michal.kolesa - podezreni na TDL

[vyosek]

Panebože máš ho TAM!!!

Nejak nechapu co tim bylo mysleno, pokud hodlate mit ale podobne vstupy do tematu, tak vas ujistuji, ze nebudou mit dlouheho trvani

Pro michal.kolesa: CF se nespousti jen tak - vizte nize

Nebezpeci CFka

• Je urcen primarne pro radce - jeho svevolnym pouzitim ztracite narok na podporu
• Maze stopy po haveti, takze v logu z RSIT neni nic videt
• Jeho log je treba dolustit, jelikoz neumi smazat vse - to ovsem tezko zvladnete pokud k tomu nejste vyskolen
• CF muze mit bug = sunda Vam system, pokud nevite kam co uklada, jak co obnovit, mate system v kytkam a ceka Vas reinstal
• CF taky bohuzel prozatim nekontroluje nektere dulezite knihovny (napr. hal.dll) - ty treba mazou nektere typy haveti (napr. angela) - smaze Vam po restartu hal.dll = nenajede Vam system a jste o radek vyse = reinstal

Pokud nemate, tak presunte Combofix na plochu

• Spustte poznamkovy blok (Start-spustit-notepad)
• Zkopirujte skript nize

• Kód: Vybrat vše

  KillAll::
  
  Registry::
  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
  "HP Software Update"=-
  "MSN Toolbar"=-
  [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
  "Akamai"=-
  
  Driver::
  Akamai
  
  Folder::
  C:/Program Files (x86)/Common Files/Akamai
  
  File::
  c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-307678904-601986023-3308821423-1000Core.job
  c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-307678904-601986023-3308821423-1000UA.job
  c:\windows\Tasks\Norton Security Scan for MichalKolesa.job
  
  RegLock::
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
  [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
  
  Reboot::

• Ulozte vytvoreny TXT jako CFScript.txt
• Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
  
• Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

[michal.kolesa]

proč je to tak složitý ? To je jednodušší, zrušit parrition a znovu ji vytvořit a nainstalovat Windows

[vyosek]

proč je to tak složitý ? To je jednodušší, zrušit parrition a znovu ji vytvořit a nainstalovat Windows

I to je moznost, ale ne kazdy si muze dovolit tohle delat...

[michal.kolesa]

Zabiju tím dvě mouchy jednou ranou

Smažu toho "hajz..." a uklidím si bordel na disku, protože reinstalací windows se mi odstraní staré knihovny a zbytky po programech. Jediný problém může být s aktivací.

Když instalátoru Windows ruším a vytvářím paritition to vytváří i MBR ?

[vyosek]

Pokud odstranite partice a vytvarite nove, zapise se do nich standartni mbr kod...

Problem s aktivaci winu by nemel byt pokud je mate legalni...

Uklidit po programech dokazi i ruzne cistici utility...

[cernohous13]

Dovolím si rozvést kolegovu odpověď.

Reinstal tu považujeme za opravdu krajní řešení.
Ne každý uživatel je schopný si následně instalovat všechny potřebné drivery, znovu instalovat další používaný SW, vše znovu nastavit atd...

Jestli je složité zkopírovat script do notepadu a přetáhnout ikonu, tak nevím co chceš ještě porovnávat

[michal.kolesa]

Přetáhnout soubor na soubor je jednoduché. Mě šlo o to že je složité ten script psát. To si utilitka nemůže zjistit co je v paměti a mít seznam co je OK a na nejasnosti se zeptat, sama skript vygenerovat a pak odstranit havěť ?

[vyosek]

ComboFix je neustale vyvijen a jsou vydavany treba i tri verze za den...neustale je pridavana nova a nova havet kterou CF maze automaticky...

Ale novou havet je potreba vzdy potreba zanest do databaze (zdrojaku) a az pak muze byt mazana, proto je potreba tvorit skripty...Dale se pres skript da treba vycistit cache javy, udelat ruzne upravy v registru (treba jimi omezit spousteni sluzeb po startu)...Odstranovani haveti neni jen tak par kliknuti a spusteni utilit...Samozrejme utilita ma nejaky seznam co je OK (tzv. whitelist)...Ale nemuze sam generovat skript, jak vi co chci treba mit spustene po startu a co nikoli...

Skript neni slozite napsat, kdyz vite co do nej psat...Stejne jako kolega cernohous potvrdi a mame to vyzkousene, jelikoz oba jsme lektori v nasi skole pro budouci radce, tak neni lehke se to naucit, neni to ani ale zas tak slozite ale chce to i cas a pochopit problematiku...

[michal.kolesa]

ComboFix 11-11-02.03 - MichalKolesa 02.11.2011 20:39:10.2.8 - x64
Microsoft Windows 7 Ultimate 6.1.7601.1.1250.420.1029.18.16367.14486 [GMT 1:00]
Spuštěný z: c:\users\MichalKolesa\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\MichalKolesa\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Disabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-307678904-601986023-3308821423-1000Core.job"
"c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-307678904-601986023-3308821423-1000UA.job"
"c:\windows\Tasks\Norton Security Scan for MichalKolesa.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-307678904-601986023-3308821423-1000Core.job
c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-307678904-601986023-3308821423-1000UA.job
c:\windows\Tasks\Norton Security Scan for MichalKolesa.job
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Service_Akamai
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-10-02 do 2011-11-02 )))))))))))))))))))))))))))))))
.
.
2011-11-02 19:43 . 2011-11-02 19:43 69000 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{25ABD6EF-1DBC-451B-98ED-DFED1DD74FDE}\offreg.dll
2011-11-02 19:42 . 2011-11-02 19:42 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-11-01 19:23 . 2011-11-01 19:23 42672 ----a-w- c:\windows\SysWow64\drivers\fsbts.sys
2011-11-01 19:04 . 2011-11-01 19:04 -------- d-----w- c:\programdata\boost_interprocess
2011-11-01 17:35 . 2011-11-01 17:35 -------- d-----w- c:\users\MichalKolesa\AppData\Roaming\QuickScan
2011-11-01 17:30 . 2011-11-01 17:30 -------- d-----w- c:\programdata\McAfee Security Scan
2011-11-01 17:30 . 2011-11-01 17:30 -------- d-----w- c:\program files (x86)\McAfee Security Scan
2011-11-01 17:30 . 2011-11-01 17:30 -------- d-----w- c:\programdata\McAfee
2011-10-31 15:00 . 2011-10-31 15:00 -------- d-----w- c:\program files (x86)\CDBurnerXP
2011-10-30 17:32 . 2011-10-30 17:32 -------- d-----w- c:\users\MichalKolesa\AppData\Roaming\KillSwitch 2
2011-10-30 13:06 . 2011-10-30 13:06 -------- d-----w- c:\users\MichalKolesa\AppData\Roaming\f-secure
2011-10-30 13:06 . 2011-10-30 13:06 -------- d-----w- c:\programdata\F-Secure
2011-10-30 13:01 . 2009-06-30 09:37 33800 ----a-w- c:\windows\system32\drivers\pavboot64.sys
2011-10-30 13:01 . 2011-10-30 13:01 -------- d-----w- c:\program files (x86)\Panda Security
2011-10-25 13:13 . 2011-10-25 13:13 -------- d-----w- c:\users\UpdatusUser
2011-10-25 13:13 . 2011-11-02 19:43 -------- d-----w- c:\programdata\NVIDIA
2011-10-25 13:13 . 2011-10-15 08:53 5067584 ----a-w- c:\windows\system32\nvsvc64.dll
2011-10-25 13:13 . 2011-10-15 08:53 1640768 ----a-w- c:\windows\system32\nvvsvc.exe
2011-10-25 13:13 . 2011-10-15 08:53 137536 ----a-w- c:\windows\system32\nvshext.dll
2011-10-25 13:13 . 2011-10-15 08:53 837952 ----a-w- c:\windows\system32\easyupdatusapiu64.dll
2011-10-25 13:13 . 2011-10-15 08:53 3074368 ----a-w- c:\windows\system32\nvsvcr.dll
2011-10-25 13:13 . 2011-10-15 08:53 222528 ----a-w- c:\windows\system32\nvmctray.dll
2011-10-25 13:13 . 2011-10-15 08:53 10406208 ----a-w- c:\windows\system32\nvcpl.dll
2011-10-25 13:13 . 2011-10-25 13:13 -------- d-----w- c:\programdata\NVIDIA Corporation
2011-10-25 13:09 . 2011-10-25 13:09 -------- d-----w- C:\NVIDIA
2011-10-23 15:41 . 2011-10-23 15:41 -------- d-----w- c:\users\AlenaKolesova\AppData\Local\Electronic_Arts_Inc
2011-10-23 14:21 . 2011-10-29 07:26 -------- d-----w- c:\users\AlenaKolesova\AppData\Roaming\Skype
2011-10-21 22:26 . 2011-10-21 22:26 -------- d-----w- c:\users\MichalKolesa\AppData\Roaming\Need for Speed World
2011-10-21 22:02 . 2011-10-21 22:02 -------- d-----w- c:\users\MichalKolesa\.thumbnails
2011-10-21 22:02 . 2011-10-21 22:02 -------- d-----w- c:\program files\Blender Foundation
2011-10-21 21:18 . 2011-10-21 21:18 -------- d-----w- c:\users\MichalKolesa\AppData\Local\Electronic_Arts_Inc
2011-10-21 21:17 . 2011-10-30 18:10 -------- d-----w- c:\program files (x86)\Common Files\Akamai
2011-10-21 21:17 . 2011-10-21 21:17 -------- d-----w- c:\programdata\Electronic Arts
2011-10-21 21:17 . 2011-10-21 21:17 -------- d-----w- c:\program files (x86)\Electronic Arts
2011-10-20 08:52 . 2011-10-20 08:52 -------- d-----w- c:\program files\Java
2011-10-18 17:10 . 2011-10-18 17:10 -------- d-----w- c:\program files\Speccy
2011-10-14 22:54 . 2011-10-14 22:54 321856 ----a-w- c:\windows\SysWow64\nvStreaming.exe
2011-10-11 18:07 . 2011-09-06 03:03 3138048 ----a-w- c:\windows\system32\win32k.sys
2011-10-11 18:07 . 2011-08-17 05:26 613888 ----a-w- c:\windows\system32\psisdecd.dll
2011-10-11 18:07 . 2011-08-17 05:25 108032 ----a-w- c:\windows\system32\psisrndr.ax
2011-10-11 18:07 . 2011-08-17 04:24 465408 ----a-w- c:\windows\SysWow64\psisdecd.dll
2011-10-11 18:07 . 2011-08-17 04:19 75776 ----a-w- c:\windows\SysWow64\psisrndr.ax
2011-10-11 18:07 . 2011-08-27 05:37 861696 ----a-w- c:\windows\system32\oleaut32.dll
2011-10-11 18:07 . 2011-08-27 05:37 331776 ----a-w- c:\windows\system32\oleacc.dll
2011-10-11 18:07 . 2011-08-27 04:26 571904 ----a-w- c:\windows\SysWow64\oleaut32.dll
2011-10-11 18:07 . 2011-08-27 04:26 233472 ----a-w- c:\windows\SysWow64\oleacc.dll
2011-10-11 08:08 . 2011-10-11 08:08 917840 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{70DD812D-8591-44E3-B265-D9C6E27EE076}\gapaengine.dll
2011-10-06 19:33 . 2011-10-06 19:33 -------- d-----w- c:\program files (x86)\Aquadelic
2011-10-05 15:56 . 2011-10-05 15:56 -------- d-----w- c:\windows\system32\Macromed
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-20 08:52 . 2011-08-08 21:33 525544 ----a-w- c:\windows\system32\deployJava1.dll
2011-10-07 04:16 . 2011-06-18 09:13 8570192 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-10-05 15:57 . 2011-09-24 18:55 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-09-15 08:00 . 2011-06-17 20:07 472808 ----a-w- c:\windows\SysWow64\deployJava1.dll
2011-08-31 17:12 . 2011-07-14 16:23 1698408 ----a-w- c:\windows\RtlExUpd.dll
2011-08-23 19:57 . 2011-09-21 18:07 74272 ----a-w- c:\windows\system32\RtNicProp64.dll
2011-08-23 19:57 . 2011-09-21 18:07 565352 ----a-w- c:\windows\system32\drivers\Rt64win7.sys
2011-08-23 19:57 . 2011-09-21 18:07 107552 ----a-w- c:\windows\system32\RTNUninst64.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-11-02_15.08.15 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-07-14 04:54 . 2011-11-02 15:08 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2009-07-14 04:54 . 2011-11-02 19:43 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2009-07-14 04:54 . 2011-11-02 15:08 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2011-11-02 19:43 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2009-07-14 04:54 . 2011-11-02 19:43 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2009-07-14 04:54 . 2011-11-02 15:08 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2010-11-21 03:09 . 2011-11-02 15:13 32722 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2011-11-02 19:37 39028 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2011-06-17 16:52 . 2011-11-02 19:37 11954 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-307678904-601986023-3308821423-1000_UserData.bin
- 2011-11-02 15:08 . 2011-11-02 15:08 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-11-02 19:43 . 2011-11-02 19:43 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-11-02 15:08 . 2011-11-02 15:08 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2011-11-02 19:43 . 2011-11-02 19:43 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 02:36 . 2011-11-02 12:49 618206 c:\windows\system32\perfh009.dat
+ 2009-07-14 02:36 . 2011-11-02 19:41 618206 c:\windows\system32\perfh009.dat
- 2010-11-21 09:27 . 2011-11-02 12:49 633468 c:\windows\system32\perfh005.dat
+ 2010-11-21 09:27 . 2011-11-02 19:41 633468 c:\windows\system32\perfh005.dat
- 2009-07-14 02:36 . 2011-11-02 12:49 107486 c:\windows\system32\perfc009.dat
+ 2009-07-14 02:36 . 2011-11-02 19:41 107486 c:\windows\system32\perfc009.dat
- 2010-11-21 09:27 . 2011-11-02 12:49 123208 c:\windows\system32\perfc005.dat
+ 2010-11-21 09:27 . 2011-11-02 19:41 123208 c:\windows\system32\perfc005.dat
+ 2009-07-14 05:01 . 2011-11-02 19:42 286216 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
- 2009-07-14 05:01 . 2011-11-02 15:07 286216 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2011-06-17 19:15 . 2011-11-02 19:42 10832223 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-307678904-601986023-3308821423-1000-8192.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2011-10-13 17351304]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"NUSB3MON"="c:\program files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2010-11-17 113288]
"Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2009-07-17 288080]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2011-06-06 937920]
"ClamWin"="c:\program files (x86)\ClamWin\bin\ClamTray.exe" [2011-10-23 86016]
"Live! Central 3"="c:\program files (x86)\Creative\Creative Live! Cam\Live! Central 3\CTLVCentral3.exe" [2011-04-08 503955]
"V0680Mon.exe"="c:\windows\V0680Mon.exe" [2011-07-27 28672]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files (x86)\HP\Digital Imaging\bin\hpqtra08.exe [2009-11-18 275072]
McAfee Security Scan Plus.lnk - c:\program files (x86)\McAfee Security Scan\3.0.229\SSScheduler.exe [2011-9-20 272528]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files (x86)\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-10-15 2253120]
R3 cpuz134;cpuz134;e:\servis\info\pcwizard\pcwiz_x64.sys [x]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [x]
R3 esihdrv;esihdrv;c:\users\MICHAL~1\AppData\Local\Temp\esihdrv.sys [x]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files (x86)\McAfee Security Scan\3.0.229\McCHSvc.exe [2011-09-20 237008]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Microsoft Network Inspection;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 288272]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 terminpt;Microsoft Remote Desktop Input Driver;c:\windows\system32\drivers\terminpt.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Služba Technologie aktivace Windows;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 mv91cons;Marvell 91xx Config Device Driver;c:\windows\system32\DRIVERS\mv91cons.sys [x]
S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot64.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 GeniusMouseService;GeniusMouseService;c:\genius\ioCentre\GMouseService.exe [2010-03-11 16384]
S2 NSL;Norton Safe Web Lite;c:\program files (x86)\Norton Safe Web Lite\Engine\1.2.0.6\ccSvcHst.exe [2010-11-24 130000]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2011-10-14 381248]
S3 CtClsFlt;Creative Camera Class Upper Filter Driver;c:\windows\system32\DRIVERS\CtClsFlt.sys [x]
S3 gHidPnp;USB Device Enhanced Function Driver;c:\windows\system32\Drivers\gHidPnp.Sys [x]
S3 gMouUsb16;USB 16-bit Mouse Device Drv;c:\windows\system32\DRIVERS\gMouUsb16.sys [x]
S3 nusb3hub;Renesas Electronics USB 3.0 Hub Driver;c:\windows\system32\DRIVERS\nusb3hub.sys [x]
S3 nusb3xhc;Renesas Electronics USB 3.0 Host Controller Driver;c:\windows\system32\DRIVERS\nusb3xhc.sys [x]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda64v.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
S3 V0680Vid;Creative Live! Cam Socialize HD 1080 Driver;c:\windows\system32\DRIVERS\V0680Vid.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\svchost]
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 1436736]
"RTHDVCPL"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-10-17 13307496]
"combofix"="c:\combofix\CF5646.3XE" [2010-11-21 345088]
.
------- Doplňkový sken -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Free YouTube Download - c:\users\MichalKolesa\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Free YouTube to MP3 Converter - c:\users\MichalKolesa\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
TCP: DhcpNameServer = 10.0.0.2
FF - ProfilePath - c:\users\MichalKolesa\AppData\Roaming\Mozilla\Firefox\Profiles\yvqnkulg.default\
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NSL]
"ImagePath"="\"c:\program files (x86)\Norton Safe Web Lite\Engine\1.2.0.6\ccSvcHst.exe\" /s \"NSL\" /m \"c:\program files (x86)\Norton Safe Web Lite\Engine\1.2.0.6\diMaster.dll\" /prefetch:1"
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files (x86)\Windows Live\Family Safety\fsssvc.exe
c:\windows\MHotKey.exe
c:\windows\ChiFuncExt.exe
.
**************************************************************************
.
Celkový čas: 2011-11-02 20:45:17 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-11-02 19:45
ComboFix2.txt 2011-11-02 15:10
.
Před spuštěním: Volných bajtů: 1 935 233 458 176
Po spuštění: Volných bajtů: 1 934 647 738 368
.
- - End Of File - - 7279352AA6E0B8CD60B6136E54887AB7

[vyosek]

Odinstalujte Combofix

• Prejmenujte ComboFix na Uninstall
• Spustte jej
• Tohle smaze Combofix a jeho slozky

T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe

• Stahnete a spustte
• Pro potvrzeni volby mackejte A, Enter
• Po pouziti utilitu smazte
• Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)

A melo by byt hotovo...

[michal.kolesa]

A kdo je autorem těchto programů ? Zaráží mě že mluví česky. Většina AV společností má svoje utilitky anglicky

[vyosek]

Autoru je nekolik (ComboFix - sUSB, OTM(OTL, OTC...) - Old Timer)

Na lokalizaci do CZ se podileli clenove naseho fora, jelikoz diky tomu, ze jsme cleny ASAP, tak ma hodne z nas pristup do internich sekci for, kde jsou tyto utility vyvijeny...

[michal.kolesa]

a jakou variantu jsem konkrétně měl ?

Jde to z těch logů vyčíst ?

Divné, že na jiných zpravodajských serverech není o viru z Novy, žádná zmíňka

[vyosek]

vase logy byly na rootkity ciste, pouze tam byl adware Akamai...

ten vir je uz nejakou dobu starsi a neni zcela presne znamo co dela a neni tudiz moc o cem psat...

[michal.kolesa]

akamai je součástí hry Need For speed World před chvílí jsem ji hrál tak asi ho mám znova Dnes už na testy nemám náladu ((