VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

Prosím o preventivní prohlídku logu

https://forum.viry.cz:443/viewtopic.php?t=120836

Stránka 2 z 3

Re: Prosím o preventivní prohlídku logu

Napsal: 03 dub 2012 22:37
od petr-h-
Tak hotovo:

ComboFix 12-04-03.02 - User 03.04.2012 23:27:20.1.4 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.3327.2527 [GMT 2:00]
Spuštěný z: c:\documents and settings\User\Plocha\ComboFix.exe
AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
AV: PC Cleaner Pro *Disabled/Updated* {737A8864-C2D9-4337-B49A-B5E35815B9BB}
FW: ZoneAlarm Firewall *Disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\User\FCM.exe
c:\documents and settings\User\IMInstaller.exe
c:\program files\Object
c:\program files\Object\config.ini
c:\windows\system32\ijl11.dll
c:\windows\system32\SET40E.tmp
c:\windows\system32\SET41A.tmp
K:\Autorun.inf
K:\setup.exe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-03-03 do 2012-04-03 )))))))))))))))))))))))))))))))
.
.
2012-04-03 16:00 . 2012-04-03 16:00 -------- d-----w- c:\windows\SxsCaPendDel
2012-04-02 20:08 . 2012-04-02 20:08 -------- d-----w- C:\rsit
2012-04-02 20:08 . 2012-04-02 20:08 -------- d-----w- c:\program files\trend micro
2012-03-25 20:33 . 2012-03-25 20:33 -------- d-----w- C:\Cameras
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-01 09:34 . 2011-09-11 20:28 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-02-03 09:57 . 2008-04-14 12:00 1860096 ----a-w- c:\windows\system32\win32k.sys
2012-01-11 19:07 . 2012-02-15 08:59 3072 ------w- c:\windows\system32\iacenc.dll
2012-01-09 16:20 . 2009-09-16 10:48 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-02-16 14:53 . 2012-03-01 07:25 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-12-06 2387968]
"Sony Ericsson PC Companion"="c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" [2011-10-21 433872]
"T-Mobile Communication Centre"="c:\program files\T-Mobile\Web'n'walk Manager\Manager.exe" [2010-06-03 1347504]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2008-09-16 30023680]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-12-04 8523776]
"nwiz"="nwiz.exe" [2007-12-04 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-12-04 81920]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 71216]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2007-01-08 52256]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2008-02-27 570664]
"CanonSolutionMenu"="c:\program files\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="c:\program files\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2010-09-02 1043968]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-08-12 2215064]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-10-24 421888]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\ICQ7.2\\ICQ.exe"=
"c:\\Program Files\\ICQ7.2\\aolload.exe"=
"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=
"c:\\Program Files\\Sony Ericsson\\Update Engine\\Sony Ericsson Update Engine.exe"=
"c:\\Program Files\\Common Files\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [29.7.2010 13:31 115008]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [1.9.2009 11:00 95896]
R2 ameisvc;Web'n'walk Manager mobile equipment installation service;c:\program files\T-Mobile\Web'n'walk Manager\ameisvc.exe [3.6.2010 12:26 122096]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [12.8.2010 14:16 810144]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [1.10.2009 0:01 247096]
R3 seehcri;Sony Ericsson seehcri Device Driver;c:\windows\system32\drivers\seehcri.sys [11.12.2009 1:07 27632]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [16.9.2009 13:30 874240]
S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\drivers\ggflt.sys [27.1.2011 14:11 13224]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [3.3.2011 20:15 9216]
S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [11.12.2009 1:07 89256]
S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [11.12.2009 1:07 15016]
S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [11.12.2009 1:07 120744]
S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [11.12.2009 1:07 114216]
S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [11.12.2009 1:07 25512]
S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [11.12.2009 1:07 110632]
S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [11.12.2009 1:07 115752]
S3 Sony Ericsson PCCompanion;Sony Ericsson PCCompanion;c:\program files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe [27.1.2011 14:08 155344]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - TRUESIGHT
*Deregistered* - Lavasoft Kernexplorer
*Deregistered* - TrueSight
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-12-06 21:18 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2012-04-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
.
------- Doplňkový sken -------
.
uStart Page = about:blank
mStart Page = hxxp://www.startsearcher.com
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - c:\documents and settings\User\Data aplikací\Mozilla\Firefox\Profiles\ijget76f.default\
FF - prefs.js: network.proxy.type - 0
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKCU-Run-TomTomHOME.exe - c:\program files\TomTom HOME 2\TomTomHOMERunner.exe
HKCU-Run-nds - c:\docume~1\User\LOCALS~1\TempNd\nds.exe
HKCU-Run-gcs - c:\docume~1\User\LOCALS~1\TempNd\gcs.exe
AddRemove-IPCameraDSFilter - c:\program files\wLite\ipds-uninst.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-04-03 23:33
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
Celkový čas: 2012-04-03 23:34:34
ComboFix-quarantined-files.txt 2012-04-03 21:34
.
Před spuštěním: Volných bajtů: 188 922 028 032
Po spuštění: Volných bajtů: 192 346 066 944
.
WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - D64C96DE73253B6BCE7F2EE5CB61C6E6

Re: Prosím o preventivní prohlídku logu

Napsal: 03 dub 2012 22:46
od vyosek
:arrow: Pokud nemate, tak presunte Combofix na plochu
  • Spustte poznamkovy blok (Start-spustit-notepad)
  • Zkopirujte skript nize

  • Kód: Vybrat vše

    KillAll::

SecCenter::
{737A8864-C2D9-4337-B49A-B5E35815B9BB}
AV: PC Cleaner Pro *Disabled/Updated* {737A8864-C2D9-4337-B49A-B5E35815B9BB}

DirLook::
c:\windows\SxsCaPendDel

Driver::
ICQ Service
NBService
gusvc
NMIndexingService

Folder::
c:\program files\ICQ6Toolbar

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"=-
"LanguageShortcut"=-
"NeroFilterCheck"=-
"SSBkgdUpdate"=-
"QuickTime Task"=-
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{855F3B16-6D32-4fe6-8A56-BBB695989046}"=-

File::
c:\windows\Tasks\AppleSoftwareUpdate.job

DDS::
mStart Page = hxxp://www.startsearcher.com

ClearJavaCache::

Reboot::
  • Ulozte vytvoreny TXT jako CFScript.txt
  • Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
    Obrázek
  • Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte
:arrow: Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

Re: Prosím o preventivní prohlídku logu

Napsal: 03 dub 2012 22:50
od petr-h-
Opět musím mít vypnutý antivirus a antispyware?

Re: Prosím o preventivní prohlídku logu

Napsal: 03 dub 2012 22:52
od vyosek
Ano, prosim, on by si sam CF stejne zakricel...

Re: Prosím o preventivní prohlídku logu

Napsal: 03 dub 2012 23:26
od petr-h-
Vše provedeno podle návodu. Po restartu systém naběhl, ale se objevila hláška: attrib.3xe - chyba aplikace. Správná inicializace aplikace (0xc0000142) se nezdařila. Kliknutim na tlačítko Ok můžete aplikaci ukončit.
Combofix se zasekl u přípravy logu. Už asi půl hodiny nic.

Co dál?

Btw: při restartu se opět zapnula AV a Antispyware ochrana NODU. V tom problem není?

Re: Prosím o preventivní prohlídku logu

Napsal: 03 dub 2012 23:27
od petr-h-
(Compu jsem se pořád nedotkl, píšu odjinud.)

Re: Prosím o preventivní prohlídku logu

Napsal: 04 dub 2012 07:38
od vyosek
PC restartujte...pokud nenabehne, tak F8 a posledni znama funkcni konfigurace jak je popsano v navodu

Re: Prosím o preventivní prohlídku logu

Napsal: 04 dub 2012 07:49
od petr-h-
Po restartu systém naběhl. Ale zdá se, že CF opravdu log nevytvořil. Ani na mě nevypadl, ani neexistuje C:/combofix.txt

Re: Prosím o preventivní prohlídku logu

Napsal: 04 dub 2012 07:51
od vyosek
Opakujte aplikaci skriptu jeste jednou ale v nouzovem rezimu (restart PC, mackat F8, zvolit Stav nouze s praci v siti)

Re: Prosím o preventivní prohlídku logu

Napsal: 04 dub 2012 08:09
od petr-h-
Zase se projevím jako naprostý idiot, ale v nouzovém režimu neumím vypnout NOD32. Když rozkliknu ikonu, nabízí mi jen volbu provést/neprovést kontrolu. Jak na to, prosím?

Re: Prosím o preventivní prohlídku logu

Napsal: 04 dub 2012 08:16
od vyosek
v poradku, NOD nebezi, pokud bude CFkricet, tak to ignorujte

Re: Prosím o preventivní prohlídku logu

Napsal: 04 dub 2012 08:37
od petr-h-
Asi nastal problém: po spuštění CF počítač zkolaboval. Několikrát se snažil rozběhnout, ale nakonec nic.

Re: Prosím o preventivní prohlídku logu

Napsal: 04 dub 2012 10:01
od vyosek
Restart, mackat F8, zvolit posledni znama funkcni konfigurace

Re: Prosím o preventivní prohlídku logu

Napsal: 04 dub 2012 21:42
od petr-h-
Tak všechno nasvědčuje tomu, že mi dopoledne odešel zdroj. Počítač už ani neškytne. Až ho dám do pořádku, co se HW týče (snad to ještě půjde), tak se ještě ozvu. Zatím díky. Petr

Re: Prosím o preventivní prohlídku logu

Napsal: 04 dub 2012 21:44
od vyosek
Oki, neni tedy zatim zac :)
Všechny časy jsou v UTC+01:00
Stránka 2 z 3

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz