o5... FB vir...rst PC po bootu XP

[cernohous13]

Zatím nevím co způsobuje BSOD

Udělej čistku AVPToolem podle návodu zde - http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

[pepe3dx]

Ahoj udělal jsem čistku AVPečkem jak jsi chtěl. Bohužel log nebude kompletní. Zhruba když měl AVP za sebou 70% práce tak došlo k restartu PC. V tu dobu tam bylo zaznamenáno 40 "threads". Poté jsem musel AVP znova instalovat a nechal jsem ho dělat celou operaci znova.
To už našel jen 3 threads..takže nevim jestli se dá brát tahle akce za úspěšnou..
Pak už to běželo do rána v pohodě bez pádu..( v nouzáku) V normálnim režimu mi to hazí okno od win že došlo k závažné chybě a chce to odesílat zprávu mcsoftu..Tohle okno nejde vypnout!! Když kliknu na "neodesílat" oběví se znova a znova..stále dokola..


Status: Detected (events: 3)
16.11.2011 2:11:51 Detected adware not-a-virus:AdWare.Win32.Mostofate.x C:\#MOVIES#\Cracks&Games&Keygens&Patsch&CZ\Nocd Crack Ducati World Championship German.rar//NoCD Crack Ducati World Championship German[DoWnL].exe//data0005 Medium
16.11.2011 2:29:48 Detected virus P2P-Worm.Win32.Kapucen.b C:\FOTO\TATOO\1600 ~ Tatoo, Tattoo, Tribal, Cenltic,.rar//setup.exe High
16.11.2011 4:57:25 Detected Trojan program Trojan-Downloader.Win32.Agent.broj H:\LAN.LOUKOV\Demigod-AVENGED_\avd-demg\avd-demg.iso//setup.exe//data0003 High

[cernohous13]

Vidím tam sice "Detected" ale chybí mi "Deleted"

Píšeš, že postižený stroj nemá přístup na internet - tak se tam musela nákaza dostat přes přenosná media (USBklíče, ext.HDD)
Zapoj používanou flešku do NTB

• Stáhni a ulož na plochu UsbFix zde http://riffman.ic.cz/files/UsbFix.exe - návod zde: http://www.viry.cz/forum/viewtopic.php?f=24&t=102308
• Spusť a klikni na Deletion
• Po dokončení sem vlož log, pokud se sám neotevře, najdeš jej zde C:\UsbFix.txt

Na vyčištěnou flešku stáhni USBFix a přenes do napadeného PC - zapoj všechna výměnná media a spusť USBFix
všechny logy sem

[pepe3dx]

včera večer jsem PC připojil k síti..promin zapoměl jsem Ti to zdělit...

[pepe3dx]

jo a včera šel internet na PC normálně a dneska mi zmizela ikona připojení k místní síti ze složky sítová připojení..takže se k internetu o5 nemohu připojit.. takže zase vše tahat přez ntb a flešku..která je čistá i ntb mam čistej..včera jsem to kontroloval..

[cernohous13]

Tak spusť znovu ComboFix - log mi dej a mezitím pohledej instalační CD na WinXP se SP2

[pepe3dx]

Mám i tak použít soft USBfix..? následně vložit log?

[cernohous13]

Tím nic nezkazíme - bude to jistější

[pepe3dx]

log ComboFix


ComboFix 11-11-15.01 - pepe3dx 16.11.2011 16:58:08.2.1 - x86 NETWORK
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1535.1254 [GMT 1:00]
Spuštěný z: c:\documents and settings\pepe3dx\Plocha\ComboFix.exe
AV: VirusScan Enterprise + AntiSpyware Enterprise *Enabled/Outdated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-10-16 do 2011-11-16 )))))))))))))))))))))))))))))))
.
.
2011-11-16 00:42 . 2011-11-16 00:42 -------- d-----w- c:\documents and settings\pepe3dx\Data aplikací\MSN6
2011-11-16 00:42 . 2011-11-16 00:42 -------- d-----w- c:\documents and settings\All Users\Data aplikací\MSN6
2011-11-15 21:22 . 2011-11-15 21:22 -------- d-----w- c:\program files\CleanUp!
2011-11-15 20:13 . 2011-11-15 20:13 -------- d-----w- C:\_OTM
2011-11-15 18:56 . 2011-11-15 18:57 -------- d-----w- C:\rsit
2011-11-15 18:41 . 2011-11-15 18:41 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-11-15 18:26 . 2011-11-15 18:26 -------- d-----w- c:\program files\Common Files\Java
2011-11-15 13:51 . 2011-11-15 13:51 -------- d-----w- c:\documents and settings\pepe3dx\Data aplikací\Malwarebytes
2011-11-15 13:50 . 2011-11-15 13:50 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-11-15 13:50 . 2011-11-15 13:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-11-15 13:50 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-11-14 17:51 . 2011-11-15 20:45 -------- d-----w- c:\program files\trend micro
2011-11-14 16:03 . 2011-11-14 16:03 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-03 04:06 . 2010-12-04 08:24 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-10-03 01:37 . 2008-12-18 13:37 73728 ----a-w- c:\windows\system32\javacpl.cpl
.
.
((((((((((((((((((((((((((((( SnapShot@2011-11-15_16.34.28 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-28 09:55 . 2011-11-15 18:27 32768 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
- 2008-01-28 09:55 . 2008-01-28 10:19 32768 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2011-11-15 18:29 . 2011-11-15 18:27 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2008-01-28 09:55 . 2008-01-28 10:19 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2011-11-15 18:23 . 2011-11-15 18:23 22016 c:\windows\Installer\52902.msi
+ 2011-11-15 18:25 . 2011-10-03 04:06 157472 c:\windows\system32\javaws.exe
+ 2011-11-15 18:25 . 2011-10-03 04:06 145184 c:\windows\system32\javaw.exe
- 2010-12-04 08:24 . 2010-09-15 03:50 145184 c:\windows\system32\javaw.exe
+ 2011-11-15 18:25 . 2011-10-03 04:06 145184 c:\windows\system32\java.exe
- 2010-12-04 08:24 . 2010-09-15 03:50 145184 c:\windows\system32\java.exe
+ 2011-01-30 16:19 . 2011-11-15 19:31 182912 c:\windows\system32\dllcache\ndis.sys
+ 2011-11-15 18:26 . 2011-11-15 18:26 203776 c:\windows\Installer\52920.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-01-08 395640]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-04-06 26102056]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-19 15797248]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-29 112216]
"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 136768]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"openvpn-gui"="c:\program files\OpenVPN\bin\openvpn-gui.exe" [2005-08-18 99328]
"TO2SSM_McciTrayApp"="c:\program files\TO2SSM\McciTrayApp.exe" [2008-08-15 1473536]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"RemoteControl10"="c:\program files\CyberLink\PowerDVD10\PDVD10Serv.exe" [2010-02-02 87336]
"BDRegion"="c:\program files\Cyberlink\Shared files\brs.exe" [2010-11-17 75048]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-17 110592]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]
.
c:\documents and settings\Lucka\Nabídka Start\Programy\Po spuštění\
OpenOffice.org 3.1.lnk - h:\openoffice.org 3\program\quickstart.exe [2009-5-15 384512]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-9-18 813584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 11:28 72208 ----a-w- c:\program files\Common Files\Logitech\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\TC UP\\PLUGINS\\Media\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD10\\PowerDVD10.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD10\\PowerDVD Cinema\\PowerDVDCinema10.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Activision\\Singularity(TM)\\Binaries\\Singularity.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"17061:TCP"= 17061:TCP:*:Disabled:spport
"6055:TCP"= 6055:TCP:*:Disabled:spport
"18591:TCP"= 18591:TCP:*:Disabled:spport
"19980:TCP"= 19980:TCP:*:Disabled:spport
"14579:TCP"= 14579:TCP:*:Disabled:spport
"5717:TCP"= 5717:TCP:*:Disabled:spport
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21.4.2008 16:24 717296]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [1.10.2006 13:37 26624]
S1 VD_FileDisk;VD_FileDisk;c:\windows\system32\drivers\vd_filedisk.sys [13.1.2006 14:00 15872]
S2 {1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC};Power Control [2011/01/16 20:25];c:\program files\CyberLink\PowerDVD10\NavFilter\000.fcl [17.11.2010 21:29 87536]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.sys [24.2.2005 12:29 162176]
S3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [7.9.2008 19:02 21920]
.
Obsah adresáře 'Naplánované úlohy'
.
2011-04-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
2011-11-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-01-21 11:06]
.
2011-11-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-01-21 11:06]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://start.icq.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
Trusted Zone: mojebanka.cz
FF - ProfilePath - c:\documents and settings\pepe3dx\Data aplikací\Mozilla\Firefox\Profiles\5r8epuh1.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: České slovníky pro kontrolu pravopisu: cs@dictionaries.addons.mozilla.org - %profile%\extensions\cs@dictionaries.addons.mozilla.org
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - Ext: Zynga Toolbar: {7b13ec3e-999a-4b70-b9cb-2617b8323822} - %profile%\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKLM-Run-SunJavaUpdateSched - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-16 17:02
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\{1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD10\NavFilter\000.fcl"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(836)
c:\windows\system32\Ati2evxx.dll
c:\program files\common files\logitech\bluetooth\LBTWlgn.dll
c:\program files\common files\logitech\bluetooth\LBTServ.dll
.
Celkový čas: 2011-11-16 17:03:24
ComboFix-quarantined-files.txt 2011-11-16 16:03
ComboFix2.txt 2011-11-15 16:43
.
Před spuštěním: Volných bajtů: 29 549 719 552
Po spuštění: Volných bajtů: 30 287 781 888
.
- - End Of File - - 3898C383834991EEECF1E374FB3A4001

[pepe3dx]

PS. USBfix nemá cenu používat..fleška byla nová..včera jsem ji rozbalil použil poprvé jen na trnasport logů z PC na ntb..

[cernohous13]

Otevři Poznámkový blok (Notepad) a zkopíruj celý zelený text z "CFscriptu".
Soubor ulož na plochu jako CFscript.txt a jeho ikonu přetáhni myší nad ikonu ComboFixu - tam pusť.

ComboFix se spustí - počkej na log a vlož ho sem.

CFscript

Kód: Vybrat vše

KillAll::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

File::
c:\windows\Tasks\AppleSoftwareUpdate.job
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\system32\drivers\nebfvers.sys 

Firefox::
FF - ProfilePath - c:\documents and settings\pepe3dx\Data aplikací\Mozilla\Firefox\Profiles\5r8epuh1.default\
FF - Ext: Zynga Toolbar: {7b13ec3e-999a-4b70-b9cb-2617b8323822} - %profile%\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}

Driver::
nebfvers

Reboot::

dej mi hlášku o přetrvávajících problémech

[pepe3dx]

Udělal jsem vše jak jsi chtěl..tady je poslední log ComboFix...


ComboFix 11-11-15.01 - pepe3dx 17.11.2011 0:36.3.1 - x86 NETWORK
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1535.1076 [GMT 1:00]
Spuštěný z: c:\documents and settings\pepe3dx\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\pepe3dx\Plocha\CFscript.txt
AV: VirusScan Enterprise + AntiSpyware Enterprise *Enabled/Outdated* {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
FILE ::
"c:\windows\system32\drivers\nebfvers.sys"
"c:\windows\Tasks\AppleSoftwareUpdate.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\Tasks\AppleSoftwareUpdate.job
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NEBFVERS
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-10-16 do 2011-11-16 )))))))))))))))))))))))))))))))
.
.
2011-11-16 00:42 . 2011-11-16 00:42 -------- d-----w- c:\documents and settings\pepe3dx\Data aplikací\MSN6
2011-11-16 00:42 . 2011-11-16 00:42 -------- d-----w- c:\documents and settings\All Users\Data aplikací\MSN6
2011-11-15 21:22 . 2011-11-15 21:22 -------- d-----w- c:\program files\CleanUp!
2011-11-15 20:13 . 2011-11-15 20:13 -------- d-----w- C:\_OTM
2011-11-15 18:56 . 2011-11-15 18:57 -------- d-----w- C:\rsit
2011-11-15 18:41 . 2011-11-15 18:41 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-11-15 18:26 . 2011-11-15 18:26 -------- d-----w- c:\program files\Common Files\Java
2011-11-15 13:51 . 2011-11-15 13:51 -------- d-----w- c:\documents and settings\pepe3dx\Data aplikací\Malwarebytes
2011-11-15 13:50 . 2011-11-15 13:50 -------- d-----w- c:\documents and settings\All Users\Data aplikací\Malwarebytes
2011-11-15 13:50 . 2011-11-15 13:50 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-11-15 13:50 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-11-14 17:51 . 2011-11-15 20:45 -------- d-----w- c:\program files\trend micro
2011-11-14 16:03 . 2011-11-14 16:03 -------- d--h--w- c:\windows\system32\GroupPolicy
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-10-03 04:06 . 2010-12-04 08:24 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-10-03 01:37 . 2008-12-18 13:37 73728 ----a-w- c:\windows\system32\javacpl.cpl
.
.
((((((((((((((((((((((((((((( SnapShot@2011-11-15_16.34.28 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-01-28 09:55 . 2011-11-15 18:27 32768 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
- 2008-01-28 09:55 . 2008-01-28 10:19 32768 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2011-11-15 18:23 . 2011-11-15 18:23 22016 c:\windows\Installer\52902.msi
+ 2011-11-15 18:25 . 2011-10-03 04:06 157472 c:\windows\system32\javaws.exe
+ 2011-11-15 18:25 . 2011-10-03 04:06 145184 c:\windows\system32\javaw.exe
- 2010-12-04 08:24 . 2010-09-15 03:50 145184 c:\windows\system32\javaw.exe
+ 2011-11-15 18:25 . 2011-10-03 04:06 145184 c:\windows\system32\java.exe
- 2010-12-04 08:24 . 2010-09-15 03:50 145184 c:\windows\system32\java.exe
+ 2011-01-30 16:19 . 2011-11-15 19:31 182912 c:\windows\system32\dllcache\ndis.sys
+ 2011-11-15 18:26 . 2011-11-15 18:26 203776 c:\windows\Installer\52920.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-01-08 395640]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-04-06 26102056]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-19 15797248]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"ShStatEXE"="c:\program files\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-29 112216]
"McAfeeUpdaterUI"="c:\program files\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 136768]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"openvpn-gui"="c:\program files\OpenVPN\bin\openvpn-gui.exe" [2005-08-18 99328]
"TO2SSM_McciTrayApp"="c:\program files\TO2SSM\McciTrayApp.exe" [2008-08-15 1473536]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2009-06-17 55824]
"RemoteControl10"="c:\program files\CyberLink\PowerDVD10\PDVD10Serv.exe" [2010-02-02 87336]
"BDRegion"="c:\program files\Cyberlink\Shared files\brs.exe" [2010-11-17 75048]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-17 110592]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]
.
c:\documents and settings\Lucka\Nabídka Start\Programy\Po spuštění\
OpenOffice.org 3.1.lnk - h:\openoffice.org 3\program\quickstart.exe [2009-5-15 384512]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-9-18 813584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2009-07-20 11:28 72208 ----a-w- c:\program files\Common Files\Logitech\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\TC UP\\PLUGINS\\Media\\uTorrent\\utorrent.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD10\\PowerDVD10.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD10\\PowerDVD Cinema\\PowerDVDCinema10.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Activision\\Singularity(TM)\\Binaries\\Singularity.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:*:Disabled:@xpsp2res.dll,-22009
"17061:TCP"= 17061:TCP:*:Disabled:spport
"6055:TCP"= 6055:TCP:*:Disabled:spport
"18591:TCP"= 18591:TCP:*:Disabled:spport
"19980:TCP"= 19980:TCP:*:Disabled:spport
"14579:TCP"= 14579:TCP:*:Disabled:spport
"5717:TCP"= 5717:TCP:*:Disabled:spport
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [21.4.2008 16:24 717296]
R1 VD_FileDisk;VD_FileDisk;c:\windows\system32\drivers\vd_filedisk.sys [13.1.2006 14:00 15872]
R2 {1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC};Power Control [2011/01/16 20:25];c:\program files\CyberLink\PowerDVD10\NavFilter\000.fcl [17.11.2010 21:29 87536]
R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [7.9.2008 19:02 21920]
R3 tap0801;TAP-Win32 Adapter V8;c:\windows\system32\drivers\tap0801.sys [1.10.2006 13:37 26624]
S3 PAC207;Trust WB-1400T Webcam;c:\windows\system32\drivers\PFC027.sys [24.2.2005 12:29 162176]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://start.icq.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
Trusted Zone: mojebanka.cz
FF - ProfilePath - c:\documents and settings\pepe3dx\Data aplikací\Mozilla\Firefox\Profiles\5r8epuh1.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: České slovníky pro kontrolu pravopisu: cs@dictionaries.addons.mozilla.org - %profile%\extensions\cs@dictionaries.addons.mozilla.org
FF - Ext: ICQ Toolbar: {800b5000-a755-47e1-992b-48a1c1357f07} - %profile%\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
FF - Ext: Zynga Toolbar: {7b13ec3e-999a-4b70-b9cb-2617b8323822} - %profile%\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822}
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-11-17 00:43
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\{1BA31E5A-C098-42d8-8F88-3C9F78A2FDDC}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD10\NavFilter\000.fcl"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="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"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(1032)
c:\windows\system32\Ati2evxx.dll
c:\program files\common files\logitech\bluetooth\LBTWlgn.dll
c:\program files\common files\logitech\bluetooth\LBTServ.dll
.
- - - - - - - > 'explorer.exe'(2160)
c:\program files\Logitech\SetPoint\GameHook.dll
c:\program files\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_cze.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\bgsvcgen.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\McAfee\Common Framework\FrameworkService.exe
c:\program files\Common Files\Motive\McciCMService.exe
c:\program files\McAfee\VirusScan Enterprise\Mcshield.exe
c:\program files\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\program files\McAfee\Common Framework\naPrdMgr.exe
c:\windows\system32\oodag.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\System32\PAStiSvc.exe
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\rundll32.exe
c:\program files\McAfee\Common Framework\McTray.exe
c:\program files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Celkový čas: 2011-11-17 00:56:43 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-11-16 23:56
ComboFix2.txt 2011-11-16 16:03
ComboFix3.txt 2011-11-15 16:43
.
Před spuštěním: Volných bajtů: 30 309 052 416
Po spuštění: Volných bajtů: 30 072 586 240
.
- - End Of File - - 0A5204D62818F244BA315900C23E1761

[cernohous13]

Klikni na https://www.virustotal.com/cs/
klik "Procházet" > do zadávacího pole "Název souboru" jen zkopíruj:

c:\windows\Installer\52902.msi

"Send file" (pokud byl již testován, nech testovat znovu - Reanalyse)
Trpělivě vyčkej dokončení scanu dokud se neobjeví konečný výsledek např.0/41
Do fóra zkopíruj výsledný log. nebo odkaz z adresního řádku na stránku.
Pokud nebude nález stačí jen oznámit

totéž se souborem:
c:\windows\Installer\52920.msi

Jaké problémy ještě máme?

[pepe3dx]

PC běžolo celou noc bez pádu..ráno jsem zkusil rst a vše vypada že je v pohodě. Jen poslední akci nemohu provézt, protože se mi nedaří
PC připojit k síti. Ve složce sítová připojení mi zmizelo připojení k internetu. A nedaří se mi vytvořit nové připojení..

[cernohous13]

zkopíruj je na flešku a nech otestovat z ní
cestu musíš upravit