VIRY.CZ

Mbam nemusíš vypínat je to jen skener.

Ahoj,
toto mi vygeneroval ComboFix:
ComboFix 10-01-23.02 - MJ 23.01.2010 22:17:37.2.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.1014.516 [GMT 1:00]
Spuštěný z: c:\documents and settings\MJ\Plocha\ComboFix.exe
.
/wow section - STAGE 4
play.lnk není názvem vnitřního ani vnějšího příkazu
ECHOhdahc.drv není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu


((((((((((((((((((((((((( Soubory vytvořené od 2009-12-23 do 2010-01-23 )))))))))))))))))))))))))))))))
.

2010-01-23 21:03 . 2010-01-23 21:04 -------- d-----w- c:\windows\LastGood
2010-01-22 20:31 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-22 20:31 . 2010-01-22 20:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-22 20:31 . 2010-01-07 15:07 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-22 18:44 . 2010-01-22 20:26 -------- d-----w- c:\program files\trend micro
2010-01-22 18:44 . 2010-01-22 18:44 -------- d-----w- C:\rsit
2010-01-22 16:05 . 2010-01-22 16:05 13456 ----a-w- C:\sl0drl.exe
2010-01-22 06:51 . 2010-01-22 06:51 552 ----a-w- c:\windows\system32\d3d8caps.dat
2010-01-22 06:50 . 2010-01-22 06:50 13505 ----a-w- C:\vnz7s7.exe
2010-01-16 18:03 . 2010-01-16 18:03 -------- d-----w- c:\program files\profine
2010-01-08 07:13 . 2010-01-08 07:13 33096 ----a-w- c:\windows\system32\drivers\epfwndis.sys
2010-01-07 16:39 . 2010-01-07 16:39 -------- d-----w- c:\program files\OpenOffice.org 3
2010-01-07 09:04 . 2010-01-07 09:04 -------- d-----w- c:\program files\Common Files\Skype
2010-01-07 09:04 . 2010-01-07 09:04 -------- d-----r- c:\program files\Skype
2009-12-30 19:26 . 2009-12-30 19:27 -------- d-----w- c:\program files\Common Files\Adobe
2009-12-28 21:06 . 2009-12-28 21:06 -------- d-----w- c:\program files\QuickTime

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-07 09:05 . 2009-12-14 20:46 -------- d-----w- c:\program files\Google
2009-12-20 17:54 . 2009-12-20 17:51 -------- d-----w- c:\program files\Winamp
2009-12-20 17:54 . 2009-12-20 17:54 -------- d-----w- c:\program files\Winamp Toolbar
2009-12-18 14:02 . 2009-12-18 14:02 135048 ----a-w- c:\windows\system32\drivers\epfw.sys
2009-12-17 19:17 . 2009-12-14 13:45 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-17 18:52 . 2001-10-25 12:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2009-12-17 18:52 . 2001-10-25 12:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2009-12-17 18:51 . 2009-12-14 13:45 -------- d-----w- c:\program files\Realtek
2009-12-17 18:48 . 2009-12-17 18:48 -------- d-----w- c:\program files\Setup Files
2009-12-17 18:45 . 2009-12-17 18:45 -------- d-----w- c:\program files\MSI
2009-12-15 16:44 . 2009-12-15 16:44 -------- d-----w- c:\program files\Common Files\InstallShield
2009-12-14 20:48 . 2009-12-14 20:48 48 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-12-14 18:57 . 2009-12-14 18:57 737280 ----a-w- c:\windows\iun6002.exe
2009-12-14 14:14 . 2009-12-14 14:14 -------- d-----w- c:\program files\ESET
2009-12-12 08:28 . 2009-12-12 07:36 2410 ----a-w- c:\windows\PCHealth\HelpCtr\PackageStore\SkuStore.bin
2009-12-12 08:07 . 2009-12-12 08:07 -------- d-----w- c:\program files\Microsoft.NET
2009-12-12 08:07 . 2009-12-12 08:07 -------- d-----w- c:\program files\Microsoft ActiveSync
2009-12-12 07:46 . 2009-12-11 20:48 -------- d-----w- c:\program files\microsoft frontpage
2009-12-12 07:37 . 2009-12-12 07:37 558142 ----a-w- c:\windows\java\Packages\KMWKFPBD.ZIP
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\X3DZ1NJL.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\O5RHZVFF.DAT
2009-12-12 07:37 . 2009-12-12 07:37 155995 ----a-w- c:\windows\java\Packages\JTR3LZLN.ZIP
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\WT7ZFHZJ.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\K1393R1F.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\HVXBR1B3.DAT
2009-12-12 07:37 . 2009-12-12 07:37 8738 ----a-w- c:\windows\PCHealth\HelpCtr\Config\Cntstore.bin
2009-12-12 07:37 . 2009-12-12 07:37 80007 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-12-12 07:34 . 2009-12-12 07:34 21812 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-10 17:00 . 2009-12-17 21:56 84512 ----a-w- c:\windows\SOUNDMAN.EXE
2009-12-10 17:00 . 2009-12-17 21:56 358944 ----a-w- c:\windows\vncutil.exe
2009-12-10 17:00 . 2009-12-17 21:56 1489440 ----a-w- c:\windows\RtlUpd.exe
2009-12-10 17:00 . 2009-12-17 21:56 9721888 ----a-w- c:\windows\RTLCPL.EXE
2009-12-10 17:00 . 2009-12-17 21:56 50208 ----a-w- c:\windows\system32\RtkCoInstXP.dll
2009-12-10 17:00 . 2009-12-17 21:56 129568 ----a-w- c:\windows\RtkAudioService.exe
2009-12-10 17:00 . 2009-12-17 21:56 18789920 ----a-w- c:\windows\RTHDCPL.EXE
2009-12-10 17:00 . 2009-12-17 21:56 2177568 ----a-w- c:\windows\MicCal.exe
2009-12-10 17:00 . 2009-12-17 21:56 2815520 ----a-w- c:\windows\ALCWZRD.EXE
2009-12-10 17:00 . 2009-12-17 21:56 64032 ----a-w- c:\windows\ALCMTR.EXE
2009-12-10 16:23 . 2009-12-17 21:56 6017568 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2009-11-24 16:40 . 2009-12-17 18:51 838176 ----a-w- c:\windows\RtlExUpd.dll
2009-11-18 06:17 . 2009-12-17 21:56 1395800 ----a-w- c:\windows\system32\drivers\Monfilt.sys
2009-11-18 06:16 . 2009-12-17 21:56 1691480 ----a-w- c:\windows\system32\drivers\Ambfilt.sys
2009-11-16 08:06 . 2009-11-16 08:06 55768 ----a-w- c:\windows\system32\drivers\epfwtdi.sys
2009-11-16 08:03 . 2009-11-16 08:03 108792 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2009-11-16 07:56 . 2009-11-16 07:56 116520 ----a-w- c:\windows\system32\drivers\eamon.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2009-05-06 1262888]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-14 39408]
"AdobeUpdater6"="c:\program files\Common Files\Adobe\Updater6\Adobe_Updater.exe" [2009-01-08 2521464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-12-10 18789920]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-12-28 417792]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

c:\documents and settings\MJ\Nabˇdka Start\Programy\Po spuçtŘnˇ\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-1-15 393216]

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16.11.2009 9:03 108792]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [16.11.2009 9:04 735960]
R4 epfwtdir;epfwtdir;c:\windows\System32\DRIVERS\epfwtdir.sys --> c:\windows\System32\DRIVERS\epfwtdir.sys [?]
S2 gupdate1ca8f788138d1b4;Služba Google Update (gupdate1ca8f788138d1b4);c:\program files\Google\Update\GoogleUpdate.exe [7.1.2010 10:05 133104]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.12.2009 22:56 1691480]

--- Ostatní služby/ovladače v paměti ---

*NewlyCreated* - EKRN
*NewlyCreated* - EPFW
*NewlyCreated* - EPFWTDI
.
Obsah adresáře 'Naplánované úlohy'

2010-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-07 09:04]

2010-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-07 09:04]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Winamp Search - c:\documents and settings\All Users.WINDOWS\Data aplikací\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-23 22:19
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(732)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(788)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(2064)
c:\windows\System32\msi.dll
.
Celkový čas: 2010-01-23 22:20:03
ComboFix-quarantined-files.txt 2010-01-23 21:20
ComboFix2.txt 2010-01-23 21:14

Před spuštěním: Volných bajtů: 32 722 018 304
Po spuštění: Volných bajtů: 32 709 537 792

- - End Of File - - B53419569AAC19302E25AAF5B5A704A5

Bezva, nyní přes Start >> Spustit zkopíruj do okna:

ComboFix /Uninstall

a stiskni Enter

To odinstaluje ComboFix a smaže s ním související soubory a složky.


Najdi na disku :

C:\sl0drl.exe

C:\vnz7s7.exe

a smaž.


Pak dej vědět jaký je stav PC.

Díky, udělal jsem, co jsi řekl a šlape to. PC je OK.

MMJJ

Není zač.

Dobrý den,

mám stejný problém W32/blaster.worm a téměř nic mi nejde spustit. PC jsem raději odpojil od netu a píši z jiného PC. Půjde PC zotavit pomocí fixBlast.exe a comboFix.exe ? Pravděpodobně budu muset zkusit začít také přes nouzový režim...? OS mám windows XP profesional ME.

Dostal jsem také snadně vypadající tip na odstranění, tak nevím co na to odborníci ...... ale od W95 po WXP když se odstraňoval ručně, stačilo vypnout Obnovení systému, spustit v nouzovém režimu, najít v registru HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run a pokud je vpravo hodnota "windows auto update", smazat ji.
V Průzkumníku najít C:\Windows\System32\msblast.exe a smazat. Když po restartu bylo čisto, Obnovení systému se zase zapnulo.

Omlouvam se kolegovi za vstup

dunetrooper zde mate sve tema http://viry.cz/forum/viewtopic.php?f=13&t=108212 pokracujte prosim tam...

vyosek píše:Omlouvam se kolegovi za vstup

dunetrooper zde mate sve tema http://viry.cz/forum/viewtopic.php?f=13&t=108212 pokracujte prosim tam...

V takovémhle případe není třeba se omlouvat