VIRY.CZ

zopakuj akciu s: a napis ci su nejake problemy ?

Log z poslední akce:

ComboFix 10-04-07.03 - administrator 13.04.2010 15:01:30.9.1 - x86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.510.338 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator.KARSIT\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator.KARSIT\Plocha\CFScript.txt
* Rezidentní štít AV je zapnutý


VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
/wow section - STAGE 4


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BIFLAK
-------\Legacy_CPUZ126
-------\Service_BIFLAK
-------\Service_cpuz126


((((((((((((((((((((((((( Soubory vytvořené od 2010-03-13 do 2010-04-13 )))))))))))))))))))))))))))))))
.

2010-04-13 12:31 . 2010-04-13 12:31 -------- d-----w- C:\PCINFO
2010-04-13 07:47 . 2010-04-13 07:47 -------- d-----w- c:\documents and settings\Administrator.KARSIT\DoctorWeb
2010-04-13 07:15 . 2010-04-13 07:15 -------- d-----w- c:\winnt\ERUNT
2010-04-13 06:44 . 2010-04-13 07:21 -------- d-----w- C:\SDFix
2010-04-13 06:43 . 2010-04-13 06:42 1529241 ----a-w- C:\SDFix.exe
2010-04-13 05:40 . 2010-03-29 22:46 38224 ----a-w- c:\winnt\system32\drivers\mbamswissarmy.sys
2010-04-13 05:40 . 2010-03-29 22:45 19160 ----a-w- c:\winnt\system32\drivers\mbam.sys
2010-04-13 05:40 . 2010-04-13 05:40 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-13 05:39 . 2010-04-13 05:39 5918776 ----a-w- C:\mbam-setup-1.45.exe
2010-04-09 09:45 . 2010-04-09 09:37 1445888 ----a-w- C:\winsockxpfix.exe
2010-04-09 06:48 . 2010-04-13 05:23 -------- d-----w- c:\program files\trend micro
2010-04-09 06:48 . 2010-04-09 08:13 -------- d-----w- C:\rsit
2010-04-09 06:48 . 2010-04-09 06:47 781909 ----a-w- C:\RSIT.exe
2010-04-08 11:19 . 2009-04-07 15:58 792064 ----a-w- c:\winnt\system32\comres.dll
2010-04-08 11:14 . 2009-04-07 15:58 792064 ------w- C:\comres.dll
2010-04-01 11:59 . 2010-04-01 11:59 -------- d--h--w- c:\winnt\PIF
2010-04-01 09:03 . 2010-04-01 09:11 -------- d-----w- c:\winnt\system32\BITS
2010-04-01 09:03 . 2003-07-03 12:00 18432 ----a-w- c:\winnt\system32\qmgrprxy.dll
2010-04-01 09:03 . 2003-07-03 12:00 18432 ----a-w- c:\winnt\system32\dllcache\qmgrprxy.dll
2010-04-01 09:03 . 2004-10-05 17:43 360960 ------w- c:\winnt\system32\qmgr.dll
2010-04-01 08:03 . 2001-07-20 07:40 23040 ----a-r- c:\winnt\system32\IntelNic.dll
2010-04-01 08:03 . 2002-02-25 08:52 139536 -c--a-w- c:\winnt\system32\dllcache\e100bnt5.sys
2010-04-01 08:03 . 2002-02-25 08:52 139536 ----a-r- c:\winnt\system32\drivers\e100bnt5.sys
2010-04-01 08:03 . 2001-06-22 11:25 53248 ----a-r- c:\winnt\system32\Prounstl.exe
2010-04-01 08:01 . 2003-06-17 22:38 35012 ----a-w- c:\winnt\system32\drivers\SMBios.sys
2010-04-01 08:01 . 2010-04-01 08:02 -------- d-----w- C:\TempEI4
2010-03-31 06:39 . 2010-03-31 06:39 0 ----a-w- c:\winnt\nsreg.dat
2010-03-31 06:38 . 2010-03-31 06:38 -------- d-----w- C:\apps

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-05 06:28 . 2010-03-05 06:28 -------- d-----w- c:\program files\ESET
2008-03-17 12:37 . 2008-03-17 12:37 22034 ---h--w- c:\program files\folder.htt
.

((((((((((((((((((((((((((((( SnapShot@2010-04-01_12.37.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-04-13 07:15 . 2010-04-13 07:15 40960 c:\winnt\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2010-04-13 07:15 . 2010-04-13 07:15 40960 c:\winnt\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2010-04-13 07:15 . 2010-04-13 07:15 524288 c:\winnt\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2010-04-13 07:15 . 2008-08-07 13:27 163328 c:\winnt\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2010-04-13 07:15 . 2010-04-13 07:15 524288 c:\winnt\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2010-04-13 07:15 . 2008-08-07 13:27 163328 c:\winnt\ERUNT\SDFIX\ERDNT.EXE
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-07-03 111888]
"IgfxTray"="c:\winnt\system32\igfxtray.exe" [2002-09-08 155648]
"HotKeysCmds"="c:\winnt\system32\hkcmd.exe" [2002-09-08 114688]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"WinVNC"="c:\program files\UltraVNC\WinVNC.exe" [2006-06-18 712704]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2003-07-03 20752]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-07-03 188688]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceStartMenuLogOff"= 1 (0x1)
"DisablePersonalDirChange"= 1 (0x1)

R1 ehdrv;ehdrv;c:\winnt\system32\drivers\ehdrv.sys [16.11.2009 10:03 108792]
R1 epfwtdir;epfwtdir;c:\winnt\system32\drivers\epfwtdir.sys [16.11.2009 10:06 96408]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [16.11.2009 10:04 735960]
R2 vnccom;vnccom;c:\winnt\system32\drivers\vnccom.SYS [17.3.2008 15:33 6016]
R3 usbhub20;Podpora kořenového rozbočovač rozbočovače sběrnice USB 2.0;c:\winnt\system32\drivers\usbhub20.sys [17.3.2008 14:15 49776]
.
.
------- Doplňkový sken -------
.
uInternet Settings,ProxyOverride = <local>
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
LSP: %SystemRoot%\system32\msafd.dll
FF - ProfilePath - c:\documents and settings\Administrator.KARSIT\Data aplikací\Mozilla\Firefox\Profiles\4e5fq8c7.default\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-04-13 15:08
Windows 5.0.2195 Service Pack 4 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(196)
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL

- - - - - - - > 'explorer.exe'(1236)
c:\winnt\AppPatch\AcLayers.DLL
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
c:\winnt\system32\regsvc.exe
c:\winnt\system32\MSTask.exe
c:\winnt\System32\WBEM\WinMgmt.exe
c:\winnt\system32\msiexec.exe
.
**************************************************************************
.
Celkový čas: 2010-04-13 15:11:14 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-04-13 13:11
ComboFix2.txt 2010-04-13 12:34
ComboFix3.txt 2010-04-08 11:35
ComboFix4.txt 2010-04-08 11:24
ComboFix5.txt 2010-04-13 12:58

Před spuštěním: Volných bajtů: 36 323 532 800
Po spuštění: Volných bajtů: 36 317 429 760

- - End Of File - - 7FC6D56B3C490158859A64E0CF9B1001


---------------------

Komp zase běží OK - stejně jako posledně. Problém byl, že vždycky max. jeden den a potom se vše zase vrátilo. Mezitím takto napadených PC ve firmě přibývá. Chtěl bych se tedy zeptat, jestli je nějaký způsob, jak se proti tomu preventivně bránit? Vyházet všechny počítače s dvoutisícovkama z okna bohužel nepřipadá v úvahu

Každopádně zatím díky moc, uvidíme zítra/pozítří

no vyhadzanie win2000 by nijak nepomohlo ten system nie je napadnutelnejsi ako aj novsie OS
tu tazko radit ,,, roztatareni uzivatelia su schopni zavirit pocitace opatovne v priebehu par chvil ,,,
pomoze len zmenit spravanie na sieti, alebo prisne restrikcie >> obmedzene konta, pouzitie proxy servera apod.

Mě jen zaráží, že se to na kompech s Xp, Vistama ani 7mama neobjevuje... zatím fakt jen ty 2000.

A úplně poslední dotaz - šly by nějak všechny tyhle procesy odstraňování skloubit nebo urychlit? Když už se tomu jinak zabránit nedá... Uživatelé jsou už tak omezení až na půdu, proxy server nám tu taky běží. Já mám po projetí tím CureIT podezření, že nám to tam tahá PCInfo (spouští se automaticky ze serveru s adminskýma právama), ale o tom kolega nechce ani slyšet, jelikož se za něj utratily velký peníze. Stačí to tedy projet jen CureIT + použít ty scripty s ComboFixem, případně ještě opravit protokoly? Pač obíhat všecky pc a opakovat na nich celou procedůru, to bych už celej následující rok nedělal nic jinýho

faltik píše:Mě jen zaráží, že se to na kompech s Xp, Vistama ani 7mama neobjevuje... zatím fakt jen ty 2000.

A úplně poslední dotaz - šly by nějak všechny tyhle procesy odstraňování skloubit nebo urychlit? Když už se tomu jinak zabránit nedá... Uživatelé jsou už tak omezení až na půdu, proxy server nám tu taky běží. Já mám po projetí tím CureIT podezření, že nám to tam tahá PCInfo (spouští se automaticky ze serveru s adminskýma právama), ale o tom kolega nechce ani slyšet, jelikož se za něj utratily velký peníze. Stačí to tedy projet jen CureIT + použít ty scripty s ComboFixem, případně ještě opravit protokoly? Pač obíhat všecky pc a opakovat na nich celou procedůru, to bych už celej následující rok nedělal nic jinýho

to ze napada w2000 moze byt naznakom, ze pojde o starsi smejd
co sa tyka suboru z adresara PCInfo - nechaj ho otestovat na www.virustotal.com a podla vysledkov sa zariad
ak ide o rovnaku infiltraciu na vestkych, tak moze zabrat rovnaky postup, ak je ina, tak len zdlhavo posielat logy ,,,