Backdoor: cycbot.b

Zpráva

chodnik74 · #16 Příspěvek od **chodnik74** » 11 pro 2011 20:59

Vidím tam ESET a MSE.. který používáte? Jeden musí jít pryč.. Odinstalujte pře jeho odinstalátor: http://www.viry.cz/forum/viewtopic.php?f=29&t=42886

Znáte tyhle soubory a složky? Pokud ano, tak nepokračujte dále a upravím vám script.. jinak je mažu...

Kód: Vybrat vše

C:\usa
C:\win2
C:\PgcDemux.exe

Tyhle naopak nechávám(pokud neznáte, řekněte, přidám ke smazání )

Kód: Vybrat vše

C:\EAC3toGUI.exe
C:\Winnetou II
C:\eac3to

-----------------------------------------------------------------------------------

Otevřeme si Poznámkový blok Obrázek

(stiskneme klávesovou kombinaci WIN+R a napíšeme ,,notepad,, bez úvozovek a dáme enter)

Vložíme do něj následující script:

Kód: Vybrat vše


KillAll::

Firefox::
FF - ProfilePath - c:\users\baril_pa\AppData\Roaming\Mozilla\Firefox\Profiles\3a0tzbjw.default\
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 64323
FF - prefs.js: network.proxy.type - 1
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

DDS::
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyServer = http=127.0.0.1:64323

File::
C:\PgcDemux.exe

Folder::
c:\users\Default\AppData\Local\temp
c:\users\Admin\AppData\Local\temp
c:\users\adm_arcus\AppData\Local\temp
c:\program files (x86)\B3460
C:\usa
C:\win2

Reboot::

Soubor uložíme na Plochu jako CFScript.txt
Poté tento soubor uchopíme levým tlačítkem myši a přetáhneme na ikonu Combofixu a upustíme
Poté Combofix provede všechny operace a udělá nový log,který sem vložte

Může se stát,že po aplikaci scriptu nenaběhne Windows běžným způsobem.V tomto případě restartujte počítač a při startu mačkejte F8 a zvolte možnost Poslední známá funkční konfigurace

baril_pa · #17 Příspěvek od **baril_pa** » 12 pro 2011 09:31

skusil som MSE odinstalovat cez tie uninstalleri,ale combofix stale hlasi ze je zapnuty...

tu je log:

ComboFix 11-12-10.01 - baril_pa . 12. 2011 9:24.4.4 - x64
Microsoft Windows 7 Professional 6.1.7601.1.1250.421.1051.18.1967.1019 [GMT 1:00]
Running from: c:\users\baril_pa\Desktop\ComboFix.exe
Command switches used :: c:\users\baril_pa\Desktop\CFScript.txt
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
FILE ::
"C:\PgcDemux.exe"
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\PgcDemux.exe
c:\program files (x86)\B3460
c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\icon.png
c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\install.rdf
c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}\preview.png
C:\usa
c:\usa\1.jpg
c:\usa\10.jpg
c:\usa\100.jpg
c:\usa\101.jpg
c:\usa\102.jpg
c:\usa\103.jpg
c:\usa\104.jpg
c:\usa\105.jpg
c:\usa\106.jpg
c:\usa\107.jpg
c:\usa\108.jpg
c:\usa\109.jpg
c:\usa\11.jpg
c:\usa\110.jpg
c:\usa\111.jpg
c:\usa\112.jpg
c:\usa\113.jpg
c:\usa\114.jpg
c:\usa\115.jpg
c:\usa\116.jpg
c:\usa\117.jpg
c:\usa\118.jpg
c:\usa\119.jpg
c:\usa\12.jpg
c:\usa\120.jpg
c:\usa\121.jpg
c:\usa\122.jpg
c:\usa\123.jpg
c:\usa\124.jpg
c:\usa\125.jpg
c:\usa\126.jpg
c:\usa\127.jpg
c:\usa\128.jpg
c:\usa\129.jpg
c:\usa\13.jpg
c:\usa\130.jpg
c:\usa\131.jpg
c:\usa\132.jpg
c:\usa\133.jpg
c:\usa\134.jpg
c:\usa\135.jpg
c:\usa\136.jpg
c:\usa\137.jpg
c:\usa\138.jpg
c:\usa\139.jpg
c:\usa\14.jpg
c:\usa\140.jpg
c:\usa\141.jpg
c:\usa\142.jpg
c:\usa\143.jpg
c:\usa\144.jpg
c:\usa\145.jpg
c:\usa\146.jpg
c:\usa\147.jpg
c:\usa\148.jpg
c:\usa\149.jpg
c:\usa\15.jpg
c:\usa\150.jpg
c:\usa\151.jpg
c:\usa\152.jpg
c:\usa\153.jpg
c:\usa\154.jpg
c:\usa\155.jpg
c:\usa\156.jpg
c:\usa\157.jpg
c:\usa\158.jpg
c:\usa\159.jpg
c:\usa\16.jpg
c:\usa\160.jpg
c:\usa\161.jpg
c:\usa\162.jpg
c:\usa\163.jpg
c:\usa\164.jpg
c:\usa\165.jpg
c:\usa\166.jpg
c:\usa\167.jpg
c:\usa\168.jpg
c:\usa\169.jpg
c:\usa\17.jpg
c:\usa\170.jpg
c:\usa\171.jpg
c:\usa\172.jpg
c:\usa\173.jpg
c:\usa\174.jpg
c:\usa\175.jpg
c:\usa\176.jpg
c:\usa\177.jpg
c:\usa\178.jpg
c:\usa\179.jpg
c:\usa\18.jpg
c:\usa\180.jpg
c:\usa\181.jpg
c:\usa\182.jpg
c:\usa\183.jpg
c:\usa\184.jpg
c:\usa\185.jpg
c:\usa\186.jpg
c:\usa\187.jpg
c:\usa\188.jpg
c:\usa\189.jpg
c:\usa\19.jpg
c:\usa\190.jpg
c:\usa\191.jpg
c:\usa\192.jpg
c:\usa\193.jpg
c:\usa\194.jpg
c:\usa\195.jpg
c:\usa\196.jpg
c:\usa\197.jpg
c:\usa\198.jpg
c:\usa\199.jpg
c:\usa\2.jpg
c:\usa\20.jpg
c:\usa\200.jpg
c:\usa\201.jpg
c:\usa\202.jpg
c:\usa\203.jpg
c:\usa\204.jpg
c:\usa\205.jpg
c:\usa\206.jpg
c:\usa\207.jpg
c:\usa\208.jpg
c:\usa\209.jpg
c:\usa\21.jpg
c:\usa\210.jpg
c:\usa\211.jpg
c:\usa\212.jpg
c:\usa\213.jpg
c:\usa\214.jpg
c:\usa\215.jpg
c:\usa\216.jpg
c:\usa\217.jpg
c:\usa\218.jpg
c:\usa\219.jpg
c:\usa\22.jpg
c:\usa\220.jpg
c:\usa\221.jpg
c:\usa\222.jpg
c:\usa\223.jpg
c:\usa\224.jpg
c:\usa\225.jpg
c:\usa\226.jpg
c:\usa\227.jpg
c:\usa\228.jpg
c:\usa\229.jpg
c:\usa\23.jpg
c:\usa\230.jpg
c:\usa\231.jpg
c:\usa\232.jpg
c:\usa\233.jpg
c:\usa\234.jpg
c:\usa\235.jpg
c:\usa\236.jpg
c:\usa\24.jpg
c:\usa\25.jpg
c:\usa\26.jpg
c:\usa\27.jpg
c:\usa\28.jpg
c:\usa\29.jpg
c:\usa\3.jpg
c:\usa\30.jpg
c:\usa\31.jpg
c:\usa\32.jpg
c:\usa\33.jpg
c:\usa\34.jpg
c:\usa\35.jpg
c:\usa\36.jpg
c:\usa\37.jpg
c:\usa\38.jpg
c:\usa\39.jpg
c:\usa\4.jpg
c:\usa\40.jpg
c:\usa\41.jpg
c:\usa\42.jpg
c:\usa\43.jpg
c:\usa\44.jpg
c:\usa\45.jpg
c:\usa\46.jpg
c:\usa\47.jpg
c:\usa\48.jpg
c:\usa\49.jpg
c:\usa\5.jpg
c:\usa\50.jpg
c:\usa\51.jpg
c:\usa\52.jpg
c:\usa\53.jpg
c:\usa\54.jpg
c:\usa\55.jpg
c:\usa\56.jpg
c:\usa\57.jpg
c:\usa\58.jpg
c:\usa\59.jpg
c:\usa\6.jpg
c:\usa\60.jpg
c:\usa\61.jpg
c:\usa\62.jpg
c:\usa\63.jpg
c:\usa\64.jpg
c:\usa\65.jpg
c:\usa\66.jpg
c:\usa\67.jpg
c:\usa\68.jpg
c:\usa\69.jpg
c:\usa\7.jpg
c:\usa\70.jpg
c:\usa\71.jpg
c:\usa\72.jpg
c:\usa\73.jpg
c:\usa\74.jpg
c:\usa\75.jpg
c:\usa\76.jpg
c:\usa\77.jpg
c:\usa\78.jpg
c:\usa\79.jpg
c:\usa\8.jpg
c:\usa\80.jpg
c:\usa\81.jpg
c:\usa\82.jpg
c:\usa\83.jpg
c:\usa\84.jpg
c:\usa\85.jpg
c:\usa\86.jpg
c:\usa\87.jpg
c:\usa\88.jpg
c:\usa\89.jpg
c:\usa\9.jpg
c:\usa\90.jpg
c:\usa\91.jpg
c:\usa\92.jpg
c:\usa\93.jpg
c:\usa\94.jpg
c:\usa\95.jpg
c:\usa\96.jpg
c:\usa\97.jpg
c:\usa\98.jpg
c:\usa\99.jpg
c:\users\adm_arcus\AppData\Local\temp
c:\users\Admin\AppData\Local\temp
c:\users\Default\AppData\Local\temp
.
.
((((((((((((((((((((((((( Files Created from 2011-11-12 to 2011-12-12 )))))))))))))))))))))))))))))))
.
.
2011-12-12 08:09 . 2011-12-12 08:09 -------- d-----w- C:\WINSSLog
2011-12-12 07:57 . 2011-12-12 07:57 1074 ----a-w- C:\FixitRegBackup.reg
2011-12-12 06:52 . 2011-12-12 06:54 -------- d-----w- C:\win3
2011-12-10 18:56 . 2011-12-10 18:59 -------- d-----w- C:\win2_
2011-12-09 13:31 . 2011-12-09 13:31 279616 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2011-12-09 13:31 . 2011-12-09 13:31 -------- d-----w- c:\program files (x86)\DAEMON Tools Lite
2011-12-09 13:30 . 2011-12-09 13:32 -------- d-----w- c:\users\baril_pa\AppData\Roaming\DAEMON Tools Lite
2011-12-09 13:30 . 2011-12-09 13:30 -------- d-----w- c:\programdata\DAEMON Tools Lite
2011-12-09 12:03 . 2011-12-10 08:27 -------- d-----w- C:\Winnetou II
2011-12-09 10:54 . 2011-12-09 10:54 -------- d-----w- C:\eac3to
2011-12-09 10:54 . 2008-02-22 20:55 499707 ----a-w- C:\EAC3toGUI.exe
2011-12-09 06:17 . 2011-11-30 01:21 8822856 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{09FC6630-935D-4F75-9212-03B841325041}\mpengine.dll
2011-12-08 20:44 . 2011-12-08 20:44 -------- d-----w- c:\users\baril_pa\AppData\Roaming\ImTOO
2011-12-08 20:43 . 2011-12-08 20:43 -------- d-----w- c:\program files (x86)\ImTOO
2011-12-08 20:41 . 2011-12-08 20:42 -------- d-----w- c:\program files (x86)\DVD Decrypter
2011-12-08 20:35 . 2011-12-08 20:35 276256 ----a-w- c:\windows\system32\drivers\DigiartyVirtualCDBus.sys
2011-12-08 20:35 . 2011-12-08 20:35 -------- d-----w- c:\users\baril_pa\AppData\Roaming\Digiarty
2011-12-08 20:35 . 2011-12-08 20:35 -------- d-----w- c:\program files\Digiarty
2011-12-08 20:30 . 2011-12-08 20:45 -------- d-----w- c:\users\baril_pa\AppData\Roaming\dvdcss
2011-12-08 20:28 . 2011-12-09 13:24 -------- d-----w- c:\program files (x86)\DVD Audio Extractor
2011-12-06 08:35 . 2011-12-06 08:35 -------- d-----w- c:\program files\ESET
2011-12-06 08:32 . 2011-12-06 08:32 -------- d-----w- c:\users\baril_pa\AppData\Local\ESET
2011-12-04 14:33 . 2011-12-04 14:33 -------- d-----w- c:\users\baril_pa\AppData\Local\VirtualStore
2011-12-04 14:25 . 2011-12-06 08:31 -------- d-----w- C:\rs
2011-12-04 09:01 . 2011-12-04 09:01 -------- d-----w- c:\users\baril_pa\AppData\Roaming\Malwarebytes
2011-12-04 09:01 . 2011-12-04 09:01 -------- d-----w- c:\programdata\Malwarebytes
2011-12-04 09:01 . 2011-08-31 16:00 25416 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-12-04 07:35 . 2011-12-04 07:35 -------- d-----w- c:\program files (x86)\trend micro
2011-12-01 19:09 . 2011-12-01 19:15 -------- d-----w- c:\programdata\webcamXP 5
2011-12-01 19:09 . 2011-12-01 19:09 -------- d-----w- c:\program files (x86)\webcamXP 5
2011-11-29 21:16 . 2011-12-01 14:55 -------- d-----r- c:\users\baril_pa\Dropbox
2011-11-29 21:12 . 2011-12-01 20:11 -------- d-----w- c:\users\baril_pa\AppData\Roaming\Dropbox
2011-11-29 09:35 . 2011-11-29 09:35 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin7.dll
2011-11-29 09:35 . 2011-11-29 09:35 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin6.dll
2011-11-29 09:35 . 2011-11-29 09:35 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin5.dll
2011-11-29 09:35 . 2011-11-29 09:35 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin4.dll
2011-11-29 09:35 . 2011-11-29 09:35 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin3.dll
2011-11-29 09:35 . 2011-11-29 09:35 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin2.dll
2011-11-29 09:35 . 2011-11-29 09:35 159744 ----a-w- c:\program files (x86)\Internet Explorer\Plugins\npqtplugin.dll
2011-11-29 09:35 . 2011-11-29 09:35 -------- d-----w- c:\program files (x86)\QuickTime
2011-11-29 09:35 . 2011-11-29 09:35 -------- d-----w- c:\programdata\Apple Computer
2011-11-29 09:30 . 2011-11-29 09:30 -------- d-----w- c:\program files (x86)\Apple Software Update
2011-11-25 18:32 . 2011-12-10 05:48 -------- d-----w- c:\program files (x86)\URUSoft
2011-11-23 21:37 . 2010-05-26 10:41 2106216 ----a-w- c:\windows\SysWow64\D3DCompiler_43.dll
2011-11-23 21:37 . 2010-05-26 10:41 1998168 ----a-w- c:\windows\SysWow64\D3DX9_43.dll
2011-11-23 11:28 . 2011-11-23 11:28 -------- d-----w- c:\windows\SysWow64\VivotekIPP
2011-11-22 16:53 . 2011-11-22 16:53 -------- d-----w- c:\program files (x86)\Common Files\Intel Corporation
2011-11-13 19:59 . 2011-11-15 06:52 -------- d-----w- c:\users\baril_pa\AppData\Roaming\Mirillis
2011-11-13 19:59 . 2011-11-15 06:52 -------- d-----w- c:\programdata\Mirillis
2011-11-13 19:59 . 2011-11-15 06:52 -------- d-----w- c:\users\baril_pa\AppData\Local\Mirillis
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-12 09:47 . 2011-06-21 12:59 414368 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2011-10-27 09:34 . 2011-10-27 09:50 668938 ----a-w- c:\windows\unins000.exe
2011-10-24 13:29 . 2011-10-24 13:29 94208 ----a-w- c:\windows\SysWow64\QuickTimeVR.qtx
2011-10-24 13:29 . 2011-10-24 13:29 69632 ----a-w- c:\windows\SysWow64\QuickTime.qts
2011-09-29 16:29 . 2011-11-09 20:11 1923952 ----a-w- c:\windows\system32\drivers\tcpip.sys
2011-09-29 04:03 . 2011-11-09 20:11 3144704 ----a-w- c:\windows\system32\win32k.sys
2011-09-14 15:32 . 2011-09-14 15:32 1768960 ----a-w- c:\windows\SysWow64\PmTrdvw2.dll
2011-09-14 15:32 . 2011-09-14 15:32 909312 ----a-w- c:\windows\SysWow64\PmTable.ocx
.
.
((((((((((((((((((((((((((((( SnapShot@2011-12-11_18.58.04 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-12-05 23:19 . 2011-12-12 08:19 54664 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2009-07-14 05:10 . 2011-12-12 08:19 45754 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin
+ 2011-03-17 11:24 . 2011-12-12 08:19 13970 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-4238845511-2545688853-254789308-1188_UserData.bin
- 2010-12-05 23:15 . 2011-12-10 22:51 2958 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Bluetooth\bthservsdp.dat
+ 2010-12-05 23:15 . 2011-12-12 08:29 2958 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Bluetooth\bthservsdp.dat
- 2011-12-11 03:44 . 2011-12-11 12:02 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2011-12-12 08:30 . 2011-12-12 08:30 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2011-12-11 03:44 . 2011-12-11 12:02 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2011-12-12 08:30 . 2011-12-12 08:30 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2009-07-14 02:36 . 2011-12-11 12:10 661832 c:\windows\system32\perfh009.dat
+ 2009-07-14 02:36 . 2011-12-12 08:22 661832 c:\windows\system32\perfh009.dat
+ 2009-07-14 02:36 . 2011-12-12 08:22 126022 c:\windows\system32\perfc009.dat
- 2009-07-14 02:36 . 2011-12-11 12:10 126022 c:\windows\system32\perfc009.dat
- 2009-07-14 05:01 . 2011-12-10 22:51 368428 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2009-07-14 05:01 . 2011-12-12 08:29 368428 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat
+ 2011-06-21 13:19 . 2011-12-12 08:29 43820063 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-4238845511-2545688853-254789308-1188-12288.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Thunderbird"="c:\program files (x86)\Mozilla Thunderbird\thunderbird -turbo" [X]
"Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2011-10-13 17351304]
"uTorrent"="c:\program files (x86)\uTorrent\uTorrent.exe" [2011-10-20 641400]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"="c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" [2010-03-04 284696]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-08-05 98304]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"HideSCAHealth"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 SgtSch2Svc;Seagate Scheduler2 Service;c:\program files (x86)\Common Files\Seagate\Schedule2\schedul2.exe [x]
R3 ALSysIO;ALSysIO;c:\users\baril_pa\AppData\Local\Temp\ALSysIO64.sys [x]
R3 ARCVCAM;ARCVCAM, ArcSoft Webcam Sharing Manager Driver;c:\windows\system32\DRIVERS\ArcSoftVCapture.sys [x]
R3 DigiartyVirtualCDBus;Digiarty Virtual Driver;c:\windows\system32\drivers\DigiartyVirtualCDBus.sys [x]
R3 hwusbdev;Huawei DataCard USB PNP Device;c:\windows\system32\DRIVERS\ewusbdev.sys [x]
R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4925184]
R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\DRIVERS\tap0801.sys [x]
R3 tapoas;TAP-Win32 Adapter OAS;c:\windows\system32\DRIVERS\tapoas.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 WatAdminSvc;Služba Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
R3 wxpSvc;webcamXP Service;c:\program files (x86)\webcamXP 5\wService.exe [2011-07-27 5023744]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x]
S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [x]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_b20011ea53a6b83e\AESTSr64.exe [2009-03-03 89600]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x]
S2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [x]
S2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\x86\ekrn.exe [2011-01-12 810144]
S2 epfwwfp;epfwwfp;c:\windows\system32\DRIVERS\epfwwfp.sys [x]
S2 hpsrv;HP Service;c:\windows\system32\Hpservice.exe [x]
S2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;c:\program files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2010-03-04 13336]
S2 TeamViewer6;TeamViewer 6;c:\program files (x86)\TeamViewer\Version6\TeamViewer_Service.exe [2011-11-03 2358656]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2009-11-04 2320920]
S2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [2009-12-14 2019120]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [x]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x]
S3 btwampfl;Bluetooth AMP USB Filter;c:\windows\system32\drivers\btwampfl.sys [x]
S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [x]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [x]
S3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-06-17 20:11 451872 ----a-w- c:\program files (x86)\Common Files\LightScribe\LSRunOnce.exe
.
.
--------- x86-64 -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files (x86)\Synaptics\SynTP\SynTPEnh.exe" [BU]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2011-01-12 2918656]
.
------- Supplementary Scan -------
.
uLocal Page = %SystemRoot%\system32\blank.htm
mLocal Page = %SystemRoot%\system32\blank.htm
IE: E&xportovať do programu Microsoft Excel - c:\progra~2\MICROS~1\Office14\EXCEL.EXE/3000
IE: Od&oslať do programu OneNote - c:\progra~2\MICROS~1\Office14\ONBttnIE.dll/105
IE: Odoslať obrázok do &Zariadenia s rozhraním Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Odoslať stránku do &Zariadenia s rozhraním Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Translate this web page with Babylon - c:\program files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm
IE: Translate with Babylon - c:\program files (x86)\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm
TCP: DhcpNameServer = 192.168.133.133 193.93.72.10 192.168.133.3
DPF: {45830FF9-D9E6-4F41-86ED-B266933D8E90} - hxxp://192.168.133.165/RtspVaPgDec.cab
DPF: {73888E2B-FF04-416C-8847-984D7FC4507F} - hxxp://192.168.1.3/RtspVaPgDecNew2.cab
DPF: {F8E691A0-C92E-4E42-9CDA-62FC07A9483B} - hxxp://actiftp.hosting4less.com/ACTIGENERAL/AP&Manual/Live%20Demo/nvUnifiedControl.ocx
FF - ProfilePath - c:\users\baril_pa\AppData\Roaming\Mozilla\Firefox\Profiles\3a0tzbjw.default\
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\wxpSvc]
"ImagePath"="c:\program files (x86)\webcamXP 5\wService.exe /startedbyscm:5053B757-40E35B3B-webcamSRV"
.
------------------------ Other Running Processes ------------------------
.
c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
.
**************************************************************************
.
Completion time: 2011-12-12 09:35:22 - machine was rebooted
ComboFix-quarantined-files.txt 2011-12-12 08:35
ComboFix2.txt 2011-12-11 18:59
.
Pre-Run: 174 739 107 840 bytes free
Post-Run: 174 662 123 520 bytes free
.
- - End Of File - - 51D4128EAA32E236AF3B6F62305F6165

chodnik74 · #18 Příspěvek od **chodnik74** » 12 pro 2011 15:29

Neměl jste ve složce C:\usa nějaké soukromé obrázky?

Tyhle složky znáte?

Kód: Vybrat vše

C:\win3
C:\win2_

Malwarebytes' Anti-Malware Obrázek

Stáhneme,nainstalujeme a spustíme(pokud si nevíte rady jak,klikněte ZDE)
Vybereme Úplná kontrola a klikneme na tlačítko Prohledat
Program provede kontrolu počítače a na konci se vám objeví hláska,že bylo skenování dokončeno,tak potvrdíme tlačítkem OK
Objeví se vám log,který mi sem vložte
NIC NEMAZAT!!Program mívá občas falešné detekce,takže mazat budeme až po konzultaci

baril_pa · #19 Příspěvek od **baril_pa** » 12 pro 2011 15:32

tie jpg neboli dolezite, mam ich zalohovane

ano tie win zlozky poznam.

chodnik74 · #20 Příspěvek od **chodnik74** » 12 pro 2011 15:38

fajn

nezvyklé názvy, tak se raději ptám.. počkám na výsledek skenu

chodnik74 · #21 Příspěvek od **chodnik74** » 12 pro 2011 16:02

Ještě odstraním ty záznamy o MSE v pc...

Otevřeme si Poznámkový blok Obrázek

(stiskneme klávesovou kombinaci WIN+R a napíšeme ,,notepad,, bez úvozovek a dáme enter)

Vložíme do něj následující script:

Kód: Vybrat vše

KillAll::

SecCenter::
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"=-
"StartCCC"=-

Reboot::

Soubor uložíme na Plochu jako CFScript.txt
Poté tento soubor uchopíme levým tlačítkem myši a přetáhneme na ikonu Combofixu a upustíme
Poté Combofix provede všechny operace a udělá nový log,který sem vložte

Může se stát,že po aplikaci scriptu nenaběhne Windows běžným způsobem.V tomto případě restartujte počítač a při startu mačkejte F8 a zvolte možnost Poslední známá funkční konfigurace

VIRY.CZ

Backdoor: cycbot.b

Re: Backdoor: cycbot.b

Re: Backdoor: cycbot.b

Re: Backdoor: cycbot.b

Re: Backdoor: cycbot.b

Re: Backdoor: cycbot.b

Re: Backdoor: cycbot.b