rootkit MBR\\.\PHYSICALDRIVE0 (pro vyosek)

[mattey]

(Už jsem s Vámi nedávno něco konzultoval http://viry.cz/forum/viewtopic.php?f=13 ... 9&start=30 )
Nemyslel jsem, že budu zase volat o pomoc tak brzo

Dneska mi avast našel nějaký rootkit:
MBR\\.\PHYSICALDRIVE0

a pak ještě našel jeden podezřelý soubor - nejspíš ten samý problém:
\\.\PHYSICALDRIVE...:MBRoot

---dodatek---
Avast teď ještě našel:
\\.\PHYSICALDRIVE0 MB...:MBRoot
\\.\PHYSICALDRIVE0 MB...:MBRoot
(je to tam 2x, nevím proč)

Jo a doporučil mi konrolu po restartu před naběhnutím Windows. To jsem nechal provést, ale nic to nenašlo.


Možná tam byl už předtím, ale Avast mi trošku blbnul (konkrétně nešla spustit registrace licence n další rok), tak jsem ho musel přeinstalovat. Možná za tím byl i nějaký závažnější problém.

Každopádně - našel jsem tady už nějaké návody:
http://www.viry.cz/forum/viewtopic.php? ... ght=fixmbr
http://www.viry.cz/forum/viewtopic.php? ... icaldrive0

Měl bych ale pár dotazů:
1) Mám dva disky (systém 80GB a data 350GB) - stačí zálohovat systémový, nebo radši oba? Druhá varianta asi zabere dost času.
2) Co znamená SCSI, nebo RAID ovladače? RAID je asi zápis na 2 disky zároveň, že? (To nemám.)
3) Nevím jestli si pamatuju heslo pro účet administrator. Vím, že se tenhle účet objeví navíc, když spustím Win v nouzovém režimu. Ale nepamatuju se, že bych někdy nějaké heslo pro ten účet zadával. Normálně mám jen jeden - správcovský účet.
4) Dá se podle toho názvu poznat, konkrétní škodlivý soft a zjistit co dělá, nebo je to jen obecná hláška?
5) Pokud ano, je ten rootkit nebezpečný? Asi se to trochu protáhne než vešchno zálohuju. A ještě musím sehnat někde klávesnici, která funhuje v DOSu (ta moje asi ne). Hrozí, že bych s nějakými soubory předal rootkit dál, třeba na flashce?



Pro jistotu LOG z RSIT (ale měl by být skoro stejný jako minule):

Logfile of random's system information tool 1.08 (written by

random/random)
Run by mattey at 2011-02-21 20:10:12
Systém Microsoft Windows XP Professional Service Pack 3
System drive C: has 8 GB (11%) free of 76 GB
Total RAM: 2046 MB (68% free)

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:10:21, on 21.2.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Nero 7\InCD\InCDsrv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\A4Tech\Mouse\Amoumain.exe
C:\PROGRA~1\KLAVES~1\MEDIAK~1\MagicKey.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\KLAVES~1\MEDIAK~1\OSD.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Alwil Software\Avast5\avastUI.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\ALCFDRTM.EXE
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\notepad.exe
C:\Instalace\ZABEZPEČENÍ\_pro případ krize\RSIT - diagnostický

program\RSIT.exe
C:\Program Files\trend micro\mattey.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL

= http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

= Odkazy
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ˙ţ127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common

Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper -

{DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program

Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl -

{E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program

Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE

C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe

NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WheelMouse] C:\Program

Files\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [MagicKey] C:\PROGRA~1\KLAVES~1\MEDIAK~1\MagicKey.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync]

C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [ISUSPM Startup]

C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common

Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer]

C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil

Software\Avast5\avastUI.exe" /nogui
O4 - HKCU\..\Run: [RocketDock] "C:\Program

Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st

800-840\dslmon.exe
O4 - Global Startup: TabUserW.exe.lnk =

C:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program

Files\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} -

C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program

Files\SUPERAntiSpyware\SASWINLO.DLL
O22 - SharedTaskScheduler: Browseui preloader -

{438755C2-A8BA-11D1-B96B-00A0C90312E1} -

C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Proces mezipaměti kategorií součástí -

{8C7461EF-2B13-11d2-BE35-3078302C2030} -

C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Program

Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero

7\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun

Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service

(LightScribeService) - Hewlett-Packard Company - C:\Program

Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common

Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA

Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software -

C:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe
O23 - Service: TabletService - Wacom Technology, Corp. -

C:\WINDOWS\system32\Tablet.exe

--
End of file - 7012 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
Adobe PDF Reader Link Helper - C:\Program Files\Common

Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll [2006-10-22 62080]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program

Files\Java\jre6\bin\jp2ssv.dll [2010-03-09 41760]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]
JQSIEStartDetectorImpl Class - C:\Program

Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll [2010-03-09 79648]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"=C:\WINDOWS\SkyTel.EXE [2006-05-16 2879488]
"RTHDCPL"=C:\WINDOWS\RTHDCPL.EXE [2007-01-30 16116224]
"nwiz"=nwiz.exe /installquiet []
"NvCplDaemon"=C:\WINDOWS\system32\NvCpl.dll [2006-03-17 7561216]
"NvMediaCenter"=NvMCTray.dll,NvTaskbarInit []
"WheelMouse"=C:\Program Files\A4Tech\Mouse\Amoumain.exe [2006-02-17

163840]
"MagicKey"=C:\PROGRA~1\KLAVES~1\MEDIAK~1\MagicKey.exe [2004-03-15

45056]
"SmartSync - ScheduleSync"=C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE

[2005-10-21 45056]
"ISUSPM Startup"=C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[2004-06-16 221184]
"ISUSScheduler"=C:\Program Files\Common

Files\InstallShield\UpdateService\issch.exe [2004-06-16 81920]
"JMB36X IDE Setup"=C:\WINDOWS\RaidTool\xInsIDE.exe [2007-03-20 36864]
"36X Raid Configurer"=C:\WINDOWS\system32\xRaidSetup.exe [2007-05-25

1957888]
"avast5"=C:\Program Files\Alwil Software\Avast5\avastUI.exe [2011-01-13

3396624]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"=C:\Program Files\RocketDock\RocketDock.exe [2007-03-18

630784]
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared

tools\msconfig\startupreg\CorelDRAW Graphics Suite 11b]
C:\Program Files\Corel\Corel Graphics

12\Languages\CZ\Programs\Registration.exe [2004-06-23 729088]

[HKEY_LOCAL_MACHINE\software\microsoft\shared

tools\msconfig\startupreg\SUPERAntiSpyware]
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [2011-01-13

2424560]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ICQ Service"=2

C:\Documents and Settings\All Users\Nabídka Start\Programy\Po spuštění
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\Notify\!SASWinLogon]
C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL [2009-09-03 548352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServ

iceObjectDelayLoad]
WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -

C:\WINDOWS\system32\WPDShServiceObj.dll [2006-10-18 133632]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=C:\Program

Files\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\

System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\e

xplorer]
"NoDriveTypeAutoRun"=323
"NoDriveAutoRun"=67108863
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\

explorer]
"HonorAutoRunSetting"=1
"NoDriveAutoRun"=67108863
"NoDriveTypeAutoRun"=323
"NoDrives"=0

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\para

meters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network

Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Sunbelt Software\Personal

Firewall\kpf4gui.exe"="C:\Program Files\Sunbelt Software\Personal

Firewall\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI"
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Di

sabled:@xpsp2res.dll,-22019"
"C:\Program Files\totalcmd\TOTALCMD.EXE"="C:\Program

Files\totalcmd\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit

international version, file manager replacement for Windows"
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enable

d:@xpsp2res.dll,-22019"
"C:\Program Files\ZZZ_Gamesy\OpenArena\ioquake3.x86.exe"="C:\Program

Files\ZZZ_Gamesy\OpenArena\ioquake3.x86.exe:*:Enabled:ioquake3.x86"
"C:\Program Files\Google\Google Earth\plugin\geplugin.exe"="C:\Program

Files\Google\Google Earth\plugin\geplugin.exe:*:Enabled:Google Earth"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program

Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\para

meters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enable

d:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network

Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

======File associations======

.scr - open - "C:\WINDOWS\notepad.exe" "%1"
.scr - install -
.scr - config -

======List of files/folders created in the last 1 months======

2011-02-20 17:32:28 ----A---- C:\WINDOWS\system32\drivers\aswFsBlk.sys
2011-02-20 17:32:27 ----A---- C:\WINDOWS\system32\drivers\aswSP.sys
2011-02-20 17:32:26 ----A---- C:\WINDOWS\system32\drivers\aswRdr.sys
2011-02-20 17:32:25 ----A---- C:\WINDOWS\system32\drivers\aswTdi.sys
2011-02-20 17:32:25 ----A---- C:\WINDOWS\system32\drivers\aswmon2.sys
2011-02-20 17:32:25 ----A---- C:\WINDOWS\system32\drivers\aswmon.sys
2011-02-20 17:32:23 ----A---- C:\WINDOWS\system32\drivers\aavmker4.sys
2011-02-20 17:31:54 ----A---- C:\WINDOWS\system32\aswBoot.exe
2011-02-20 15:40:28 ----D---- C:\Documents and Settings\mattey\Data

aplikací\SUPERAntiSpyware.com
2011-02-20 15:40:28 ----D---- C:\Documents and Settings\All Users\Data

aplikací\SUPERAntiSpyware.com
2011-02-20 15:38:56 ----D---- C:\Program Files\SUPERAntiSpyware
2011-02-19 18:04:39 ----HDC---- C:\WINDOWS\$NtUninstallKB2478971$
2011-02-19 18:04:30 ----HDC---- C:\WINDOWS\$NtUninstallKB2485376$
2011-02-19 18:04:22 ----HDC---- C:\WINDOWS\$NtUninstallKB2479628$
2011-02-19 18:04:04 ----HDC---- C:\WINDOWS\$NtUninstallKB2483185$
2011-02-19 18:01:51 ----HDC---- C:\WINDOWS\$NtUninstallKB2476687$
2011-02-19 18:01:26 ----HDC---- C:\WINDOWS\$NtUninstallKB2478960$
2011-02-19 18:01:07 ----HDC---- C:\WINDOWS\$NtUninstallKB2393802$
2011-02-18 18:13:24 ----D---- C:\rsit
2011-02-18 17:38:08 ----D---- C:\Program Files\CCleaner
2011-02-17 23:04:35 ----SHD---- C:\RECYCLER
2011-02-17 21:16:44 ----A---- C:\Boot.bak
2011-02-17 21:16:36 ----RASHD---- C:\cmdcons
2011-02-17 19:55:47 ----D---- C:\Program Files\trend micro
2011-02-17 18:31:13 ----D---- C:\Documents and Settings\mattey\Data

aplikací\Malwarebytes
2011-02-17 18:31:04 ----D---- C:\Documents and Settings\All Users\Data

aplikací\Malwarebytes
2011-02-17 18:31:04 ----A----

C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2011-02-17 18:31:01 ----A---- C:\WINDOWS\system32\drivers\mbam.sys
2011-02-17 18:31:00 ----D---- C:\Program Files\Malwarebytes'

Anti-Malware
2011-02-17 17:54:53 ----D---- C:\WINDOWS\CSC
2011-02-14 16:41:19 ----D---- C:\Program Files\Western Digital
2011-02-14 16:41:19 ----A---- C:\WINDOWS\system32\drivers\wdcsam.sys

======List of files/folders modified in the last 1 months======

2011-02-21 20:10:21 ----D---- C:\WINDOWS\Prefetch
2011-02-21 18:31:09 ----D---- C:\WINDOWS\Temp
2011-02-21 18:17:32 ----D---- C:\WINDOWS\system32\CatRoot2
2011-02-21 18:16:20 ----D---- C:\WINDOWS\system32
2011-02-21 18:14:02 ----A---- C:\WINDOWS\SchedLgU.Txt
2011-02-21 11:39:39 ----D---- C:\Documents and Settings\mattey\Data

aplikací\Winamp
2011-02-21 09:41:19 ----D---- C:\WINDOWS
2011-02-20 20:47:20 ----D---- C:\Program Files
2011-02-20 20:33:52 ----D---- C:\Documents and Settings\mattey\Data

aplikací\OpenOffice.org2
2011-02-20 17:32:28 ----D---- C:\WINDOWS\system32\drivers
2011-02-20 17:32:08 ----SHD---- C:\WINDOWS\Installer
2011-02-20 17:32:08 ----D---- C:\Config.Msi
2011-02-20 17:32:06 ----D---- C:\WINDOWS\WinSxS
2011-02-20 17:31:23 ----D---- C:\Documents and Settings\All Users\Data

aplikací\Alwil Software
2011-02-20 00:19:03 ----D---- C:\Instalace
2011-02-19 23:34:28 ----D---- C:\Documents and Settings\mattey\Data

aplikací\Media Player Classic
2011-02-19 23:34:27 ----D---- C:\WINDOWS\Debug
2011-02-19 23:26:21 ----D---- C:\Program Files\Common Files\Wise

Installation Wizard
2011-02-19 23:26:17 ----D---- C:\Program Files\Lavasoft
2011-02-19 23:06:15 ----D---- C:\Program Files\Spybot - Search &

Destroy
2011-02-19 23:04:03 ----D---- C:\Documents and Settings\All Users\Data

aplikací\Spybot - Search & Destroy
2011-02-19 18:04:42 ----HD---- C:\WINDOWS\inf
2011-02-19 18:04:41 ----RSHDC---- C:\WINDOWS\system32\dllcache
2011-02-19 18:02:51 ----A---- C:\WINDOWS\system32\MRT.exe
2011-02-19 18:02:22 ----D---- C:\Program Files\Internet Explorer
2011-02-19 18:02:01 ----D---- C:\WINDOWS\ie8updates
2011-02-19 18:01:57 ----HD---- C:\WINDOWS\$hf_mig$
2011-02-18 16:19:15 ----SHD---- C:\System Volume Information
2011-02-18 16:19:15 ----D---- C:\WINDOWS\system32\Restore
2011-02-18 16:14:59 ----D---- C:\WINDOWS\Minidump
2011-02-17 23:04:04 ----D---- C:\WINDOWS\system32\drivers\etc
2011-02-17 22:37:10 ----A---- C:\WINDOWS\system.ini
2011-02-17 22:34:47 ----D---- C:\WINDOWS\system32\config
2011-02-17 22:33:32 ----SD---- C:\WINDOWS\Tasks
2011-02-17 22:31:44 ----D---- C:\WINDOWS\AppPatch
2011-02-17 22:31:42 ----D---- C:\Program Files\Common Files
2011-02-17 21:16:44 ----RASH---- C:\boot.ini
2011-02-17 20:49:27 ----D---- C:\Program Files\Mozilla Firefox
2011-02-17 17:51:29 ----A---- C:\WINDOWS\win.ini
2011-02-16 22:09:09 ----A---- C:\WINDOWS\NeroDigital.ini
2011-02-14 16:41:19 ----DC---- C:\WINDOWS\system32\DRVSTORE
2011-02-05 03:20:36 ----D---- C:\Documents and Settings\mattey\Data

aplikací\Skype
2011-02-05 00:05:51 ----D---- C:\Documents and Settings\mattey\Data

aplikací\skypePM
2011-01-22 18:01:42 ----HDC---- C:\WINDOWS\$NtUninstallKB2419632$

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto,

3=Demand, 4=Disabled)======

R0 JRAID;JRAID; C:\WINDOWS\system32\DRIVERS\jraid.sys [2007-05-24

49920]
R0 ohci1394;Hostitelský řadič IEEE 1394 dle standardu OHCI Texas

Instruments; C:\WINDOWS\system32\DRIVERS\ohci1394.sys [2008-04-13

61696]
R0 PenClass;Pen Class; C:\WINDOWS\system32\Drivers\PenClass.sys

[2001-04-09 8138]
R0 PxHelp20;PxHelp20; C:\WINDOWS\System32\Drivers\PxHelp20.sys

[2007-03-08 43528]
R0 sptd;sptd; C:\WINDOWS\System32\Drivers\sptd.sys [2007-11-18 685816]
R1 Aavmker4;avast! Asynchronous Virus Monitor;

C:\WINDOWS\system32\drivers\Aavmker4.sys [2011-01-13 29392]
R1 aswRdr;aswRdr; C:\WINDOWS\system32\drivers\aswRdr.sys [2011-01-13

23632]
R1 aswSP;aswSP; C:\WINDOWS\system32\drivers\aswSP.sys [2011-01-13

294608]
R1 aswTdi;avast! Network Shield Support;

C:\WINDOWS\system32\drivers\aswTdi.sys [2011-01-13 47440]
R1 fwdrv;Firewall Driver; C:\WINDOWS\system32\drivers\fwdrv.sys

[2007-04-26 302000]
R1 InCDPass;InCDPass; C:\WINDOWS\system32\drivers\InCDPass.sys

[2006-11-10 31360]
R1 incdrm;InCD Reader; C:\WINDOWS\system32\drivers\InCDRm.sys

[2006-11-10 33792]
R1 intelppm;Řadič procesoru Intel;

C:\WINDOWS\system32\DRIVERS\intelppm.sys [2008-04-14 40192]
R1 kbdhid;Ovladač klávesnice standardu HID;

C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2008-04-14 14592]
R1 khips;Kerio HIPS Driver; C:\WINDOWS\system32\drivers\khips.sys

[2007-04-26 72624]
R1 SASDIFSV;SASDIFSV; \??\C:\Program

Files\SUPERAntiSpyware\SASDIFSV.SYS []
R1 SASKUTIL;SASKUTIL; \??\C:\Program

Files\SUPERAntiSpyware\SASKUTIL.SYS []
R1 UGURU;UGURU; C:\WINDOWS\system32\drivers\uGuru.sys [2006-05-03

14592]
R2 aswFsBlk;aswFsBlk; C:\WINDOWS\system32\drivers\aswFsBlk.sys

[2011-01-13 17744]
R2 aswMon2;aswMon2; C:\WINDOWS\system32\drivers\aswMon2.sys [2011-01-13

100176]
R2 irda;Protokol IrDA; C:\WINDOWS\system32\DRIVERS\irda.sys [2008-04-13

88192]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;

C:\WINDOWS\system32\DRIVERS\Amps2prt.sys [2006-05-09 13824]
R3 HDAudBus;Ovladač Microsoft UAA pro sběrnici High Definition Audio;

C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 HidUsb;Ovladač třídy standardu HID;

C:\WINDOWS\system32\DRIVERS\hidusb.sys [2008-04-13 10368]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM);

C:\WINDOWS\system32\drivers\RtkHDAud.sys [2007-01-30 4474368]
R3 MouseCap;MouseCapture Driver;

C:\WINDOWS\System32\Drivers\MouseCap.sys [2005-08-08 6640]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-03-17 3655712]
R3 Rasirda;WAN Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys

[2001-08-17 19584]
R3 ROOTMODEM;Microsoft Legacy Modem Driver;

C:\WINDOWS\System32\Drivers\RootMdm.sys [2006-03-02 5888]
R3 RTL8023xp;Realtek 10/100/1000 PCI NIC Family NDIS XP Driver;

C:\WINDOWS\system32\DRIVERS\Rtnicxp.sys [2006-12-14 85120]
R3 usbccgp;Obecný nadřazený ovladač Microsoft USB;

C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2008-04-13 32128]
R3 usbuhci;Ovladač Microsoft univerzálního hostitelského řadiče USB od

společnosti Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys

[2008-04-13 20608]
R3 vsbus;Virtual Serial Bus Enumerator;

C:\WINDOWS\system32\DRIVERS\vsb.sys [2005-11-30 15264]
R4 InCDfs;InCD File System; C:\WINDOWS\system32\drivers\InCDFs.sys

[2006-11-10 102912]
S2 ELOADER;General Purpose USB Driver (adildr.sys);

C:\WINDOWS\System32\Drivers\adildr.sys [2007-02-07 56088]
S3 actser;actser; C:\WINDOWS\system32\drivers\actser.sys [2005-11-30

29440]
S3 adiusbaw;USB ADSL WAN Adapter;

C:\WINDOWS\system32\DRIVERS\adiusbaw.sys [2007-02-07 118552]
S3 apowsfah;apowsfah; C:\WINDOWS\system32\drivers\apowsfah.sys []
S3 Arp1394;Protokol 1394 ARP Client;

C:\WINDOWS\system32\DRIVERS\arp1394.sys [2008-04-13 60800]
S3 Memctl;Memctl; \??\C:\Program Files\U-ABIT\FlashMenu\Memctl.sys []
S3 Moufiltr;Mouse Test Driver; C:\WINDOWS\system32\DRIVERS\Moufiltr.sys

[2005-08-06 9661]
S3 mouhid;Ovladač myši standardu HID;

C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-10-24 12160]
S3 MSIRCOMM;Microsoft IR Communications Driver;

C:\WINDOWS\system32\DRIVERS\MSIRCOMM.sys [2008-04-13 22016]
S3 NIC1394;1394 Net Driver; C:\WINDOWS\system32\DRIVERS\nic1394.sys

[2008-04-13 61824]
S3 STIrUsb;SigmaTel USB-IrDA Dongle;

C:\WINDOWS\system32\DRIVERS\irstusb.sys [2001-08-17 26624]
S3 usbscan;Ovladač skeneru USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys

[2008-04-13 15104]
S3 USBSTOR;Ovladač velkokapacitního paměťového zařízení USB;

C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]
S3 vserial;ELTIMA Virtual Serial Ports Driver;

C:\WINDOWS\System32\DRIVERS\vserial.sys [2005-11-30 47744]
S3 WDC_SAM;WD SCSI Pass Thru driver;

C:\WINDOWS\system32\DRIVERS\wdcsam.sys [2009-02-13 11520]
S3 Winflash;WINFLASH; \??\C:\Program

Files\U-ABIT\FlashMenu\WinFlash.sys []
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework

Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28

77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework

Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto,

3=Demand, 4=Disabled)======

R2 avast! Antivirus;avast! Antivirus; C:\Program Files\Alwil

Software\Avast5\AvastSvc.exe [2011-01-13 40384]
R2 InCDsrv;InCD Helper; C:\Program Files\Nero 7\InCD\InCDsrv.exe

[2006-11-10 859136]
R2 Irmon;Sledování infračerveného přenosu;

C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
R2 JavaQuickStarterService;Java Quick Starter; C:\Program

Files\Java\jre6\bin\jqs.exe [2010-03-09 153376]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service;

C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2006-10-19 61440]
R2 NVSvc;NVIDIA Display Driver Service; C:\WINDOWS\system32\nvsvc32.exe

[2006-03-17 143426]
R2 SPF4;Sunbelt Personal Firewall 4; C:\Program Files\Sunbelt

Software\Personal Firewall\kpf4ss.exe [2007-04-26 1234480]
R2 TabletService;TabletService; C:\WINDOWS\system32\Tablet.exe

[2005-10-19 749568]
S3 aspnet_state;ASP.NET State Service;

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe

[2008-07-25 34312]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service

v2.0.50727_X86;

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2008-07-25

69632]
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0;

C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe

[2008-07-29 46104]
S3 idsvc;Windows CardSpace;

C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication

Foundation\infocard.exe [2008-07-29 881664]
S3 NMIndexingService;NMIndexingService; C:\Program Files\Common

Files\Ahead\Lib\NMIndexingService.exe [2006-12-23 262144]
S3 WudfSvc;Windows Driver Foundation - User-mode Driver Framework;

C:\WINDOWS\system32\svchost.exe [2008-04-14 14336]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service;

C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication

Foundation\SMSvcHost.exe [2008-07-29 132096]

-----------------EOF-----------------

[vyosek]

Zdravim a pekny den preji

mbr rootkit je specifickym druhem haveti - ani reinstalem systemu se ho nezbavite Ale zatim netreba panikarit, pekne pokracujte co budu psat...

Pouzivate Grub nebo nejaky jiny bootloader - vecicka, ktera Vam dava na vyber, pri startu PC, ktery system chcete spustit (napr. jestli Win ci Linux)

Stahnete Bootkit Remover http://www.esagelab.com/files/bootkit_remover.rar

• Rozbalte nejlepe na plochu a spustte
• Kliknete pravym mysidlem do okna a klik na Vybrat vše - text bude na bilem pozadi a pak stisknout Enter - text bude na cernem pozadi (pokud po enteru pozadi nezcerna, tak stisknete Ctrl+C)
• Stisknete libovolnou klavesu pro ukoceni utility
• Sem pak vlozte log pomoci tradicni zkratky Ctrl+V

[mattey]

Tak už jsem asi přišel na některé funkce toho rootkitu:
1) Povoluje funkci Vzdálená plocha - když to zakážu, po restartu je to zas povolené. (Samozřejmě jsem to teď zas vypnul.) Zdá se, že toho ještě nikdo nestihnul zneužít.
2) A taky možná blokuje odhlášení na webu např. z mailu, ale i všude jinde. Nenaskočí zpráva o úspěšném odhlášení - místo ní je prázdné bílé okno a firefox vlevo dole hlásí: Hotovo. To však asi nefunguje úplně, protože při načtení nového přihlašovacího formuláře jsem odhlášený.

Operační systém mám jen jeden (Win XP, SP3). Takže asi nic takového.
(Jediné co mi asi dává na výběr, co spustit, je ta konzola pro zotavení. Tam jsou na výběr 3 možnosti. Myslím, že název každé z těch tří začíná: Microsoft Windows něco něco. Víc jsem nepřečetl. Klávesnice mi funguje asi až po spuštění ovladače po startu Windows.)

Teď jdu na ten Bootkit Remover.

[mattey]

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build

2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 Controlled by rootkit!

Boot code on some of your physical disks is hidden by a rootkit.
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]


Done;
Press any key to quit

[vyosek]

Jojo rootkit tam je - bohuzel u tech mbr rootkitu se tezko urcuje co vse delaji - mohou stahovat havet, blokovat nektere fukce apod...

Presunte bootkit remover na plochu, jestli jej tam jeste nemate

Kliknete na Start a pote Spustit, pripadne pouzijte klavesou zkratku Win+R

• Vyskoci na Vas okenko, do ktereho zkopirujte text nize

• Kód: Vybrat vše

  "%userprofile%\plocha\remover.exe" fix \\.\PhysicalDrive0

• Kliknete na OK
• Restartujte PC
• Zopakujte sken s bootkit removerem, log opet sem

[mattey]

Provedeno.

Po restartu už se neobnovilo povolení Vzdálené plochy a odhlášení z e-mailu na webu probíhá standardně. Takže to funguje:-)

Hned po restartu se objevila hláška:
Systém Windows dokončil instalaci nových zařízení. Software zařízení vyžaduje restartování počítače. Nové nastavení se projeví až po restartování počítače.
Chcete počítač restartovat?
Ano/Ne

Dal jsem zatím pro jistotu Ne. Možná to s tím vůbec nesouvisí. Ale nepamatuju se, že bych někdy podobnou hlášku viděl. Automatické aktualizace mám nastavené na sobotu. Když to potřebuje restart tak mi začne odpočítávat a můžu to jen odložit. Takhle se mě to na restart běžně neptá.

Jo a těsně před tím restartem mě zase Avast upozornil rootkit. Dal jsem Smazat. Neměl být ale už pryč?


Log z Bootkit Removeru:

Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com

Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)

System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
Boot sector MD5 is: 6def5ffcbcdbdb4082f1015625e597bd

Size Device Name MBR Status
--------------------------------------------
74 GB \\.\PhysicalDrive0 OK (DOS/Win32 Boot code found)


Done;
Press any key to quit...

[vyosek]

Avast mohl hlasit rootkita ne mbr rootkita...

PROSIM CTETE DUKLADNE NAVOD - TATO UTILITA MA VELKOU SCHOPNOST MAZAT A JE NUTNE JI APLIKOVAT JEN NA DOPORUCENI, JINAK VAM MUZE JIT SYSTEM DO KYTEK
Stahnete a ulozte na plochu Combofix http://download.bleepingcomputer.com/sUBs/ComboFix.exe

• Vypnete vsechny rezidentni bezpecnostní programy - firewally, antiviry, antispywary apod.
• Pokud mate Win XP spustte pod uctem Spravce\Administratora
• Pokud mate Win Vista ci Win 7, kliknete na Combofix pravym a dejte Run As Administrator ci Spustit jako spravce
• Ihned po startu se zobrazi stranka s licencnim ujednanim, pokracujte kliknutim na Ano
• Pokud Vam CF nabidne instalaci Konzoly pro zotaveni, tak souhlaste
• Dale postupujte dle pokynu, behem scanu nechte PC naprosto v klidu - nespoustejte zadne aplikace a neklikejte do zobrazujiciho se okna
• Scan by mel trvat cca 10 min, ale pokud bude PC hodne zaneseno, muze se cas prodlouzit
• Po dokonceni skenu a pripadnem restartu CF zobrazi log, pripadne jej najdete zde C:\ComboFix.txt, jeho obsah sem vlozte
• Detailni postup vc. obrazku mate zde http://www.bleepingcomputer.com/combofi ... t-combofix

[mattey]

ComboFix 11-02-21.02 - mattey 22.02.2011 18:35:06.3.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2046.1522 [GMT 1:00]
Spuštěný z: c:\documents and settings\mattey\Plocha\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sunbelt Personal Firewall *Disabled* {BFD080F6-3BF0-40E1-9507-9CA969C35870}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Thumbs.db

.
((((((((((((((((((((((((( Soubory vytvořené od 2011-01-22 do 2011-02-22 )))))))))))))))))))))))))))))))
.

2011-02-20 16:32 . 2011-01-13 08:37 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2011-02-20 16:32 . 2011-01-13 08:41 294608 ----a-w- c:\windows\system32\drivers\aswSP.sys
2011-02-20 16:32 . 2011-01-13 08:37 23632 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2011-02-20 16:32 . 2011-01-13 08:40 47440 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2011-02-20 16:32 . 2011-01-13 08:40 100176 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2011-02-20 16:32 . 2011-01-13 08:39 94544 ----a-w- c:\windows\system32\drivers\aswmon.sys
2011-02-20 16:32 . 2011-01-13 08:37 29392 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2011-02-20 16:31 . 2011-01-13 08:47 38848 ----a-w- c:\windows\avastSS.scr
2011-02-20 16:31 . 2011-01-13 08:47 188216 ----a-w- c:\windows\system32\aswBoot.exe
2011-02-20 14:40 . 2011-02-20 14:40 -------- d-----w- c:\documents and settings\mattey\Data aplikací\SUPERAntiSpyware.com
2011-02-20 14:40 . 2011-02-20 14:40 -------- d-----w- c:\documents and settings\All Users\Data aplikací\SUPERAntiSpyware.com
2011-02-20 14:38 . 2011-02-20 14:40 -------- d-----w- c:\program files\SUPERAntiSpyware
2011-02-18 17:13 . 2011-02-18 17:13 -------- d-----w- C:\rsit
2011-02-18 16:38 . 2011-02-19 22:51 -------- d-----w- c:\program files\CCleaner
2011-02-17 18:55 . 2011-02-21 19:10 -------- d-----w- c:\program files\trend micro
2011-02-17 17:31 . 2011-02-17 17:31 -------- d-----w- c:\documents and settings\mattey\Data aplikací\Malwarebytes
2011-02-17 17:31 . 2011-02-17 17:31 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-02-17 17:31 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-17 17:31 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-02-17 17:31 . 2011-02-17 17:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-02-14 15:41 . 2011-02-14 15:41 -------- d-----w- c:\program files\Western Digital
2011-02-14 15:41 . 2009-02-13 10:02 11520 ----a-w- c:\windows\system32\drivers\wdcsam.sys
2011-02-14 15:40 . 2011-02-14 15:40 -------- d-----w- c:\documents and settings\mattey\Local Settings\Data aplikací\Western Digital

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2006-03-02 12:00 440320 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2006-03-02 12:00 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2006-03-02 12:00 1854976 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2006-03-02 12:00 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:52 . 2006-03-02 12:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:52 . 2006-03-02 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-12-20 23:52 . 2006-03-02 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-12-20 17:25 . 2006-03-02 12:00 729088 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2006-03-02 12:00 385024 ----a-w- c:\windows\system32\html.iec
2010-12-09 15:15 . 2006-03-02 12:00 713216 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 15:14 . 2004-08-17 15:45 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-12-09 15:14 . 2006-03-02 12:00 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-12-09 14:30 . 2006-03-02 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-03-18 630784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 16116224]
"nwiz"="nwiz.exe" [2006-03-17 1519616]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-17 7561216]
"NvMediaCenter"="NvMCTray.dll" [2006-03-17 86016]
"WheelMouse"="c:\program files\A4Tech\Mouse\Amoumain.exe" [2006-02-17 163840]
"MagicKey"="c:\progra~1\KLAVES~1\MEDIAK~1\MagicKey.exe" [2004-03-15 45056]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-25 1957888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-8-25 1205840]
TabUserW.exe.lnk - c:\windows\system32\WTablet\TabUserW.exe [2008-2-5 114688]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CorelDRAW Graphics Suite 11b]
2004-06-22 23:15 729088 ----a-w- c:\program files\Corel\Corel Graphics 12\Languages\CZ\Programs\registration.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
2011-01-13 15:41 2424560 ----a-w- c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ICQ Service"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Sunbelt Software\\Personal Firewall\\kpf4gui.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\totalcmd\\TOTALCMD.EXE"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ZZZ_Gamesy\\OpenArena\\ioquake3.x86.exe"=
"c:\\Program Files\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:Remote Desktop
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"7785:TCP"= 7785:TCP:Services
"7786:TCP"= 7786:TCP:Services
"9396:TCP"= 9396:TCP:Services
"9397:TCP"= 9397:TCP:Services
"6036:TCP"= 6036:TCP:Services
"6037:TCP"= 6037:TCP:Services
"6442:TCP"= 6442:TCP:Services
"6443:TCP"= 6443:TCP:Services
"3692:TCP"= 3692:TCP:Services
"5884:TCP"= 5884:TCP:Services
"6348:TCP"= 6348:TCP:Services
"9286:TCP"= 9286:TCP:Services
"5051:TCP"= 5051:TCP:Services
"3286:TCP"= 3286:TCP:Services
"9364:TCP"= 9364:TCP:Services
"4567:TCP"= 4567:TCP:Services
"7634:TCP"= 7634:TCP:Services
"5083:TCP"= 5083:TCP:Services
"8666:TCP"= 8666:TCP:Services
"5348:TCP"= 5348:TCP:Services
"5692:TCP"= 5692:TCP:Services
"6208:TCP"= 6208:TCP:Services
"8911:TCP"= 8911:TCP:Services
"4224:TCP"= 4224:TCP:Services
"3177:TCP"= 3177:TCP:Services
"5583:TCP"= 5583:TCP:Services
"1693:TCP"= 1693:TCP:Services
"7380:TCP"= 7380:TCP:Services
"7005:TCP"= 7005:TCP:Services
"5217:TCP"= 5217:TCP:Services
"8614:TCP"= 8614:TCP:Services
"9692:TCP"= 9692:TCP:Services
"8958:TCP"= 8958:TCP:Services
"5395:TCP"= 5395:TCP:Services
"2973:TCP"= 2973:TCP:Services

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [18.11.2007 21:23 685816]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [20.2.2011 17:32 294608]
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [26.4.2007 10:21 302000]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [26.4.2007 10:21 72624]
R1 UGURU;UGURU;c:\windows\system32\drivers\uGuru.sys [10.10.2007 23:02 14592]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [20.2.2011 17:32 17744]
R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;c:\windows\system32\drivers\Amps2prt.sys [9.5.2006 9:27 13824]
R3 MouseCap;MouseCapture Driver;c:\windows\system32\drivers\MouseCap.sys [8.8.2005 13:44 6640]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [17.2.2010 19:25 12872]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [10.5.2010 19:41 67656]
S2 ELOADER;General Purpose USB Driver (adildr.sys);c:\windows\system32\drivers\adildr.sys [18.8.2008 20:48 56088]
S2 SPF4;Sunbelt Personal Firewall 4;c:\program files\Sunbelt Software\Personal Firewall\kpf4ss.exe [26.4.2007 10:21 1234480]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [14.2.2011 16:41 11520]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
uInternet Connection Wizard,ShellNext = iexplore
FF - ProfilePath - c:\documents and settings\mattey\Data aplikací\Mozilla\Firefox\Profiles\oe4268xj.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.cz/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
.
------- Asociace souborů -------
.
.scr=AutoCADScriptFile
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-22 18:40
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(888)
c:\program files\SUPERAntiSpyware\SASWINLO.DLL
.
Celkový čas: 2011-02-22 18:44:17
ComboFix-quarantined-files.txt 2011-02-22 17:44

Před spuštěním: 8 558 125 056
Po spuštění: 8 512 823 296

- - End Of File - - 058DCC23F6CD2CA69CF118BBEB68F1C5

[vyosek]

Log vypada cisty, co PC, jak se chova

[mattey]

Stal se menší průšvih, zmizely mi záložky ve firefoxu
Šlo by to nějak vrátit?

[vyosek]

Restart PC, mackat F8, zvolit Posledni znama funkcni konfigurace...ale nevim ze by je CF vyhazoval...nebo si je tam nazate rucne zpatky...

[mattey]

Jinak PC se chova celkem normálně. Dva projevy infekce, které jsem předtím popsal, už zmizely.
Kontrola avastu na rootkity probíhá normálně po restartu. Mám to zkusit estartovat?

[mattey]

No na to obnovení konfigurace si musím půjčit jinou klávesnici. Budu ji mít asi tak ve 20:00... :-/

[vyosek]

Dobre Nebo je velky si tam ty zalozky nahazet rucne?

[mattey]

Tak se velice omlouvám - problém nastal mezi židlíí a klávesnicí
Záložky tam jsou, jen se schovaly a já se při jejich zapnutí překliknul vedle.