Prosím o projetí logu (ComboFix) po odstranění Security Tool
Napsal: 27 črc 2010 20:44
Ahoj
dnes jsem delší dobu řešil problém se zákeřným odporným programo-viro-sviní Security Tool...
Sestře se povedlo dostat si ho do netbooku, tak jsem ho snažil dostat pryč.
Nakonec se mi to povedlo díky vláknu zde na fóru (několikateré díky Stellovi, který to tam trpělivě vysvětluje...) vira zneškodnit - tedy vypadá to tak.
Byl bych velice rád, kdyby mi někdo ze znalců zkusil prostudovat výpis ze ComboFixu, abych měl jistotu, že se mi to povedlo.
Bude-li potřeba nějaký další výpis, rád jej udělám.
ještě jednou děkuju
dnes jsem delší dobu řešil problém se zákeřným odporným programo-viro-sviní Security Tool...
Sestře se povedlo dostat si ho do netbooku, tak jsem ho snažil dostat pryč.
Nakonec se mi to povedlo díky vláknu zde na fóru (několikateré díky Stellovi, který to tam trpělivě vysvětluje...) vira zneškodnit - tedy vypadá to tak.
Byl bych velice rád, kdyby mi někdo ze znalců zkusil prostudovat výpis ze ComboFixu, abych měl jistotu, že se mi to povedlo.
Bude-li potřeba nějaký další výpis, rád jej udělám.
Kód: Vybrat vše
ComboFix 10-07-26.04 - Eva Grabcová 27.07.2010 21:06:02.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1015.487 [GMT 2:00]
Spuštěný z: c:\documents and settings\Eva Grabcová\Plocha\ComboFix.exe
AV: Microsoft Security Essentials *On-access scanning disabled* (Updated) {BCF43643-A118-4432-AEDE-D861FCBCFCDF}
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\dxshbe.dll
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-06-27 do 2010-07-27 )))))))))))))))))))))))))))))))
.
2010-07-27 18:02 . 2010-01-22 07:56 149456 ----a-w- c:\windows\SGDetectionTool.dll
2010-07-27 18:02 . 2010-01-22 07:55 767952 ----a-w- c:\windows\BDTSupport.dll
2010-07-27 18:02 . 2008-11-26 10:08 131 ----a-w- c:\windows\IDB.zip
2010-07-27 18:02 . 2010-01-22 07:56 165840 ----a-w- c:\windows\PCTBDRes.dll
2010-07-27 18:02 . 2010-01-22 07:56 1652688 ----a-w- c:\windows\PCTBDCore.dll
2010-07-27 18:02 . 2009-10-27 23:36 1152444 ----a-w- c:\windows\UDB.zip
2010-07-27 17:44 . 2010-02-05 07:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2010-07-27 17:44 . 2010-07-27 18:21 218592 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2010-07-27 17:44 . 2009-11-23 11:54 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2010-07-27 17:44 . 2010-07-27 18:22 63360 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2010-07-27 17:44 . 2010-07-27 19:20 -------- d-----w- c:\program files\Spyware Doctor
2010-07-27 17:44 . 2010-07-27 18:02 -------- d-----w- c:\program files\Common Files\PC Tools
2010-07-27 17:26 . 2010-07-27 17:26 -------- d-----w- c:\windows\system32\1029
2010-07-27 16:58 . 2010-07-27 17:02 -------- d-----w- c:\program files\CCleaner
2010-07-27 16:02 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-07-27 16:02 . 2010-07-27 16:02 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-07-27 16:02 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-07-27 14:15 . 2010-07-27 14:15 58496 ----a-w- c:\windows\system32\drivers\REDBOOK.SYS
2010-07-27 13:43 . 2010-07-27 13:43 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-27 18:40 . 2008-07-02 11:07 62336 ----a-w- c:\windows\system32\perfc005.dat
2010-07-27 18:40 . 2008-07-02 11:07 379806 ----a-w- c:\windows\system32\perfh005.dat
2010-06-29 20:16 . 2010-06-27 17:35 -------- d-----w- c:\program files\Microsoft Security Essentials
2010-06-27 17:28 . 2008-07-02 10:41 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-06-14 14:31 . 2008-07-02 09:22 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe
2010-06-06 09:28 . 2010-02-24 20:27 -------- d-----w- c:\program files\Microsoft Silverlight
2010-06-01 17:37 . 2010-06-27 17:41 221568 ------w- c:\windows\system32\MpSigStub.exe
2010-05-06 10:35 . 2008-07-02 11:07 916480 ----a-w- c:\windows\system32\wininet.dll
2010-05-02 08:09 . 2008-07-02 11:07 1851264 ----a-w- c:\windows\system32\win32k.sys
2008-05-07 14:34 . 2008-07-03 09:25 15523560 ----a-w- c:\program files\U1 Setup.exe
.
((((((((((((((((((((((((((((( SnapShot@2010-07-27_17.21.26 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-07-27 19:01 . 2010-07-27 19:01 16384 c:\windows\temp\Perflib_Perfdata_77c.dat
+ 2010-07-27 19:01 . 2010-07-27 19:01 16384 c:\windows\temp\Perflib_Perfdata_6f4.dat
+ 2008-07-02 11:07 . 2010-07-27 18:40 53098 c:\windows\system32\perfc009.dat
+ 2008-07-02 11:07 . 2010-07-27 18:40 380684 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net\tbfre1.dll" [2009-04-07 1883672]
[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2009-04-07 07:37 1883672 ----a-w- c:\program files\free-downloads.net\tbfre1.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net\tbfre1.dll" [2009-04-07 1883672]
[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "c:\program files\free-downloads.net\tbfre1.dll" [2009-04-07 1883672]
[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2009-10-30 369200]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-24 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-24 121368]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-24 100888]
"AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-06-03 98304]
"AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-06-03 479232]
"AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2010-04-06 149280]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 86016]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 2808832]
"MSSE"="c:\program files\Microsoft Security Essentials\msseces.exe" [2010-06-01 1093208]
"ISTray"="c:\program files\Spyware Doctor\pctsTray.exe" [2010-07-27 1287120]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]
c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
SuperHybridEngine.lnk - c:\program files\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-7-2 294912]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Bluetooth.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Bluetooth.lnk
backup=c:\windows\pss\Bluetooth.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Eva Grabcová^Nabídka Start^Programy^Po spuštění^OpenOffice.org 3.0.lnk]
path=c:\documents and settings\Eva Grabcová\Nabídka Start\Programy\Po spuštění\OpenOffice.org 3.0.lnk
backup=c:\windows\pss\OpenOffice.org 3.0.lnkStartup
[HKLM\~\startupfolder\C:^Documents and Settings^Eva Grabcová^Nabídka Start^Programy^Po spuštění^StarOffice 8.lnk]
path=c:\documents and settings\Eva Grabcová\Nabídka Start\Programy\Po spuštění\StarOffice 8.lnk
backup=c:\windows\pss\StarOffice 8.lnkStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 20:16 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2007-10-18 09:34 5724184 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [27.7.2010 19:44 218592]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\Spyware Doctor\BDT\BDTUpdateService.exe [27.7.2010 20:02 112592]
R2 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [27.2.2009 22:43 222456]
R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [27.7.2010 19:44 366840]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [28.1.2009 16:57 691696]
--- Ostatní služby/ovladače v paměti ---
*Deregistered* - PCTSDInjDriver32
.
Obsah adresáře 'Naplánované úlohy'
2010-07-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
2010-07-27 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Essentials\MpCmdRun.exe [2010-03-25 19:40]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
uInternet Settings,ProxyOverride = *.local
IE: Odeslat do zařízení &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Odeslat do zařízení Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
FF - ProfilePath - c:\documents and settings\Eva Grabcová\Data aplikací\Mozilla\Firefox\Profiles\96wj6jqs.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
HKCU-Run-Jlurus - c:\windows\dxshbe.dll
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-07-27 21:20
Windows 5.1.2600 Service Pack 3 NTFS
detected NTDLL code modification:
ZwClose
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'lsass.exe'(788)
c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
.
Celkový čas: 2010-07-27 21:25:45
ComboFix-quarantined-files.txt 2010-07-27 19:25
ComboFix2.txt 2010-07-27 17:23
Před spuštěním: Volných bajtů: 38 819 061 760
Po spuštění: Volných bajtů: 39 856 824 320
- - End Of File - - C54A2218003EDEDC58FA9AA1CBC606C6