Dobrý den,
nemohu se zbavit autorun.inf s textem:
[autorun]
USEAUTOPLAY=1
shellexcute=luckasta//tamanten.exe
icon=luckasta//tamanten.exe
Shell\going\home
#ęË×ÄÔŃŔĘËŽ×Ôëęă×ÔŚĹĘŁĂÎ×ĺšęĎŽśšęôžî÷śšĽô÷śšĽă׌ŠĽăčë÷śšăĽôŚÎ×ëśšĽÎ×čęžśš÷꼊Ô
open=luckasta//tamanten.exe
shell\\\\\\Open\\\\\\command=luckasta//tamanten.exe
shell\\\\\\Explore\\\\\\command=luckasta//tamanten.exe
action=Open folder to view files using Windows Explorer
Už se rozšířil prakticky po všech médiích:) Zajímalo by mě, jestli jsou automaticky nakaženy i počítače, kde byl flashdisk, nebo exter zapojený? Jinak abych nedzdržoval zbytečnou omáčkou, provedl jsem první scan pomocí combofixu, je zde:
ComboFix 11-02-27.03 - HASH 28.02.2011 18:38:20.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.1790.959 [GMT 1:00]
Spuštěný z: c:\users\HASH\Desktop\ComboFix.exe
AV: Trend Micro Internet Security Pro *Disabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
FW: Trend Micro Personal Firewall *Disabled* {70A91CD9-303D-A217-A80E-6DEE136EDB2B}
SP: Trend Micro Internet Security Pro *Disabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\programdata\common.data
c:\users\HASH\AppData\Roaming\juzjf.exe.ren
c:\users\HASH\AppData\Roaming\Microsoft\minnal.exe
c:\users\HASH\AppData\Roaming\winsysdrv32.txt
c:\users\HASH\xvlof.exe
c:\windows\system32\drivers\str.sys
c:\windows\system32\service
c:\windows\system32\service\23022011_TIS17_SfFniAU.log
H:\autorun.inf
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-01-28 do 2011-02-28 )))))))))))))))))))))))))))))))
.
2011-02-28 17:46 . 2011-02-28 17:47 -------- d-----w- c:\users\HASH\AppData\Local\temp
2011-02-28 17:46 . 2011-02-28 17:46 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-02-28 17:35 . 2011-02-28 17:36 -------- d-----w- C:\32788R22FWJFW
2011-02-28 12:32 . 2011-02-28 12:32 -------- d-----w- c:\programdata\WindowsSearch
2011-02-26 17:38 . 2010-07-30 17:29 249424 ----a-w- c:\windows\system32\drivers\tmxpflt.sys
2011-02-26 17:38 . 2010-07-30 17:06 1331512 ----a-w- c:\windows\system32\drivers\vsapint.sys
2011-02-26 17:38 . 2010-07-30 17:29 36432 ----a-w- c:\windows\system32\drivers\tmpreflt.sys
2011-02-22 22:35 . 2011-02-22 22:35 -------- d-----w- c:\users\HASH\AppData\Local\Trend Micro
2011-02-22 22:18 . 2011-02-26 17:28 -------- d-----w- c:\programdata\Trend Micro
2011-02-22 22:17 . 2011-02-22 22:21 -------- d-----w- c:\program files\Trend Micro
2011-02-22 21:25 . 2011-02-22 21:25 89872 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2011-02-22 21:25 . 2011-02-22 21:25 283152 ----a-w- c:\windows\system32\drivers\tmwfp.sys
2011-02-22 21:25 . 2011-02-22 21:25 146448 ----a-w- c:\windows\system32\drivers\tmlwf.sys
2011-02-22 21:25 . 2010-07-19 18:03 59472 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2011-02-22 21:25 . 2010-07-19 18:03 51792 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2011-02-22 21:25 . 2010-07-19 18:02 163408 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2011-02-22 21:23 . 2011-02-22 21:24 -------- d-----w- c:\program files\Launch Manager
2011-02-21 19:46 . 2011-02-21 19:46 89500 ---h--w- c:\users\HASH\VSPVSAVDAV.exe
2011-02-21 19:08 . 2011-02-02 16:10 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9AA8E3E3-2869-41CC-A4B4-7E5FBC03D830}\mpengine.dll
2011-02-21 19:01 . 2011-02-21 19:08 -------- d-----w- c:\program files\WinClamAVShield
2011-02-21 18:00 . 2011-02-21 17:59 42496 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nijo86a3w1.exe
2011-02-21 18:00 . 2011-02-21 17:59 42496 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\i6jufq4ci.exe
2011-02-21 17:59 . 2011-02-21 17:59 39936 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\y81k3g1x7.exe
2011-02-20 21:21 . 2011-02-21 20:33 -------- d-sh--r- c:\users\HASH\Microsoft-Update-Service-8-8586-7578-5800
2011-02-20 14:34 . 2011-02-20 14:34 42496 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inyjkfl6.exe
2011-02-20 14:34 . 2011-02-20 14:34 43008 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\81whdyo.exe
2011-02-20 14:34 . 2011-02-20 14:34 43008 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\te2v5b03i.exe
2011-02-20 14:26 . 2008-09-26 17:04 621056 ----a-w- c:\windows\system32\drivers\mod7700.sys
2011-02-20 14:26 . 2008-09-26 17:04 113152 ----a-w- c:\windows\system32\drivers\ewusbnet.sys
2011-02-20 14:26 . 2008-09-26 17:04 101760 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2011-02-20 14:26 . 2008-09-26 17:03 23424 ----a-w- c:\windows\system32\drivers\ewdcsc.sys
2011-02-20 14:15 . 2011-02-20 14:27 -------- d-----w- c:\program files\O2 Mobilni internet
2011-02-18 16:54 . 2011-02-23 20:29 -------- d-----w- c:\users\HASH\AppData\Roaming\Spyware Terminator
2011-02-18 16:54 . 2011-02-18 16:54 142592 ----a-w- c:\windows\system32\drivers\sp_rsdrv2.sys
2011-02-18 16:54 . 2011-02-23 20:29 -------- d-----w- c:\program files\Spyware Terminator
2011-02-18 16:54 . 2011-02-22 22:08 -------- d-----w- c:\programdata\Spyware Terminator
2011-02-16 17:06 . 2011-02-21 20:34 -------- d-----w- c:\users\HASH\AppData\Roaming\xtrvicdrwwunip2mlmaddyrxybujtpve2
2011-02-16 16:02 . 2011-02-16 16:02 -------- d-----w- c:\users\HASH\AppData\Roaming\xfznlgljfuqzpjtydnm2jnhvcmkma2td2
2011-02-16 15:06 . 2011-02-16 15:06 -------- d-----w- c:\users\HASH\AppData\Roaming\xqovcskxewp3zzbnjdfbbwrodtvywtgs2
2011-02-15 20:32 . 2011-02-15 20:32 -------- d-----w- c:\users\HASH\AppData\Roaming\x3ironobhlcw1vrejgmvcb1zy32bz2sb2
2011-02-15 16:08 . 2011-02-15 16:08 -------- d-----w- c:\users\HASH\AppData\Roaming\xodgblavjvlvxpdzrseio1ciy1pmebcw2
2011-02-13 21:43 . 2011-02-13 21:43 106496 ----a-w- c:\users\HASH\xvlof.exe.ren
2011-02-05 23:35 . 2011-02-05 23:35 18300 ----a-w- c:\windows\system32\MAIE62.tmp
2011-02-05 17:57 . 2003-11-10 17:14 729088 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2011-02-05 17:57 . 2003-11-10 17:13 69715 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2011-02-05 17:57 . 2003-11-10 17:12 266240 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2011-02-05 17:57 . 2003-11-10 17:12 192512 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2011-02-05 17:57 . 2003-11-10 17:11 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2011-02-05 17:57 . 2011-02-05 17:57 311428 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2011-02-05 17:57 . 2011-02-05 17:57 188548 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 16:11 . 2010-08-16 19:34 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-19 19:07 . 2011-01-19 19:07 515848 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"SpywareTerminatorUpdate"="c:\program files\Spyware Terminator\SpywareTerminatorUpdate.exe" [2011-02-18 3318784]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-12-14 192512]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2010-01-26 1020248]
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
81whdyo.exe [2011-2-20 43008]
i6jufq4ci.exe [2011-2-21 42496]
inyjkfl6.exe [2011-2-20 42496]
nijo86a3w1.exe [2011-2-21 42496]
te2v5b03i.exe [2011-2-20 43008]
y81k3g1x7.exe [2011-2-21 39936]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2154561694-2073593054-3152204118-1000]
"EnableNotificationsRef"=dword:00000001
R0 dwcyxaupgqww;dwcyxaupgqww;c:\windows\system32\drivers\muldapczzflmzi.sys [x]
R1 mailKmd;mailKmd; [x]
R3 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [2010-07-19 51792]
R3 TmPfw;Trend Micro Personal Firewall;c:\program files\Trend Micro\Internet Security\TmPfw.exe [2011-02-22 497008]
R3 TmProxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2011-02-22 689416]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-14 691696]
S1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2011-02-18 142592]
S1 tmlwf;Trend Micro NDIS 6.0 Filter Driver;c:\windows\system32\DRIVERS\tmlwf.sys [2011-02-22 146448]
S2 tmpreflt;tmpreflt;c:\windows\system32\DRIVERS\tmpreflt.sys [2010-07-30 36432]
S2 tmwfp;Trend Micro WFP Callout Driver;c:\windows\system32\DRIVERS\tmwfp.sys [2011-02-22 283152]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]
--- Ostatní služby/ovladače v paměti ---
*Deregistered* - ttwzzs
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Export do &Tahiti - c:\program files\LightComp Tahiti 5\iehelper.html
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-28 18:47
Windows 6.0.6002 Service Pack 2 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ttwzzs]
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Celkový čas: 2011-02-28 18:49:53
ComboFix-quarantined-files.txt 2011-02-28 17:49
Před spuštěním: Volných bajtů: 58 686 013 440
Po spuštění: Volných bajtů: 58 642 530 304
- - End Of File - - 60CBF0F2F14539F116E472AB2CF536F6
Zatím díky
Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
Další autorun.inf
Moderátor: Moderátoři
Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
-
Caroprd111
- VIP
- Příspěvky: 13492
- Registrován: 22 bře 2009 20:48
- Bydliště: Třebíč
- Kontaktovat uživatele:
-
lancer_bobek
- Návštěvník
- Příspěvky: 24
- Registrován: 28 úno 2011 19:00
Re: Další autorun.inf
Bohužel jsem už v zoufalství přečetl hromadu témat se stejným problémem:D Nechtěl jsem zdržovat... Nechal jsem zapojenou většinu přenosových médií, které mám..Je to špatně?
-
Caroprd111
- VIP
- Příspěvky: 13492
- Registrován: 22 bře 2009 20:48
- Bydliště: Třebíč
- Kontaktovat uživatele:
Re: Další autorun.inf
Uvědomte si, že použitím ComboFixu jste mi akorát zamaskoval stopy po havěti a možná si tím způsobil další problémy, přinejmenším zkomplikoval práci. ComboFix se nedoporučuje používat bez dozoru zkušené osoby a většinou kontroly logu z jiného detekčního programu, případně spuštění CF s příslušným parametrem. Rádce ví, jak případné legitimní smazané soubory obnovit, zná příkazy, dokáže se orientovat v logu atp. Nejde jen o problém restartování PC v případě, když vir smaže knihovnu hal.dll, ale o nespočet dalších věcí, které často nelze ani předpovídat.
Pokračujte podle návodu dole na stránce http://www.viry.cz/forum/viewtopic.php?f=24&t=102308
Pokračujte podle návodu dole na stránce http://www.viry.cz/forum/viewtopic.php?f=24&t=102308
-
lancer_bobek
- Návštěvník
- Příspěvky: 24
- Registrován: 28 úno 2011 19:00
Re: Další autorun.inf
Log z USB Fixu:
############################## | UsbFix 7.014 | [Deletion]
User: HASH (Administrator) # HASH-PC [FUJITSU SIEMENS AMILO Li 1718]
Updated 24/06/10 by El Desaparecido / C_XX
Started at 20:06:46 | 28/02/2011
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Genuine Intel(R) CPU T2130 @ 1.86GHz
CPU 2: Genuine Intel(R) CPU T2130 @ 1.86GHz
Microsoft® Windows Vista™ Home Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall: Disabled /!\
RAM -> 1790 Mb
C:\ (%systemdrive%) -> Fixed drive # 137 Gb (55 Mb free - 40%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> Removable drive # 974 Mb (608 Mb free - 62%) [LANCER] # FAT
G:\ -> Removable drive # 176 Mb (77 Mb free - 44%) [PHONE] # FAT
H:\ -> Fixed drive # 596 Gb (313 Mb free - 52%) [Transcend-lancer] # NTFS
I:\ -> Removable drive # 15 Gb (15 Mb free - 99%) [KINGSTON] # NTFS
J:\ -> Removable drive # 4 Gb (7 Mb free - 0%) [PHONE CARD] # FAT32
################## | Files # Infected Folders |
Deleted ! G:\Autorun.inf
Deleted ! J:\Autorun.inf
################## | Registry |
################## | Mountpoints2 |
################## | Listing |
[28/02/2011 - 20:10:43 | SHD ] C:\$RECYCLE.BIN
[28/02/2011 - 18:36:33 | D ] C:\32788R22FWJFW
[18/09/2006 - 22:43:36 | A | 24] C:\autoexec.bat
[28/02/2011 - 19:51:14 | RASHD ] C:\Autorun.inf
[12/10/2009 - 09:41:34 | D ] C:\Boot
[11/04/2009 - 14:18:38 | RASH | 333257] C:\bootmgr
[12/10/2009 - 09:41:36 | RAS | 8192] C:\BOOTSECT.BAK
[28/02/2011 - 18:49:58 | D ] C:\ComboFix
[28/02/2011 - 18:49:54 | A | 12518] C:\ComboFix.txt
[18/09/2006 - 22:43:37 | A | 10] C:\config.sys
[02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
[14/12/2009 - 15:19:01 | D ] C:\fsc.tmp
[06/02/2011 - 09:44:40 | D ] C:\game
[27/02/2011 - 15:08:29 | ASH | 1877196800] C:\hiberfil.sys
[04/05/2010 - 20:42:47 | RASH | 0] C:\IO.SYS
[04/05/2010 - 20:42:47 | RASH | 0] C:\MSDOS.SYS
[14/12/2009 - 19:07:37 | RD ] C:\MSOCache
[27/02/2011 - 15:08:27 | ASH | 2191020032] C:\pagefile.sys
[21/01/2008 - 03:32:31 | D ] C:\PerfLogs
[22/02/2011 - 23:17:37 | RD ] C:\Program Files
[28/02/2011 - 18:45:59 | D ] C:\ProgramData
[28/02/2011 - 18:49:58 | AD ] C:\Qoobox
[27/02/2011 - 17:40:10 | SHD ] C:\System Volume Information
[28/02/2011 - 20:10:43 | D ] C:\UsbFix
[28/02/2011 - 20:06:47 | A | 2404] C:\UsbFix.txt
[28/02/2011 - 19:51:20 | A | 91945] C:\UsbFix_Upload_Me_HASH-PC.zip
[12/10/2009 - 08:54:07 | RD ] C:\Users
[28/02/2011 - 18:49:56 | D ] C:\Windows
[24/12/2010 - 13:09:52 | D ] F:\HBCD
[08/11/2010 - 15:42:08 | A | 36102] F:\HBCD.txt
[08/11/2010 - 15:42:08 | A | 37] F:\HBCD Menu.cmd
[08/11/2010 - 15:42:08 | A | 3681] F:\changes.txt
[15/09/2010 - 20:21:06 | A | 4562] F:\VOBER_JAKUB.p12
[28/02/2011 - 19:51:16 | RASHD ] F:\Autorun.inf
[01/01/2000 - 00:09:12 | D ] G:\music
[01/01/2000 - 00:09:12 | D ] G:\picture
[01/01/2000 - 00:09:12 | D ] G:\other
[01/01/2000 - 00:09:12 | D ] G:\theme
[01/01/2000 - 00:09:12 | D ] G:\video
[01/01/2000 - 00:09:12 | D ] G:\webpage
[01/01/2000 - 00:09:12 | HD ] G:\system
[01/01/2000 - 00:09:12 | D ] G:\DCIM
[28/02/2011 - 19:06:44 | RH | 4674] G:\default-capability.xml
[27/02/2011 - 16:00:34 | RSHD ] G:\luckasta
[27/02/2011 - 16:30:23 | D ] H:\!!-=HUDBA=-
[28/02/2011 - 20:10:43 | D ] H:\$RECYCLE.BIN
[18/02/2011 - 22:21:14 | D ] H:\-=DOKUMENTY=-
[27/02/2011 - 16:31:13 | D ] H:\-=FOTO=-
[13/02/2011 - 17:09:35 | D ] H:\-=HRY=-
[27/10/2010 - 21:44:57 | D ] H:\-=KARAOKE=-
[18/02/2011 - 20:38:57 | D ] H:\-=PROGRAMY=-
[18/02/2011 - 22:13:02 | D ] H:\-=SKOLA=-
[18/02/2011 - 20:34:29 | D ] H:\-=VIDEO=-
[28/02/2011 - 19:51:19 | RASHD ] H:\Autorun.inf
[28/02/2011 - 18:26:31 | RD ] H:\luckasta
[28/02/2011 - 19:46:18 | D ] H:\RECYCLER
[27/10/2010 - 09:08:04 | SHD ] H:\System Volume Information
[16/12/2010 - 22:23:46 | D ] H:\ZALOHA DISK
[18/02/2011 - 21:59:01 | D ] H:\ZALOHA FLASH
[27/02/2011 - 16:30:39 | D ] H:\zaloha flash 2
[27/02/2011 - 16:30:39 | D ] H:\ZALOHA FLASH 3
[27/02/2011 - 16:30:41 | D ] H:\ZALOHA ZEN
[27/02/2011 - 16:30:23 | D ] H:\ZALOHA ZEN_2
[28/02/2011 - 19:51:19 | RASHD ] I:\Autorun.inf
[28/02/2011 - 18:27:03 | RSHD ] I:\luckasta
[01/01/1601 - 01:00:00 | RH | 0] J:\MEMSTICK.IND
[01/01/1601 - 01:00:00 | RH | 0] J:\MSTK_PRO.IND
[26/03/2009 - 13:22:00 | D ] J:\DCIM
[26/03/2009 - 13:22:00 | D ] J:\music
[26/03/2009 - 13:22:02 | D ] J:\picture
[26/03/2009 - 13:22:02 | D ] J:\other
[26/03/2009 - 13:22:02 | D ] J:\video
[26/03/2009 - 13:22:02 | D ] J:\theme
[26/03/2009 - 13:22:02 | D ] J:\webpage
[26/03/2009 - 13:22:02 | HD ] J:\system
[28/02/2011 - 19:06:54 | RH | 4674] J:\default-capability.xml
[26/03/2009 - 17:21:46 | D ] J:\Simsnovi
[20/04/2009 - 21:11:00 | D ] J:\GoogleAppsData
[27/02/2011 - 16:00:58 | RSHD ] J:\luckasta
################## | Vaccin |
C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
################## | Upload |
Please send the file: C:\UsbFix_Upload_Me_HASH-PC.zip
http://chiquitine.changelog.fr/Sample/Upload.php
Thank you for your contribution.
################## | E.O.F |
Vzpomněl jsem si, že jsem měl v poslední době ještě připojený mobil, to jsou disky G a I., ty v předchozím nebyly
############################## | UsbFix 7.014 | [Deletion]
User: HASH (Administrator) # HASH-PC [FUJITSU SIEMENS AMILO Li 1718]
Updated 24/06/10 by El Desaparecido / C_XX
Started at 20:06:46 | 28/02/2011
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com
CPU: Genuine Intel(R) CPU T2130 @ 1.86GHz
CPU 2: Genuine Intel(R) CPU T2130 @ 1.86GHz
Microsoft® Windows Vista™ Home Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall: Disabled /!\
RAM -> 1790 Mb
C:\ (%systemdrive%) -> Fixed drive # 137 Gb (55 Mb free - 40%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> Removable drive # 974 Mb (608 Mb free - 62%) [LANCER] # FAT
G:\ -> Removable drive # 176 Mb (77 Mb free - 44%) [PHONE] # FAT
H:\ -> Fixed drive # 596 Gb (313 Mb free - 52%) [Transcend-lancer] # NTFS
I:\ -> Removable drive # 15 Gb (15 Mb free - 99%) [KINGSTON] # NTFS
J:\ -> Removable drive # 4 Gb (7 Mb free - 0%) [PHONE CARD] # FAT32
################## | Files # Infected Folders |
Deleted ! G:\Autorun.inf
Deleted ! J:\Autorun.inf
################## | Registry |
################## | Mountpoints2 |
################## | Listing |
[28/02/2011 - 20:10:43 | SHD ] C:\$RECYCLE.BIN
[28/02/2011 - 18:36:33 | D ] C:\32788R22FWJFW
[18/09/2006 - 22:43:36 | A | 24] C:\autoexec.bat
[28/02/2011 - 19:51:14 | RASHD ] C:\Autorun.inf
[12/10/2009 - 09:41:34 | D ] C:\Boot
[11/04/2009 - 14:18:38 | RASH | 333257] C:\bootmgr
[12/10/2009 - 09:41:36 | RAS | 8192] C:\BOOTSECT.BAK
[28/02/2011 - 18:49:58 | D ] C:\ComboFix
[28/02/2011 - 18:49:54 | A | 12518] C:\ComboFix.txt
[18/09/2006 - 22:43:37 | A | 10] C:\config.sys
[02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
[14/12/2009 - 15:19:01 | D ] C:\fsc.tmp
[06/02/2011 - 09:44:40 | D ] C:\game
[27/02/2011 - 15:08:29 | ASH | 1877196800] C:\hiberfil.sys
[04/05/2010 - 20:42:47 | RASH | 0] C:\IO.SYS
[04/05/2010 - 20:42:47 | RASH | 0] C:\MSDOS.SYS
[14/12/2009 - 19:07:37 | RD ] C:\MSOCache
[27/02/2011 - 15:08:27 | ASH | 2191020032] C:\pagefile.sys
[21/01/2008 - 03:32:31 | D ] C:\PerfLogs
[22/02/2011 - 23:17:37 | RD ] C:\Program Files
[28/02/2011 - 18:45:59 | D ] C:\ProgramData
[28/02/2011 - 18:49:58 | AD ] C:\Qoobox
[27/02/2011 - 17:40:10 | SHD ] C:\System Volume Information
[28/02/2011 - 20:10:43 | D ] C:\UsbFix
[28/02/2011 - 20:06:47 | A | 2404] C:\UsbFix.txt
[28/02/2011 - 19:51:20 | A | 91945] C:\UsbFix_Upload_Me_HASH-PC.zip
[12/10/2009 - 08:54:07 | RD ] C:\Users
[28/02/2011 - 18:49:56 | D ] C:\Windows
[24/12/2010 - 13:09:52 | D ] F:\HBCD
[08/11/2010 - 15:42:08 | A | 36102] F:\HBCD.txt
[08/11/2010 - 15:42:08 | A | 37] F:\HBCD Menu.cmd
[08/11/2010 - 15:42:08 | A | 3681] F:\changes.txt
[15/09/2010 - 20:21:06 | A | 4562] F:\VOBER_JAKUB.p12
[28/02/2011 - 19:51:16 | RASHD ] F:\Autorun.inf
[01/01/2000 - 00:09:12 | D ] G:\music
[01/01/2000 - 00:09:12 | D ] G:\picture
[01/01/2000 - 00:09:12 | D ] G:\other
[01/01/2000 - 00:09:12 | D ] G:\theme
[01/01/2000 - 00:09:12 | D ] G:\video
[01/01/2000 - 00:09:12 | D ] G:\webpage
[01/01/2000 - 00:09:12 | HD ] G:\system
[01/01/2000 - 00:09:12 | D ] G:\DCIM
[28/02/2011 - 19:06:44 | RH | 4674] G:\default-capability.xml
[27/02/2011 - 16:00:34 | RSHD ] G:\luckasta
[27/02/2011 - 16:30:23 | D ] H:\!!-=HUDBA=-
[28/02/2011 - 20:10:43 | D ] H:\$RECYCLE.BIN
[18/02/2011 - 22:21:14 | D ] H:\-=DOKUMENTY=-
[27/02/2011 - 16:31:13 | D ] H:\-=FOTO=-
[13/02/2011 - 17:09:35 | D ] H:\-=HRY=-
[27/10/2010 - 21:44:57 | D ] H:\-=KARAOKE=-
[18/02/2011 - 20:38:57 | D ] H:\-=PROGRAMY=-
[18/02/2011 - 22:13:02 | D ] H:\-=SKOLA=-
[18/02/2011 - 20:34:29 | D ] H:\-=VIDEO=-
[28/02/2011 - 19:51:19 | RASHD ] H:\Autorun.inf
[28/02/2011 - 18:26:31 | RD ] H:\luckasta
[28/02/2011 - 19:46:18 | D ] H:\RECYCLER
[27/10/2010 - 09:08:04 | SHD ] H:\System Volume Information
[16/12/2010 - 22:23:46 | D ] H:\ZALOHA DISK
[18/02/2011 - 21:59:01 | D ] H:\ZALOHA FLASH
[27/02/2011 - 16:30:39 | D ] H:\zaloha flash 2
[27/02/2011 - 16:30:39 | D ] H:\ZALOHA FLASH 3
[27/02/2011 - 16:30:41 | D ] H:\ZALOHA ZEN
[27/02/2011 - 16:30:23 | D ] H:\ZALOHA ZEN_2
[28/02/2011 - 19:51:19 | RASHD ] I:\Autorun.inf
[28/02/2011 - 18:27:03 | RSHD ] I:\luckasta
[01/01/1601 - 01:00:00 | RH | 0] J:\MEMSTICK.IND
[01/01/1601 - 01:00:00 | RH | 0] J:\MSTK_PRO.IND
[26/03/2009 - 13:22:00 | D ] J:\DCIM
[26/03/2009 - 13:22:00 | D ] J:\music
[26/03/2009 - 13:22:02 | D ] J:\picture
[26/03/2009 - 13:22:02 | D ] J:\other
[26/03/2009 - 13:22:02 | D ] J:\video
[26/03/2009 - 13:22:02 | D ] J:\theme
[26/03/2009 - 13:22:02 | D ] J:\webpage
[26/03/2009 - 13:22:02 | HD ] J:\system
[28/02/2011 - 19:06:54 | RH | 4674] J:\default-capability.xml
[26/03/2009 - 17:21:46 | D ] J:\Simsnovi
[20/04/2009 - 21:11:00 | D ] J:\GoogleAppsData
[27/02/2011 - 16:00:58 | RSHD ] J:\luckasta
################## | Vaccin |
C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
################## | Upload |
Please send the file: C:\UsbFix_Upload_Me_HASH-PC.zip
http://chiquitine.changelog.fr/Sample/Upload.php
Thank you for your contribution.
################## | E.O.F |
Vzpomněl jsem si, že jsem měl v poslední době ještě připojený mobil, to jsou disky G a I., ty v předchozím nebyly
-
lancer_bobek
- Návštěvník
- Příspěvky: 24
- Registrován: 28 úno 2011 19:00
Re: Další autorun.inf
Oprava, mobil je G a J
-
Caroprd111
- VIP
- Příspěvky: 13492
- Registrován: 22 bře 2009 20:48
- Bydliště: Třebíč
- Kontaktovat uživatele:
Re: Další autorun.inf
Vyberte si jeden antispyware, zbývající odinstalujte.
Pokud nemáte, přesuňte Combofix na plochu.
Pokud nemáte, přesuňte Combofix na plochu.
- Otevřete si Poznámkový blok a zkopírujte do něj text z bílého okénka.
Kód: Vybrat vše
File::
c:\users\HASH\VSPVSAVDAV.exe
c:\users\HASH\xvlof.exe.ren
c:\windows\system32\MAIE62.tmp
c:\windows\system32\drivers\muldapczzflmzi.sys
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nijo86a3w1.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\i6jufq4ci.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\y81k3g1x7.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inyjkfl6.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\81whdyo.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\te2v5b03i.exe
Driver::
dwcyxaupgqww
mailKmd
Folder::
c:\users\HASH\AppData\Roaming\xtrvicdrwwunip2mlmaddyrxybujtpve2
c:\users\HASH\AppData\Roaming\xfznlgljfuqzpjtydnm2jnhvcmkma2td2
c:\users\HASH\AppData\Roaming\xqovcskxewp3zzbnjdfbbwrodtvywtgs2
c:\users\HASH\AppData\Roaming\x3ironobhlcw1vrejgmvcb1zy32bz2sb2
c:\users\HASH\AppData\Roaming\xodgblavjvlvxpdzrseio1ciy1pmebcw2
RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ttwzzs]- Uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
- Po uložení uchopte vámi vytvořený skript levým myšítkem a přesuňte ho nad ikonu Combofixu, kde ho upustíte:
- Po aplikaci na Vás vypadne další log,vložte ho sem
-
lancer_bobek
- Návštěvník
- Příspěvky: 24
- Registrován: 28 úno 2011 19:00
Re: Další autorun.inf
Dobrý den. Zdravím. Po včerejším doběhnutí skriptu je obsah logu následující:
ComboFix 11-02-27.03 - HASH 28.02.2011 21:36:45.3.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.1790.1190 [GMT 1:00]
Spuštěný z: c:\users\HASH\Desktop\ComboFix.exe
AV: Trend Micro Internet Security Pro *Enabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
FW: Trend Micro Personal Firewall *Enabled* {70A91CD9-303D-A217-A80E-6DEE136EDB2B}
SP: Trend Micro Internet Security Pro *Enabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Předchozí spuštění -------
.
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\81whdyo.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\i6jufq4ci.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inyjkfl6.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nijo86a3w1.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\te2v5b03i.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\y81k3g1x7.exe
c:\users\HASH\AppData\Roaming\x3ironobhlcw1vrejgmvcb1zy32bz2sb2\svcnost.exe
c:\users\HASH\AppData\Roaming\xfznlgljfuqzpjtydnm2jnhvcmkma2td2\svcnost.exe
c:\users\HASH\AppData\Roaming\xodgblavjvlvxpdzrseio1ciy1pmebcw2\svcnost.exe
c:\users\HASH\AppData\Roaming\xqovcskxewp3zzbnjdfbbwrodtvywtgs2\svcnost.exe
c:\users\HASH\xvlof.exe.ren
c:\windows\system32\MAIE62.tmp
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_dwcyxaupgqww
-------\Service_mailKmd
((((((((((((((((((((((((( Soubory vytvořené od 2011-01-28 do 2011-02-28 )))))))))))))))))))))))))))))))
.
2011-02-28 20:47 . 2011-02-28 20:47 -------- d-----w- c:\users\HASH\AppData\Local\temp
2011-02-28 20:47 . 2011-02-28 20:47 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-02-28 18:45 . 2011-02-28 19:10 -------- d-----w- C:\UsbFix
2011-02-28 12:32 . 2011-02-28 12:32 -------- d-----w- c:\programdata\WindowsSearch
2011-02-26 17:38 . 2010-07-30 17:29 249424 ----a-w- c:\windows\system32\drivers\tmxpflt.sys
2011-02-26 17:38 . 2010-07-30 17:06 1331512 ----a-w- c:\windows\system32\drivers\vsapint.sys
2011-02-26 17:38 . 2010-07-30 17:29 36432 ----a-w- c:\windows\system32\drivers\tmpreflt.sys
2011-02-22 22:35 . 2011-02-22 22:35 -------- d-----w- c:\users\HASH\AppData\Local\Trend Micro
2011-02-22 22:18 . 2011-02-26 17:28 -------- d-----w- c:\programdata\Trend Micro
2011-02-22 22:17 . 2011-02-22 22:21 -------- d-----w- c:\program files\Trend Micro
2011-02-22 21:25 . 2011-02-22 21:25 89872 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2011-02-22 21:25 . 2011-02-22 21:25 283152 ----a-w- c:\windows\system32\drivers\tmwfp.sys
2011-02-22 21:25 . 2011-02-22 21:25 146448 ----a-w- c:\windows\system32\drivers\tmlwf.sys
2011-02-22 21:25 . 2010-07-19 18:03 59472 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2011-02-22 21:25 . 2010-07-19 18:03 51792 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2011-02-22 21:25 . 2010-07-19 18:02 163408 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2011-02-22 21:23 . 2011-02-22 21:24 -------- d-----w- c:\program files\Launch Manager
2011-02-21 19:08 . 2011-02-02 16:10 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9AA8E3E3-2869-41CC-A4B4-7E5FBC03D830}\mpengine.dll
2011-02-20 21:21 . 2011-02-21 20:33 -------- d-sh--r- c:\users\HASH\Microsoft-Update-Service-8-8586-7578-5800
2011-02-20 14:26 . 2008-09-26 17:04 621056 ----a-w- c:\windows\system32\drivers\mod7700.sys
2011-02-20 14:26 . 2008-09-26 17:04 113152 ----a-w- c:\windows\system32\drivers\ewusbnet.sys
2011-02-20 14:26 . 2008-09-26 17:04 101760 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2011-02-20 14:26 . 2008-09-26 17:03 23424 ----a-w- c:\windows\system32\drivers\ewdcsc.sys
2011-02-20 14:15 . 2011-02-20 14:27 -------- d-----w- c:\program files\O2 Mobilni internet
2011-02-05 17:57 . 2003-11-10 17:14 729088 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2011-02-05 17:57 . 2003-11-10 17:13 69715 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2011-02-05 17:57 . 2003-11-10 17:12 266240 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2011-02-05 17:57 . 2003-11-10 17:12 192512 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2011-02-05 17:57 . 2003-11-10 17:11 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2011-02-05 17:57 . 2011-02-05 17:57 311428 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2011-02-05 17:57 . 2011-02-05 17:57 188548 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-28 19:10 . 2011-02-28 18:51 93824 ----a-w- C:\UsbFix_Upload_Me_HASH-PC.zip
2011-02-02 16:11 . 2010-08-16 19:34 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-19 19:07 . 2011-01-19 19:07 515848 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-12-14 192512]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2010-01-26 1020248]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2154561694-2073593054-3152204118-1000]
"EnableNotificationsRef"=dword:00000001
R3 CFcatchme;CFcatchme;c:\users\HASH\AppData\Local\Temp\CFcatchme.sys [x]
R3 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [2010-07-19 51792]
R3 TmPfw;Trend Micro Personal Firewall;c:\program files\Trend Micro\Internet Security\TmPfw.exe [2011-02-22 497008]
R3 TmProxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2011-02-22 689416]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-14 691696]
S1 tmlwf;Trend Micro NDIS 6.0 Filter Driver;c:\windows\system32\DRIVERS\tmlwf.sys [2011-02-22 146448]
S2 tmpreflt;tmpreflt;c:\windows\system32\DRIVERS\tmpreflt.sys [2010-07-30 36432]
S2 tmwfp;Trend Micro WFP Callout Driver;c:\windows\system32\DRIVERS\tmwfp.sys [2011-02-22 283152]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]
--- Ostatní služby/ovladače v paměti ---
*Deregistered* - ttwzzs
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Export do &Tahiti - c:\program files\LightComp Tahiti 5\iehelper.html
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-28 21:47
Windows 6.0.6002 Service Pack 2 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ttwzzs]
.
Celkový čas: 2011-02-28 21:57:40
ComboFix-quarantined-files.txt 2011-02-28 20:57
ComboFix2.txt 2011-02-28 17:49
Před spuštěním: Volných bajtů: 58 448 355 328
Po spuštění: Volných bajtů: 58 410 663 936
- - End Of File - - C24D2861AFFF8AE336B6E3840A5B8287
ComboFix 11-02-27.03 - HASH 28.02.2011 21:36:45.3.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.1790.1190 [GMT 1:00]
Spuštěný z: c:\users\HASH\Desktop\ComboFix.exe
AV: Trend Micro Internet Security Pro *Enabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
FW: Trend Micro Personal Firewall *Enabled* {70A91CD9-303D-A217-A80E-6DEE136EDB2B}
SP: Trend Micro Internet Security Pro *Enabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Předchozí spuštění -------
.
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\81whdyo.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\i6jufq4ci.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inyjkfl6.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nijo86a3w1.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\te2v5b03i.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\y81k3g1x7.exe
c:\users\HASH\AppData\Roaming\x3ironobhlcw1vrejgmvcb1zy32bz2sb2\svcnost.exe
c:\users\HASH\AppData\Roaming\xfznlgljfuqzpjtydnm2jnhvcmkma2td2\svcnost.exe
c:\users\HASH\AppData\Roaming\xodgblavjvlvxpdzrseio1ciy1pmebcw2\svcnost.exe
c:\users\HASH\AppData\Roaming\xqovcskxewp3zzbnjdfbbwrodtvywtgs2\svcnost.exe
c:\users\HASH\xvlof.exe.ren
c:\windows\system32\MAIE62.tmp
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_dwcyxaupgqww
-------\Service_mailKmd
((((((((((((((((((((((((( Soubory vytvořené od 2011-01-28 do 2011-02-28 )))))))))))))))))))))))))))))))
.
2011-02-28 20:47 . 2011-02-28 20:47 -------- d-----w- c:\users\HASH\AppData\Local\temp
2011-02-28 20:47 . 2011-02-28 20:47 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-02-28 18:45 . 2011-02-28 19:10 -------- d-----w- C:\UsbFix
2011-02-28 12:32 . 2011-02-28 12:32 -------- d-----w- c:\programdata\WindowsSearch
2011-02-26 17:38 . 2010-07-30 17:29 249424 ----a-w- c:\windows\system32\drivers\tmxpflt.sys
2011-02-26 17:38 . 2010-07-30 17:06 1331512 ----a-w- c:\windows\system32\drivers\vsapint.sys
2011-02-26 17:38 . 2010-07-30 17:29 36432 ----a-w- c:\windows\system32\drivers\tmpreflt.sys
2011-02-22 22:35 . 2011-02-22 22:35 -------- d-----w- c:\users\HASH\AppData\Local\Trend Micro
2011-02-22 22:18 . 2011-02-26 17:28 -------- d-----w- c:\programdata\Trend Micro
2011-02-22 22:17 . 2011-02-22 22:21 -------- d-----w- c:\program files\Trend Micro
2011-02-22 21:25 . 2011-02-22 21:25 89872 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2011-02-22 21:25 . 2011-02-22 21:25 283152 ----a-w- c:\windows\system32\drivers\tmwfp.sys
2011-02-22 21:25 . 2011-02-22 21:25 146448 ----a-w- c:\windows\system32\drivers\tmlwf.sys
2011-02-22 21:25 . 2010-07-19 18:03 59472 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2011-02-22 21:25 . 2010-07-19 18:03 51792 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2011-02-22 21:25 . 2010-07-19 18:02 163408 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2011-02-22 21:23 . 2011-02-22 21:24 -------- d-----w- c:\program files\Launch Manager
2011-02-21 19:08 . 2011-02-02 16:10 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9AA8E3E3-2869-41CC-A4B4-7E5FBC03D830}\mpengine.dll
2011-02-20 21:21 . 2011-02-21 20:33 -------- d-sh--r- c:\users\HASH\Microsoft-Update-Service-8-8586-7578-5800
2011-02-20 14:26 . 2008-09-26 17:04 621056 ----a-w- c:\windows\system32\drivers\mod7700.sys
2011-02-20 14:26 . 2008-09-26 17:04 113152 ----a-w- c:\windows\system32\drivers\ewusbnet.sys
2011-02-20 14:26 . 2008-09-26 17:04 101760 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2011-02-20 14:26 . 2008-09-26 17:03 23424 ----a-w- c:\windows\system32\drivers\ewdcsc.sys
2011-02-20 14:15 . 2011-02-20 14:27 -------- d-----w- c:\program files\O2 Mobilni internet
2011-02-05 17:57 . 2003-11-10 17:14 729088 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2011-02-05 17:57 . 2003-11-10 17:13 69715 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2011-02-05 17:57 . 2003-11-10 17:12 266240 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2011-02-05 17:57 . 2003-11-10 17:12 192512 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2011-02-05 17:57 . 2003-11-10 17:11 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2011-02-05 17:57 . 2011-02-05 17:57 311428 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2011-02-05 17:57 . 2011-02-05 17:57 188548 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-28 19:10 . 2011-02-28 18:51 93824 ----a-w- C:\UsbFix_Upload_Me_HASH-PC.zip
2011-02-02 16:11 . 2010-08-16 19:34 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-19 19:07 . 2011-01-19 19:07 515848 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-12-14 192512]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2010-01-26 1020248]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2154561694-2073593054-3152204118-1000]
"EnableNotificationsRef"=dword:00000001
R3 CFcatchme;CFcatchme;c:\users\HASH\AppData\Local\Temp\CFcatchme.sys [x]
R3 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [2010-07-19 51792]
R3 TmPfw;Trend Micro Personal Firewall;c:\program files\Trend Micro\Internet Security\TmPfw.exe [2011-02-22 497008]
R3 TmProxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2011-02-22 689416]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-14 691696]
S1 tmlwf;Trend Micro NDIS 6.0 Filter Driver;c:\windows\system32\DRIVERS\tmlwf.sys [2011-02-22 146448]
S2 tmpreflt;tmpreflt;c:\windows\system32\DRIVERS\tmpreflt.sys [2010-07-30 36432]
S2 tmwfp;Trend Micro WFP Callout Driver;c:\windows\system32\DRIVERS\tmwfp.sys [2011-02-22 283152]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]
--- Ostatní služby/ovladače v paměti ---
*Deregistered* - ttwzzs
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Export do &Tahiti - c:\program files\LightComp Tahiti 5\iehelper.html
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-28 21:47
Windows 6.0.6002 Service Pack 2 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ttwzzs]
.
Celkový čas: 2011-02-28 21:57:40
ComboFix-quarantined-files.txt 2011-02-28 20:57
ComboFix2.txt 2011-02-28 17:49
Před spuštěním: Volných bajtů: 58 448 355 328
Po spuštění: Volných bajtů: 58 410 663 936
- - End Of File - - C24D2861AFFF8AE336B6E3840A5B8287
-
Caroprd111
- VIP
- Příspěvky: 13492
- Registrován: 22 bře 2009 20:48
- Bydliště: Třebíč
- Kontaktovat uživatele:
Re: Další autorun.inf
Spusťte CF s následujícím skriptem, log vložte sem.
Kód: Vybrat vše
Driver::
ttwzzs-
lancer_bobek
- Návštěvník
- Příspěvky: 24
- Registrován: 28 úno 2011 19:00
Re: Další autorun.inf
No, mám log, ale píšu z jiného notebooku, protože mi nejde spustit žádný internetový prohlížeč. Píše pokus použít neplatnou operaci na klíč registru který je označen k odstranění. Mám restartovat počítač? Jinak asi log z počítače nedostanu. Nechci používat paměťová media, protože ne nich jsou opět složky luckasta se souborem tamanten.exe
-
lancer_bobek
- Návštěvník
- Příspěvky: 24
- Registrován: 28 úno 2011 19:00
Re: Další autorun.inf
Napadá mě jen to vyfotit přímo z obrazovky 
-
lancer_bobek
- Návštěvník
- Příspěvky: 24
- Registrován: 28 úno 2011 19:00
Re: Další autorun.inf
No vyfocení už taky nepřichází v úvahu, log se zavřel a se stejnou chybou už taky nejde spustit:(
-
lancer_bobek
- Návštěvník
- Příspěvky: 24
- Registrován: 28 úno 2011 19:00
Re: Další autorun.inf
Tak prohlizec se podarilo spustit jako spravce.
ComboFix 11-02-27.03 - HASH 01.03.2011 17:46:25.4.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.1790.1113 [GMT 1:00]
Spuštěný z: c:\users\HASH\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\HASH\Desktop\CFScript.txt
AV: Trend Micro Internet Security Pro *Disabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
FW: Trend Micro Personal Firewall *Disabled* {70A91CD9-303D-A217-A80E-6DEE136EDB2B}
SP: Trend Micro Internet Security Pro *Disabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TTWZZS
-------\Service_ttwzzs
((((((((((((((((((((((((( Soubory vytvořené od 2011-02-01 do 2011-03-01 )))))))))))))))))))))))))))))))
.
2011-03-01 17:00 . 2011-03-01 17:04 -------- d-----w- c:\users\HASH\AppData\Local\temp
2011-03-01 17:00 . 2011-03-01 17:00 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-02-28 18:45 . 2011-02-28 19:10 -------- d-----w- C:\UsbFix
2011-02-28 12:32 . 2011-02-28 12:32 -------- d-----w- c:\programdata\WindowsSearch
2011-02-26 17:38 . 2010-07-30 17:29 249424 ----a-w- c:\windows\system32\drivers\tmxpflt.sys
2011-02-26 17:38 . 2010-07-30 17:06 1331512 ----a-w- c:\windows\system32\drivers\vsapint.sys
2011-02-26 17:38 . 2010-07-30 17:29 36432 ----a-w- c:\windows\system32\drivers\tmpreflt.sys
2011-02-22 22:35 . 2011-02-22 22:35 -------- d-----w- c:\users\HASH\AppData\Local\Trend Micro
2011-02-22 22:18 . 2011-02-26 17:28 -------- d-----w- c:\programdata\Trend Micro
2011-02-22 22:17 . 2011-02-22 22:21 -------- d-----w- c:\program files\Trend Micro
2011-02-22 21:25 . 2011-02-22 21:25 89872 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2011-02-22 21:25 . 2011-02-22 21:25 283152 ----a-w- c:\windows\system32\drivers\tmwfp.sys
2011-02-22 21:25 . 2011-02-22 21:25 146448 ----a-w- c:\windows\system32\drivers\tmlwf.sys
2011-02-22 21:25 . 2010-07-19 18:03 59472 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2011-02-22 21:25 . 2010-07-19 18:03 51792 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2011-02-22 21:25 . 2010-07-19 18:02 163408 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2011-02-22 21:23 . 2011-02-22 21:24 -------- d-----w- c:\program files\Launch Manager
2011-02-21 19:08 . 2011-02-02 16:10 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9AA8E3E3-2869-41CC-A4B4-7E5FBC03D830}\mpengine.dll
2011-02-20 21:21 . 2011-02-21 20:33 -------- d-sh--r- c:\users\HASH\Microsoft-Update-Service-8-8586-7578-5800
2011-02-20 14:26 . 2008-09-26 17:04 621056 ----a-w- c:\windows\system32\drivers\mod7700.sys
2011-02-20 14:26 . 2008-09-26 17:04 113152 ----a-w- c:\windows\system32\drivers\ewusbnet.sys
2011-02-20 14:26 . 2008-09-26 17:04 101760 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2011-02-20 14:26 . 2008-09-26 17:03 23424 ----a-w- c:\windows\system32\drivers\ewdcsc.sys
2011-02-20 14:15 . 2011-02-20 14:27 -------- d-----w- c:\program files\O2 Mobilni internet
2011-02-15 16:10 . 2011-03-01 17:01 738816 ----a-w- c:\windows\system32\drivers\ttwzzs.sys
2011-02-05 17:57 . 2003-11-10 17:14 729088 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2011-02-05 17:57 . 2003-11-10 17:13 69715 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2011-02-05 17:57 . 2003-11-10 17:12 266240 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2011-02-05 17:57 . 2003-11-10 17:12 192512 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2011-02-05 17:57 . 2003-11-10 17:11 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2011-02-05 17:57 . 2011-02-05 17:57 311428 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2011-02-05 17:57 . 2011-02-05 17:57 188548 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-28 19:10 . 2011-02-28 18:51 93824 ----a-w- C:\UsbFix_Upload_Me_HASH-PC.zip
2011-02-02 16:11 . 2010-08-16 19:34 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-19 19:07 . 2011-01-19 19:07 515848 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-12-14 192512]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2010-01-26 1020248]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2154561694-2073593054-3152204118-1000]
"EnableNotificationsRef"=dword:00000001
R3 CFcatchme;CFcatchme;c:\users\HASH\AppData\Local\Temp\CFcatchme.sys [x]
R3 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [2010-07-19 51792]
R3 TmPfw;Trend Micro Personal Firewall;c:\program files\Trend Micro\Internet Security\TmPfw.exe [2011-02-22 497008]
R3 TmProxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2011-02-22 689416]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-14 691696]
S1 tmlwf;Trend Micro NDIS 6.0 Filter Driver;c:\windows\system32\DRIVERS\tmlwf.sys [2011-02-22 146448]
S2 tmpreflt;tmpreflt;c:\windows\system32\DRIVERS\tmpreflt.sys [2010-07-30 36432]
S2 tmwfp;Trend Micro WFP Callout Driver;c:\windows\system32\DRIVERS\tmwfp.sys [2011-02-22 283152]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Export do &Tahiti - c:\program files\LightComp Tahiti 5\iehelper.html
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-01 18:04
Windows 6.0.6002 Service Pack 2 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\WUDFHost.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Trend Micro\TrendSecure\TISProToolbar\ProToolbarUpdate.exe
c:\program files\Launch Manager\WisLMSvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Trend Micro\TrendSecure\TSCFCmdrLauncher.exe
.
**************************************************************************
ComboFix 11-02-27.03 - HASH 01.03.2011 17:46:25.4.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.1790.1113 [GMT 1:00]
Spuštěný z: c:\users\HASH\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\HASH\Desktop\CFScript.txt
AV: Trend Micro Internet Security Pro *Disabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
FW: Trend Micro Personal Firewall *Disabled* {70A91CD9-303D-A217-A80E-6DEE136EDB2B}
SP: Trend Micro Internet Security Pro *Disabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_TTWZZS
-------\Service_ttwzzs
((((((((((((((((((((((((( Soubory vytvořené od 2011-02-01 do 2011-03-01 )))))))))))))))))))))))))))))))
.
2011-03-01 17:00 . 2011-03-01 17:04 -------- d-----w- c:\users\HASH\AppData\Local\temp
2011-03-01 17:00 . 2011-03-01 17:00 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-02-28 18:45 . 2011-02-28 19:10 -------- d-----w- C:\UsbFix
2011-02-28 12:32 . 2011-02-28 12:32 -------- d-----w- c:\programdata\WindowsSearch
2011-02-26 17:38 . 2010-07-30 17:29 249424 ----a-w- c:\windows\system32\drivers\tmxpflt.sys
2011-02-26 17:38 . 2010-07-30 17:06 1331512 ----a-w- c:\windows\system32\drivers\vsapint.sys
2011-02-26 17:38 . 2010-07-30 17:29 36432 ----a-w- c:\windows\system32\drivers\tmpreflt.sys
2011-02-22 22:35 . 2011-02-22 22:35 -------- d-----w- c:\users\HASH\AppData\Local\Trend Micro
2011-02-22 22:18 . 2011-02-26 17:28 -------- d-----w- c:\programdata\Trend Micro
2011-02-22 22:17 . 2011-02-22 22:21 -------- d-----w- c:\program files\Trend Micro
2011-02-22 21:25 . 2011-02-22 21:25 89872 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2011-02-22 21:25 . 2011-02-22 21:25 283152 ----a-w- c:\windows\system32\drivers\tmwfp.sys
2011-02-22 21:25 . 2011-02-22 21:25 146448 ----a-w- c:\windows\system32\drivers\tmlwf.sys
2011-02-22 21:25 . 2010-07-19 18:03 59472 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2011-02-22 21:25 . 2010-07-19 18:03 51792 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2011-02-22 21:25 . 2010-07-19 18:02 163408 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2011-02-22 21:23 . 2011-02-22 21:24 -------- d-----w- c:\program files\Launch Manager
2011-02-21 19:08 . 2011-02-02 16:10 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9AA8E3E3-2869-41CC-A4B4-7E5FBC03D830}\mpengine.dll
2011-02-20 21:21 . 2011-02-21 20:33 -------- d-sh--r- c:\users\HASH\Microsoft-Update-Service-8-8586-7578-5800
2011-02-20 14:26 . 2008-09-26 17:04 621056 ----a-w- c:\windows\system32\drivers\mod7700.sys
2011-02-20 14:26 . 2008-09-26 17:04 113152 ----a-w- c:\windows\system32\drivers\ewusbnet.sys
2011-02-20 14:26 . 2008-09-26 17:04 101760 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2011-02-20 14:26 . 2008-09-26 17:03 23424 ----a-w- c:\windows\system32\drivers\ewdcsc.sys
2011-02-20 14:15 . 2011-02-20 14:27 -------- d-----w- c:\program files\O2 Mobilni internet
2011-02-15 16:10 . 2011-03-01 17:01 738816 ----a-w- c:\windows\system32\drivers\ttwzzs.sys
2011-02-05 17:57 . 2003-11-10 17:14 729088 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2011-02-05 17:57 . 2003-11-10 17:13 69715 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2011-02-05 17:57 . 2003-11-10 17:12 266240 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2011-02-05 17:57 . 2003-11-10 17:12 192512 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2011-02-05 17:57 . 2003-11-10 17:11 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2011-02-05 17:57 . 2011-02-05 17:57 311428 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2011-02-05 17:57 . 2011-02-05 17:57 188548 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-28 19:10 . 2011-02-28 18:51 93824 ----a-w- C:\UsbFix_Upload_Me_HASH-PC.zip
2011-02-02 16:11 . 2010-08-16 19:34 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-19 19:07 . 2011-01-19 19:07 515848 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-12-14 192512]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2010-01-26 1020248]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2154561694-2073593054-3152204118-1000]
"EnableNotificationsRef"=dword:00000001
R3 CFcatchme;CFcatchme;c:\users\HASH\AppData\Local\Temp\CFcatchme.sys [x]
R3 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [2010-07-19 51792]
R3 TmPfw;Trend Micro Personal Firewall;c:\program files\Trend Micro\Internet Security\TmPfw.exe [2011-02-22 497008]
R3 TmProxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2011-02-22 689416]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-14 691696]
S1 tmlwf;Trend Micro NDIS 6.0 Filter Driver;c:\windows\system32\DRIVERS\tmlwf.sys [2011-02-22 146448]
S2 tmpreflt;tmpreflt;c:\windows\system32\DRIVERS\tmpreflt.sys [2010-07-30 36432]
S2 tmwfp;Trend Micro WFP Callout Driver;c:\windows\system32\DRIVERS\tmwfp.sys [2011-02-22 283152]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Export do &Tahiti - c:\program files\LightComp Tahiti 5\iehelper.html
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-01 18:04
Windows 6.0.6002 Service Pack 2 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\WUDFHost.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Trend Micro\TrendSecure\TISProToolbar\ProToolbarUpdate.exe
c:\program files\Launch Manager\WisLMSvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Trend Micro\TrendSecure\TSCFCmdrLauncher.exe
.
**************************************************************************
-
Caroprd111
- VIP
- Příspěvky: 13492
- Registrován: 22 bře 2009 20:48
- Bydliště: Třebíč
- Kontaktovat uživatele:
Re: Další autorun.inf
Měl jste v PC při aplikaci UsbFixu všechna vyměnitelná zařízení?
Stáhněte OTL http://oldtimer.geekstogo.com/OTL.exe na plochu
Soubor C:\PhysicalMBR.bin otestujte na http://www.virustotal.com a vložte sem odkaz na výsledek testu.
Stáhněte OTL http://oldtimer.geekstogo.com/OTL.exe na plochu
- Spusťte, poté do spodního políčka vložte následující skript.
Kód: Vybrat vše
netsvcs
drivers32
savembr:0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
/md5start
cngaudit.dll
cryptsvc.dll
eNetHook.dll
eventlog.dll
hal.dll
logevent.dll
netlogon.dll
ntelogon.dll
scecli.dll
sceclt.dll
ws2_32.dll
autochk.exe
csrss.exe
explorer.exe
lsass.exe
services.exe
smss.exe
spoolsv.exe
svchost.exe
userinit.exe
winlogon.exe
adp3132.sys
AGP440.sys
ahcix86.sys
ahcix86s.sys
atapi.sys
cdrom.sys
Changer.sys
fastfat.sys
iaStor.sys
iastorv.sys
IdeChnDr.sys
isapnp.sys
JakNDis.sys
KR10N.sys
mv61xx.sys
ndis.sys
ntfs.sys
nvata.sys
nvatabus.sys
nvgts.sys
nvraid.sys
nvrd32.sys
nvstor.sys
nvstor32.sys
symmpi.sys
tcpip.sys
vaxscsi.sys
viamraid.sys
viasraid.sys
ViPrt.sys
/md5stop
C:\windows\system32\spool\prtprocs|dll;true;true;true /FP
%systemroot%\system32\drivers\*.sys /5
%systemroot%\system32\drivers\*.sys /X
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\*.* /5
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\config\*.sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\*.* /U /s
%systemroot%\*. /mp /s
%ALLUSERSPROFILE%\Data Aplikací\*.*
%ALLUSERSPROFILE%\Data Aplikací\*.exe /s
%ALLUSERSPROFILE%\Dáta aplikácií\*.*
%ALLUSERSPROFILE%\Dáta aplikácií\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS /s
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager" /v BootExecute /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v "PendingFileRenameOperations" /c
type c:\boot.ini >> test.txt /c
%SystemDrive%\PhysicalMBR.bin /md5
- Označte položku Pro všechny uživatele.
- Označte položky Kontrola na havěť "LOP" a Kontrola na havěť "Purity"
- Klikněte na tlačítko Prohledat
- Po dokončení, sem vložte logy OTL.Txt a Extras.txt
Soubor C:\PhysicalMBR.bin otestujte na http://www.virustotal.com a vložte sem odkaz na výsledek testu.-
lancer_bobek
- Návštěvník
- Příspěvky: 24
- Registrován: 28 úno 2011 19:00
Re: Další autorun.inf
Ano, všechna média byla připojena
Přispějete na provoz fóra?