Combofix detekuje rootkit

[W1ll.1.4M]

Zdravím, v čisté instalaci Windows mi Essentials začal hlásit viry a nedokázal si s nimi poradit. Proto přišel na řadu Combofix:

ComboFix 11-03-19.01 - Administrator 20.03.2011 0:08.2.2 - FAT32x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1012.787 [GMT 1:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-02-19 do 2011-03-19 )))))))))))))))))))))))))))))))
.
.
2011-03-19 21:56 . 2011-03-19 21:56 -------- d-----r- C:\MSOCache
2011-03-13 19:03 . 2011-03-13 19:04 -------- d-----w- C:\temp
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-09 13:53 . 2008-04-14 07:51 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2008-04-14 07:51 186880 ----a-w- c:\windows\system32\encdec.dll
2011-01-21 14:44 . 2008-04-14 07:51 440320 ----a-w- c:\windows\system32\shimgvw.dll
2010-12-31 14:04 . 2008-04-14 06:45 1854976 ----a-w- c:\windows\system32\win32k.sys
2010-12-20 17:25 . 2008-04-14 07:51 729088 ----a-w- c:\windows\system32\lsasrv.dll
.
.
------- Sigcheck -------
.
[-] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\SoftwareDistribution\Download\1d2803a1f84cfd41d61e509943d67213\sp3qfe\tcpip.sys
[-] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\SoftwareDistribution\Download\1d2803a1f84cfd41d61e509943d67213\sp3gdr\tcpip.sys
[-] 2008-05-18 . 68F06FE0021B01E670AF37B8C5964FDF . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys
.
[-] 2008-05-18 . C71BB4782833750BF4C02AC30ED670B7 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2011-03-19_22.56.40 )))))))))))))))))))))))))))))))))))))))))
.
- 2001-10-25 15:00 . 2011-03-19 22:55 40326 c:\windows\system32\perfc009.dat
+ 2001-10-25 15:00 . 2011-03-19 23:11 40326 c:\windows\system32\perfc009.dat
- 2001-10-25 15:00 . 2011-03-19 22:55 46394 c:\windows\system32\perfc005.dat
+ 2001-10-25 15:00 . 2011-03-19 23:11 46394 c:\windows\system32\perfc005.dat
+ 2001-10-25 15:00 . 2011-03-19 23:11 311938 c:\windows\system32\perfh009.dat
- 2001-10-25 15:00 . 2011-03-19 22:55 311938 c:\windows\system32\perfh009.dat
+ 2001-10-25 15:00 . 2011-03-19 23:11 310228 c:\windows\system32\perfh005.dat
- 2001-10-25 15:00 . 2011-03-19 22:55 310228 c:\windows\system32\perfh005.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Administrator\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" [2011-03-19 136176]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"M3000Mnt"="M3000Rmv.dll " [X]
"RTHDCPL"="RTHDCPL.EXE" [2009-12-22 18789920]
"AzMixerSel"="c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe" [2009-12-11 59936]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-25 1044480]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
R0 ffire;FlashFire;c:\windows\system32\drivers\ffire.sys [15.7.2009 20:39 10624]
R3 M3000Srv;Acer Crystal Eye webcam Driver;c:\windows\system32\drivers\M3000KNT.sys [13.3.2011 19:57 254976]
S1 MpKsl8807db29;MpKsl8807db29;\??\c:\documents and settings\All Users\Data aplikací\Microsoft\Microsoft Antimalware\Definition Updates\{6309375B-5D40-4E4E-AAF5-57FA9D34517A}\MpKsl8807db29.sys --> c:\documents and settings\All Users\Data aplikací\Microsoft\Microsoft Antimalware\Definition Updates\{6309375B-5D40-4E4E-AAF5-57FA9D34517A}\MpKsl8807db29.sys [?]
S1 MpKslbe5f094c;MpKslbe5f094c;\??\c:\documents and settings\All Users\Data aplikací\Microsoft\Microsoft Antimalware\Definition Updates\{6309375B-5D40-4E4E-AAF5-57FA9D34517A}\MpKslbe5f094c.sys --> c:\documents and settings\All Users\Data aplikací\Microsoft\Microsoft Antimalware\Definition Updates\{6309375B-5D40-4E4E-AAF5-57FA9D34517A}\MpKslbe5f094c.sys [?]
S1 MpKsld7a40cd5;MpKsld7a40cd5;\??\c:\documents and settings\All Users\Data aplikací\Microsoft\Microsoft Antimalware\Definition Updates\{6309375B-5D40-4E4E-AAF5-57FA9D34517A}\MpKsld7a40cd5.sys --> c:\documents and settings\All Users\Data aplikací\Microsoft\Microsoft Antimalware\Definition Updates\{6309375B-5D40-4E4E-AAF5-57FA9D34517A}\MpKsld7a40cd5.sys [?]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [13.3.2011 19:46 1691480]
S3 JMCR;JMCR;c:\windows\system32\drivers\jmcr.sys [13.3.2011 19:47 96856]
.
.
------- Doplňkový sken -------
.
uStart Page = my.daemon-search.com
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-20 00:13
Windows 5.1.2600 Service Pack 3 FAT NTAPI
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(3364)
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
Celkový čas: 2011-03-20 00:14:41
ComboFix-quarantined-files.txt 2011-03-19 23:14
.
Před spuštěním: 3 174 416 384
Po spuštění: 3 172 880 384
.
- - End Of File - - 0828CFB1673C357A1307333C19DBD2E4


Díky za každou pomoc!

[motji]

Hezké ránko
V jakých souborech Vám MSE detekuje viry?
Jinak combofix občas hlásí rootkita, i když tam není, takže tímt se netrapte.

[W1ll.1.4M]

Dobré ráno i vám, i když trochu pozdě.

Teď to vypadá, že MSE už nic nenachází. Jinak log výše je z druhého spuštění Combofixu, první mi do karantény dal del.exe, msc.exe a wjdrive32.exe.

Jen mě napadlo, že po reinstalaci systému jsem měl tento netbook v síti s mým stolním počítačem, můžeme kdyžtak mrknout i na můj?

[motji]

Ještě mi pro můj klid otestujte na www.virustotal.com
c:\windows\system32\drivers\tcpip.sys

Stahněte MBAM z mého podpisu
-Nainstalujte,dejte úplný sken

NIC NEMAZAT
-MBAM má občas falešné detekce,proto budeme mazat až po kontrole logu.
-Log zkopírujte sem.



Založte nový topic, do předmětu napište pro Motji a vložte tam log z druhého pc.

[W1ll.1.4M]

http://www.virustotal.com/file-scan/rep ... 1300647883

Nějak se tomu nechce scanovat.

MBAM:


Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Verze databáze: 6113

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

20.3.2011 20:17:12
mbam-log-2011-03-20 (20-17-12).txt

Typ kontroly: Rychlý test
Testované objekty: 128845
Uplynulý čas: 3 minut, 55 sekund

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče v registru: 0
Infikované hodnoty v registru: 0
Infikované datové položky v registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky v registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
(Žádné škodlivé položky nebyly zjištěny)

Ještě dodám, že při spouštění systému se mi spouští chkdisk, který se bohužel na 0% zasekne. Ve Windowsu mi jde maximálně naplánovat na příští spuštění -> stejný výsledek. V systému se občas objeví to, že nějaký soubor nelze přečíst, ať spustím chkdisk. Ale tuším, že tohle je problém asi toho disku, protože v Acer Aspire A110 stojej za prd.

[motji]

stáhněte
http://www.slunecnice.cz/sw/crystaldiskinfo/
- spusťte ho a v nabídce zvolte Kopírovat.
-Data ze schránky sem pak vložte pomocí Ctrl+V

[W1ll.1.4M]

----------------------------------------------------------------------------
CrystalDiskInfo 3.10.0 (C) 2008-2010 hiyohiyo
Crystal Dew World : http://crystalmark.info/
----------------------------------------------------------------------------

OS : Windows XP Professional SP3 [5.1 Build 2600] (x86)
Date : 2011/03/21 14:10:29

-- Controller Map ----------------------------------------------------------
+ Intel(R) 82801GBM/GHM (ICH7-M Family) Serial ATA Storage Controller - 27C4 [ATA]
- Primární kanál IDE (0)
+ Sekundární kanál IDE (1)
- SSDPAMM0008G1

-- Disk List ---------------------------------------------------------------
(1) SSDPAMM0008G1 : 8.0 GB [0-1-0, pd1]

----------------------------------------------------------------------------
(1) SSDPAMM0008G1
----------------------------------------------------------------------------
Model : SSDPAMM0008G1
Firmware : Ver2.I0K
Serial Number : CVPA83158299F
Disk Size : 8.0 GB (8.0/8.0/----)
Buffer Size : 1 KB
Queue Depth : 1
# of Sectors : 15761088
Rotation Rate : Neznámy údaj
Interface : Parallel ATA
Major Version : ATA/ATAPI-5
Minor Version : ----
Transfer Mode : Ultra DMA/66
Power On Hours : 3913 hod.
Power On Count : Neznámy údaj
Temparature : Neznámy údaj
Health Status : Dobrý
Features : S.M.A.R.T.
APM Level : ----
AAM Level : ----

-- S.M.A.R.T. --------------------------------------------------------------
ID Cur Wor Thr RawValues(6) Attribute Name
E8 _92 _92 __2 00000000005C Specifický pro výrobce
E9 100 100 __0 000000D6FA39 Specifický pro výrobce
EA 100 100 __0 000000000000 Specifický pro výrobce
EB 187 187 __3 00000000005A Specifický pro výrobce
09 _74 _74 __0 000000000F49 Hodin v činnosti
CB 100 100 __0 000000000000 Neznámý

-- IDENTIFY_DEVICE ---------------------------------------------------------
+0 +1 +2 +3 +4 +5 +6 +7 +8 +9 +A +B +C +D +E +F
000: 04 4A 3D 14 00 00 00 10 7E 00 02 00 00 3F 00 F0
010: 7E C0 00 00 43 56 50 41 38 33 31 35 38 32 39 39
020: 46 20 20 20 20 20 20 20 00 02 00 02 00 04 56 65
030: 72 32 2E 49 30 4B 53 53 44 50 41 4D 4D 30 30 30
040: 38 47 31 20 20 20 20 20 20 20 20 20 20 20 20 20
050: 20 20 20 20 20 20 20 20 20 20 20 20 20 20 80 01
060: 00 00 2B 00 40 00 02 00 00 00 00 07 3D 14 00 10
070: 00 3F 7E C0 00 F0 01 01 7E C0 00 F0 00 00 00 07
080: 00 03 00 78 00 78 00 78 00 78 00 00 00 00 00 00
090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0A0: 00 30 00 00 70 0B 50 04 40 00 70 09 10 04 40 00
0B0: 10 1F 00 1E 00 1E 00 00 FF FE 00 00 00 00 00 00
0C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
0F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
100: 00 29 00 05 00 00 00 00 00 00 00 00 00 00 00 00
110: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
120: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
130: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
140: 10 00 00 00 00 00 00 12 00 00 00 00 00 00 00 00
150: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
160: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
170: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
180: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
190: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1A0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1B0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1C0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1D0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1E0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
1F0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00


Myslím si, že pro tenhle disk tenhle softík asi nefunguje tak, jak by měl.

[motji]

aha, Vy máte SSD, s těmi bohužel nemám žádné zkušenosti .
Ted to s počítačem vypadá jak?

[W1ll.1.4M]

Pořád nějaký chyby na disku. Bude to nejspíše diskem. Jinak je to čistý, takže tady to můžeme locknout. Díky za pomoc.

[motji]

na ty chyby na disku jste přišel jak?
Bohužel s tímto diskem Vám opravdu neporadím

[W1ll.1.4M]

Vlevo dole se objeví čas od času vykřičník s chybným souborem. Bude to asi problém toho disku. Tak díky!

[motji]

Zkuste si najít nějakou utilitku přímo na tyto disky, ale jak jsme psala, SSD disky neznám

[W1ll.1.4M]

Instaloval jsem FlashFire, to nějakým způsobem zrychluje tenhle disk pomocí RAMky, co jsem tak pochopil. Byla to nutnost, jelikož zápis po síti na disk byl 1MB/s, teď je to aspoň okolo 10MB/s.
Jinak tyhle errory zde byly i před reinstalací.

[motji]

Pokud máte disk v záruce, zkuste ho reklamovat nebo se v servise zeptat, čím by se dal otestovat.

[W1ll.1.4M]

Netuším, není můj, zjistím. Díky za pomoc.