VIRY.CZ

combofix

ComboFix 12-02-12.01 - Asus 12.02.2012 21:15:18.3.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1015.576 [GMT 1:00]
Spuštěný z: c:\documents and settings\Asus\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Asus\Plocha\CFScript.txt
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_58979658
-------\Service_58979658
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-01-12 do 2012-02-12 )))))))))))))))))))))))))))))))
.
.
2012-02-12 18:54 . 2012-02-12 19:55 133208 -c--a-w- c:\windows\system32\drivers\58979658.sys
2012-02-12 18:03 . 2012-02-12 20:08 -------- dc----w- C:\UsbFix
2012-02-12 17:24 . 2012-02-12 17:26 -------- dc----w- C:\kk
2012-02-12 16:56 . 2012-01-31 12:44 237072 -c----w- c:\windows\system32\MpSigStub.exe
2012-02-12 16:55 . 2009-08-06 18:23 274288 -c--a-w- c:\windows\system32\mucltui.dll
2012-02-12 16:55 . 2009-08-06 18:23 215920 -c--a-w- c:\windows\system32\muweb.dll
2012-02-12 15:04 . 2012-02-12 15:04 -------- dc----w- c:\program files\trend micro
2012-02-12 15:04 . 2012-02-12 15:04 -------- dc----w- C:\rsit
2012-02-12 14:30 . 2012-01-17 03:39 6557240 -c--a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\Microsoft Antimalware\Definition Updates\{BAB36321-02FE-4630-B036-811D141F089C}\mpengine.dll
2012-02-12 14:19 . 2012-02-12 14:19 -------- dc----w- c:\program files\ESET
2012-02-12 14:16 . 2012-02-12 14:17 -------- dc----w- c:\documents and settings\Administrator
2012-02-12 13:36 . 2008-04-14 07:51 21504 -c--a-w- c:\windows\system32\hidserv.dll
2012-02-12 13:36 . 2008-04-14 07:51 21504 -c--a-w- c:\windows\system32\dllcache\hidserv.dll
2012-02-12 13:33 . 2012-02-12 13:33 -------- dc----w- c:\documents and settings\NetworkService\Local Settings\Data aplikací\PCHealth
2012-02-09 12:36 . 2012-02-09 12:36 -------- dc----w- c:\documents and settings\LocalService\Local Settings\Data aplikací\PCHealth
2012-02-09 12:29 . 2012-02-09 12:30 -------- dc----w- c:\program files\Microsoft Security Client
2012-02-09 11:55 . 2012-02-09 11:55 -------- dc----w- c:\windows\system32\Atheros_L1e
2012-02-09 11:52 . 2009-03-02 20:03 38912 -c--a-w- c:\windows\system32\drivers\l1c51x86.sys
2012-01-28 11:04 . 2012-01-28 11:19 -------- dc----w- C:\eISIS
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-12 20:08 . 2012-02-12 20:05 247321101 -c--a-w- C:\UsbFix_Upload_Me_N-WMOWLZRITS9B8.zip
2012-02-12 17:24 . 2012-02-12 17:24 164352 -c----w- C:\kk.zip
.
.
((((((((((((((((((((((((((((( SnapShot@2012-02-12_18.33.06 )))))))))))))))))))))))))))))))))))))))))
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eee Docking"="c:\program files\ASUS\Eee Docking\Eee Docking.exe" [2009-07-27 397312]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2009-04-16 630784]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2009-03-13 98304]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2009-04-16 118784]
"LiveUpdate"="c:\program files\Asus\LiveUpdate\LiveUpdate.exe" [2009-06-25 712704]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"RTHDCPL"="RTHDCPL.EXE" [2009-04-27 17881088]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
.
c:\documents and settings\Administrator\Nabídka Start\Programy\Po spuštění\
_uninst_.lnk - c:\documents and settings\Administrator\Local Settings\temp\_uninst_.bat [N/A]
.
c:\documents and settings\Asus\Nabídka Start\Programy\Po spuštění\
Kooperativa - PDF Server.lnk - c:\program files\Kooperativa\KoopPxBN\KoopPDFServerSA.exe [2011-12-13 2936832]
Výřezy obrazovky a spuštění aplikace OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]
_uninst_58979658.lnk - c:\documents and settings\Asus\Local Settings\Temp\_uninst_58979658.bat [N/A]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
SuperHybridEngine.lnk - c:\program files\ASUS\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2009-9-1 376832]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 20:16 39792 -c--a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2009-02-06 16:53 3885408 -c--a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\TeamViewer\\Version6\\TeamViewer.exe"=
"c:\\Program Files\\TeamViewer\\Version6\\TeamViewer_Service.exe"=
"c:\\Program Files\\Kooperativa\\KalkZiv\\Kalk_ziv.exe"=
.
R2 eISISPostgreSQL;eISIS PostgreSQL Database Server;c:\eisis\servers\postgresql\bin\pg_ctl.exe runservice -N eISISPostgreSQL -D c:\eisis\data\db\data" --> c:\eisis\servers\postgresql\bin\pg_ctl.exe runservice -N eISISPostgreSQL -D c:\eisis\data\db\data [?]
R2 eISISTomcat;eISIS Tomcat;c:\eisis\servers\tomcat\bin\tomcat5.exe [28.1.2012 12:07 57344]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;c:\program files\Firebird\bin\fbguard.exe -s --> c:\program files\Firebird\bin\fbguard.exe -s [?]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;c:\program files\Firebird\bin\fbserver.exe -s --> c:\program files\Firebird\bin\fbserver.exe -s [?]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [9.2.2012 12:52 38912]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [1.9.2009 22:02 1015424]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.3.2010 12:16 130384]
S2 gupdate;Služba Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [25.2.2011 17:24 135664]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [1.9.2009 22:01 1684736]
S3 gupdatem;Služba Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [25.2.2011 17:24 135664]
S3 uvclf;uvclf;c:\windows\system32\drivers\uvclf.sys [12.8.2009 7:57 39040]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.3.2010 12:16 753504]
.
Obsah adresáře 'Naplánované úlohy'
.
2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-25 16:24]
.
2012-02-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-02-25 16:24]
.
2012-02-12 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 14:39]
.
2012-02-12 c:\windows\Tasks\MpIdleTask.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2011-04-27 14:39]
.
.
------- Doplňkový sken -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Odeslat do zařízení &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Odeslat do zařízení Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 213.46.172.36 213.46.172.37
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-02-12 21:37
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'explorer.exe'(3136)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Microsoft Security Client\Antimalware\MsMpEng.exe
c:\eisis\servers\postgresql\bin\pg_ctl.exe
c:\eisis\servers\postgresql\bin\postgres.exe
c:\program files\Firebird\bin\fbguard.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\eisis\servers\postgresql\bin\postgres.exe
c:\eisis\servers\postgresql\bin\postgres.exe
c:\program files\Firebird\bin\fbserver.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
c:\windows\RTHDCPL.EXE
c:\eisis\servers\postgresql\bin\postgres.exe
c:\eisis\servers\postgresql\bin\postgres.exe
c:\eisis\servers\postgresql\bin\postgres.exe
c:\eisis\servers\postgresql\bin\postgres.exe
.
**************************************************************************
.
Celkový čas: 2012-02-12 21:41:39 - počítač byl restartován
ComboFix-quarantined-files.txt 2012-02-12 20:41
ComboFix2.txt 2012-02-12 19:21
ComboFix3.txt 2012-02-12 18:35
.
Před spuštěním: 761 155 584
Po spuštění: 2 159 779 840
.
- - End Of File - - AF1CABC7ADF2F75950012C2ECE9EA8CE

Stiahni na plochu OTL exe, spust, dole do okna vloz tento script, a klikni na gombik>>OPRAVIT, log po restarte vloz sem.
http://oldtimer.geekstogo.com/OTL.exe

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
< echo,Y|cacls "%WinDir%\system32\drivers\etc\hosts" /G everyone:f /c >
Opravdu to chcete (A/N)?
C:\Documents and Settings\Asus\Plocha\cmd.bat deleted successfully.
C:\Documents and Settings\Asus\Plocha\cmd.txt deleted successfully.
< ipconfig /flushdns /c >
Konfigurace protokolu IP systému Windows
Mezipaměť překládání DNS byla úspěšně vyprázdněna.
C:\Documents and Settings\Asus\Plocha\cmd.bat deleted successfully.
C:\Documents and Settings\Asus\Plocha\cmd.txt deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Google Chrome cache emptied: 5961217 bytes
->Flash cache emptied: 456 bytes

User: All Users

User: Asus
->Temp folder emptied: 356979 bytes
->Temporary Internet Files folder emptied: 2087843 bytes
->Java cache emptied: 28730426 bytes
->Google Chrome cache emptied: 27156602 bytes
->Flash cache emptied: 21518237 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32835 bytes

User: NetworkService
->Temp folder emptied: 1144 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2504 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3506 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 11917800 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 93,00 mb

Restore points cleared and new OTL Restore Point set!

OTL by OldTimer - Version 3.2.31.0 log created on 02122012_215309

Files\Folders moved on Reboot...
File\Folder C:\Documents and Settings\Asus\Local Settings\Temp\~DF6C98.tmp not found!
File\Folder C:\Documents and Settings\Asus\Local Settings\Temp\~DF6CA3.tmp not found!
File\Folder C:\Documents and Settings\Asus\Local Settings\Temp\~DF6D25.tmp not found!
File\Folder C:\Documents and Settings\Asus\Local Settings\Temp\~DF6D30.tmp not found!
File\Folder C:\Documents and Settings\Asus\Local Settings\Temp\~DF6E3B.tmp not found!
File\Folder C:\Documents and Settings\Asus\Local Settings\Temp\~DF6E46.tmp not found!
C:\Documents and Settings\Asus\Local Settings\Temporary Internet Files\Content.IE5\TMOBK07T\afr[1].htm moved successfully.
C:\Documents and Settings\Asus\Local Settings\Temporary Internet Files\Content.IE5\TMOBK07T\viewtopic[1].htm moved successfully.

Registry entries deleted on Reboot...

1:Ok, premenuj ikonu combofixu na uninstall a spust, combofix sa odinstaluje z pc.
2:Spustis este uplnu kontrolu s Malwarebytes, ak nieco najde odstranis.
http://forum.viry.cz/viewtopic.php?f=29 ... 1#p1031821
Log vloz sem, zajtra sa na to pozriem.

3:Treba doinstalovat Firewall.
4: Tak ako som pisal, ak pripoji neosetrene, infikovane USB nosice dat, vsetko sa vrati spat, a nasa namaha vyjde nazmar,
Tot vse.

dobře, mnohokrát ti děkuji... vyřidím jí to...

jak vy tady poznáte co je v počítači špatně?

No, ako poznam?/ tak ako doktor, ak viem nazov infekcie,tak viem ake lieky treba nasadit, a co do OS nepatrí.Takze treba spravit co som napisal.
Nemas zaco.

dobře pane doktore
¨
ted koukam na mém NTB (do kterého jsem dával její flešku) ze mi MS esentials security taky nalezl Confictera.B ( a prý odstranil) ... takže jí řeknu že ta fleška je teda zavirovaná ať ji nepoužívá

můj NTB můžu zformátovat což bude nejrychlejší

No pockaj, flashku trebalo pripojit, ked si pouzil nastroj USBFIX, ak si mal pripojene ,tak uz tam nemoze zostat Worm, ale ak si pripojil flashku pred dezinfekciou do tvojho pocitaca, tak samozrejme si infekciu preniesol na tvoj pocitac.Cize pripoj flashku a setky nosice dat do tvojho pocitaca a spust USBFIX a bude ok,
Tot vse.

Format, nemusi pomoct,,ak svoje prenosne media neodcervis, tak infekcia sa obnovi.

Este inak, tvoj pocitac..ak si sa rozhodol pre format, musis s formatovat aj vsetky nosice dat, USB,MP3,FOTAK, atd.

Pocitac kamaratky, ak doma pripoji neosetrene nosice dat, USB,MP3,Fotak, infekcia sa obnovi.
Takze take nieco ze nech nepouziva ,nie je mozne, preto pri odstranovani infekcie Conficker, treba dezinfikovat aj vsetky nosice dat.

Preto nie je ziaduce odcervovat cudzie pocitace, ak netusis ze ako, kedy, a co,,,pretoze take nieco na dnesne infekcie uz neplati,,neexistuje ze spustim nieco,, dajaky antivirak a hotovo.
Asi takto.

jasan,

u sebe nainstaluju USB FIX a projedu tím tu flešku a potom muj NTB zformátuju a nainstaluju znova ... (dobře jsem si naběhl co? ... ještě ze NTB moc nepoužívám a nemám v něm ani nic nainstalovaný - původně jsem ji pouze jel rozchodit internet - neměla nainstalovanou sitovku - musel jsem přetáhnout ovladače přes flešku) nic jiného jsem od tý doby do svého NTB nedával...

log z malwarebytes nemám ... pustil jsem to přes noc a ráno hrabal disk (po 10 hodinách) a nepustil se ani display tak sem to musel restartovat a dopoledne už to chtěla...


ještě jednou ti moc děkuji za rady a vyřešení problému.

Ano tak ako pises, u teba spustit USBFIX, a pripojit vsetko co pouzivas cez USB, a vsetko vydezinfikovat a zaockovat programom USBFIX.
Nemas zaco.