2FCC3769A
|_ Výrobce: Nero AG
|_ Procesy
|_ NMBgMonitor.exe (2280)

[?] advrcntr2.dll
|_ Cesta: C:\Program Files\Common Files\Ahead\Lib\AdvrCntr2.dll
|_ MD5: 806BF193896D664594023DDEBB6AC812
|_ Výrobce: Nero AG
|_ Procesy
|_ NMBgMonitor.exe (2280)

[?] msvcp60.dll
|_ Cesta: C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\msvcp60.dll
|_ MD5: 59A6413FB2CC89FD8651B1D2962FB8B9
|_ Výrobce: Microsoft Corporation
|_ Procesy
|_ ArcCon.ac (2484)
|_ wmiapsrv.exe (2520)

[?] nssdbm3.dll
|_ Cesta: C:\Program Files\Mozilla Firefox\nssdbm3.dll
|_ MD5: CBF614A2EA4FDAE7A45FB98097002F3B
|_ Výrobce: Mozilla Foundation
|_ Procesy
|_ firefox.exe (280)

[?] freebl3.dll
|_ Cesta: C:\Program Files\Mozilla Firefox\freebl3.dll
|_ MD5: A67137616BB9668F46F595CE4C861AF4
|_ Výrobce: Mozilla Foundation
|_ Procesy
|_ firefox.exe (280)

[?] softokn3.dll
|_ Cesta: C:\Program Files\Mozilla Firefox\softokn3.dll
|_ MD5: CC579E1A88C865C880CE32D8B46C4734
|_ Výrobce: Mozilla Foundation
|_ Procesy
|_ firefox.exe (280)

[?] libeay32.dll
|_ Cesta: C:\Program Files\NETGATE\Spy Emergency 2008\libeay32.dll
|_ MD5: 061DAE89B309A98382DEDC04942BD8A2
|_ Výrobce: The OpenSSL Project, http://www.openssl.org/
|_ Procesy
|_ SpyEmergencySrv.exe (3052)

[?] ssleay32.dll
|_ Cesta: C:\Program Files\NETGATE\Spy Emergency 2008\ssleay32.dll
|_ MD5: D522127B19938F0F9E127AF60D8E678E
|_ Výrobce: The OpenSSL Project, http://www.openssl.org/
|_ Procesy
|_ SpyEmergencySrv.exe (3052)

================================================================
Ultimate Process Manager v4.1.3 - [ Lodus Software ]

#2 Příspěvek od **Rudy** » 26 lis 2010 17:43

Dejte log z ComboFix.

Stahnete a ulozte nejlepe na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

pote spustte aplikaci pod uctem s administratorskym opravnenim

hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano.

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: pokud pouzivate antispyware s rezidentnim stitem, prepnete jeho rezidentni stit do Install Mode, pripadne jej po dobu skenu uplne deaktivujte, protoze dochazi pri skenu a vymazu pripadneho malware k nezadoucim kolizim s rezidentem antispyware

Alex_h4 · #3 Příspěvek od **Alex_h4** » 27 lis 2010 01:19

Tak jsem vse udelala podle vaseho navodu a log z Combofix prikladam nize.

Naslo mi to nejakou infekci a po stahnuti konzole pro zotaveni se nejspise vymazala. Nevim, jak to bude fungovat ted, ale muj hlavni problem byl, ze se mi neustale zobrazovala chyba: V aplikaci Generic Host Process for Win32 Services došlo k problému...pak take dalsi chyby s aplikacemi explorer.exe, ACdaemon.exe a jeste jine, ale ty uz si bohuzel nepamatuji. Po techto chybach se vzdycky cely notebook zasekl a nedalo se nic delat.
Predem moc dekuji za snad uspesne vyreseni problemu

ComboFix 10-11-25.06 - Lucinka 26.11.2010 18:59:41.2.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.895.470 [GMT -5:00]
Spuštěný z: c:\documents and settings\Lucinka\Plocha\ComboFix.exe
AV: Eset NOD32 Antivirus 2.70 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-10-27 do 2010-11-27 )))))))))))))))))))))))))))))))
.

2010-11-26 14:41 . 2010-11-26 23:55 -------- d-----w- c:\program files\Crawler
2010-11-26 14:35 . 2010-11-26 14:35 142592 ----a-w- c:\windows\system32\drivers\sp_rsdrv2.sys
2010-11-26 14:35 . 2010-11-26 23:34 -------- d-----w- c:\documents and settings\Lucinka\Data aplikací\Spyware Terminator
2010-11-26 14:35 . 2010-11-26 14:39 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Spyware Terminator
2010-11-26 14:35 . 2010-11-26 23:34 -------- d-----w- c:\program files\Spyware Terminator
2010-11-26 14:08 . 2010-11-26 14:09 -------- d-----w- c:\program files\Ultimate Process Manager
2010-11-25 19:19 . 2010-11-25 19:19 -------- d-----w- c:\documents and settings\Lucinka\Data aplikací\BSplayer PRO
2010-11-04 03:48 . 2010-09-15 09:50 472808 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
2010-11-04 03:48 . 2010-09-15 09:50 472808 ----a-w- c:\windows\system32\deployJava1.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-15 07:29 . 2009-11-09 13:02 73728 ----a-w- c:\windows\system32\javacpl.cpl
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 94208]
"SpywareTerminatorUpdate"="c:\program files\Spyware Terminator\SpywareTerminatorUpdate.exe" [2010-11-26 3037696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATKOSD2"="c:\program files\ATKOSD2\ATKOSD2.exe" [2007-07-03 7708672]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-08-16 8478720]
"nwiz"="nwiz.exe" [2007-08-16 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-08-16 81920]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-11-09 949376]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-20 16384512]
"SkyTel"="SkyTel.EXE" [2007-08-03 1826816]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"ArcSoft Connection Service"="c:\program files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2010-03-18 207360]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2010-11-26 2216960]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wingew32]
2009-11-09 13:55 34816 ----a-w- c:\windows\system32\wingew32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0lsdelete\0sremcon.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Common Files\\SafeNet Sentinel\\Sentinel Protection Server\\WinNT\\spnsrvnt.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\WINDOWS\\system32\\winver.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Spyware Terminator\\SpywareTerminatorUpdate.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [9.11.2009 8:37 717296]
R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [9.11.2009 7:42 15424]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [26.11.2010 9:35 142592]
R2 ArcGIS License Manager;ArcGIS License Manager;c:\program files\ESRI\License\arcgis9x\lmgrd.exe [10.11.2009 3:21 1431440]
R3 SynMini;USB2.0 1.3M WebCam;c:\windows\system32\drivers\SynMini.sys [7.11.2009 8:46 1056512]
R3 SynScan;USB2.0 1.3M WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [7.11.2009 8:46 8064]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.crawler.com/homepage.aspx?tbid=60076
uInternet Connection Wizard,ShellNext = hxxp://www.keygenguru.com/?0
uInternet Settings,ProxyOverride = *.local
IE: Crawler Search - tbr:iemenu
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{7E6A20FB-153F-402c-A84B-1A64E1955D3D} - {7E6A20FB-153F-402c-A84B-1A64E1955D3D} - c:\translat\WEBIE.DLL
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\translat\WEBIE.DLL
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - c:\translat\WEBIE.DLL
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - c:\translat\WEBIE.DLL
LSP: c:\windows\system32\imon.dll
TCP: {B15A1818-BC15-423E-A44E-C3531EB658E2} = 172.27.254.250
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\ctbr.dll
FF - ProfilePath - c:\documents and settings\Lucinka\Data aplikací\Mozilla\Firefox\Profiles\sx231ggo.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://www.crawler.com/homepage.aspx?tbid=60076
FF - prefs.js: keyword.URL - hxxp://www.crawler.com/search/dispatcher.aspx? ... 60076&qkw=
FF - component: c:\program files\Crawler\firefox\components\xcomm.dll
FF - component: c:\program files\Crawler\firefox\components\xshared.dll
FF - component: c:\program files\Crawler\firefox\components\xsupport.dll
FF - component: c:\program files\Crawler\firefox\components\xwsg.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-26 19:02
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(824)
c:\windows\system32\wingew32.dll

- - - - - - - > 'lsass.exe'(904)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll

- - - - - - - > 'explorer.exe'(3220)
c:\windows\system32\msi.dll
.
Celkový čas: 2010-11-26 19:03:19
ComboFix-quarantined-files.txt 2010-11-27 00:03
ComboFix2.txt 2010-11-26 23:53

Před spuštěním: 6 196 211 712
Po spuštění: 6 186 708 992

- - End Of File - - 4F9DCAD81DA1B08A2FE1085615BD1487

#4 Příspěvek od **Rudy** » 27 lis 2010 11:05

Otevřte poznámkový blok a zkopírujte do něj:

Collect::
c:\windows\system32\wingew32.dll

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wingew32]

Uložte na plochu jako CFScript.txt. Pak jej myší přetáhněte nad ikonu ComboFix a pusťte. CF se spustí a vykoná příkazy ze skriptu.

Obrázek

VIRY.CZ

Prosim o kontrolu logu.dekuji

Prosim o kontrolu logu.dekuji

Re: Prosim o kontrolu logu.dekuji

Re: Prosim o kontrolu logu.dekuji

Re: Prosim o kontrolu logu.dekuji