VIRY.CZ

Ahoj, napadl mě IE monster.Chtělo to po mě nainstalovat Security tool.Ten oskenoval počítač a našel 48 nakaženejch souborů od spywaru az po viry a červy.Dále security tool bez zaplacení nehnul ani prstem.A akorát nemůžu nic spustit protože je vše nakažené.Přepnul sem se na učet s právy administrátora.Vypnul všechny okna a firewall a spustil ComboFix.Tady je log:

ComboFix 10-09-29.04 - showlee 30.09.2010 16:12:36.4.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1023.718 [GMT 2:00]
Spuštěný z: c:\documents and settings\showlee\Plocha\ComboFix.exe
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-08-28 do 2010-09-30 )))))))))))))))))))))))))))))))
.

2010-09-23 11:52 . 2010-09-23 11:52 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\UC.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\RAR.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKUNZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\NOCLOSE.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\LHA.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\ARJ.PIF
2010-09-02 11:45 . 2010-09-02 11:45 -------- d-----w- c:\program files\DIFX
2010-09-02 11:45 . 2009-10-22 15:09 72520 ----a-w- c:\windows\system32\drivers\ftser2k.sys
2010-09-02 11:45 . 2009-10-22 15:08 52552 ----a-w- c:\windows\system32\ftserui2.dll
2010-09-02 11:45 . 2009-10-22 15:17 206144 ----a-w- c:\windows\system32\ftd2xx.dll
2010-09-02 11:45 . 2009-10-22 15:17 120136 ----a-w- c:\windows\system32\ftbusui.dll
2010-09-02 11:45 . 2009-10-22 15:16 197952 ----a-w- c:\windows\system32\FTLang.dll
2010-09-02 11:45 . 2009-10-22 15:11 57800 ----a-w- c:\windows\system32\drivers\ftdibus.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-14 22:16 . 2001-10-25 14:00 494062 ----a-w- c:\windows\system32\perfh005.dat
2010-09-14 22:16 . 2001-10-25 14:00 102274 ----a-w- c:\windows\system32\perfc005.dat
2010-09-12 12:48 . 2009-12-01 19:41 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-12 12:48 . 2009-12-01 19:43 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-18 20:33 . 2010-08-18 20:33 -------- d-----w- c:\program files\Common Files\Java
2010-08-18 20:32 . 2010-02-10 21:17 -------- d-----w- c:\program files\Java
2010-07-20 15:22 . 2010-07-20 15:22 187328 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCSExpress\9.0\1033\ResourceCache.dll
2010-07-20 15:21 . 2010-07-19 15:00 416 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\MSDN\9.0\1033\ResourceCache.dll
2010-07-19 17:26 . 2010-07-19 15:01 112640 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCExpress\9.0\1033\ResourceCache.dll
2010-07-17 03:00 . 2010-08-18 20:32 423656 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-09-30_12.43.26 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-30 13:06 . 2010-09-30 13:06 16384 c:\windows\Temp\Perflib_Perfdata_698.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R3 Cap713x;Cap713x Video Capture;c:\windows\system32\drivers\Cap713x.sys [22.3.2010 21:30 328320]
S3 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\drivers\DLPORTIO.SYS [29.6.2000 18:24 3584]
S3 npggsvc;nProtect GameGuard Service;c:\windows\System32\GameMon.des -service --> c:\windows\System32\GameMon.des -service [?]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\program files\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.7.2008 2:28 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.7.2008 2:49 242712]
S4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.7.2008 2:28 369688]
.
.
------- Doplňkový sken -------
.
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\showlee\Data aplikací\Mozilla\Firefox\Profiles\8sa812mo.default\
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-30 16:15
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\System32\GameMon.des -service"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(528)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(2332)
c:\windows\system32\msi.dll
.
Celkový čas: 2010-09-30 16:16:32
ComboFix-quarantined-files.txt 2010-09-30 14:16
ComboFix2.txt 2010-09-30 13:13
ComboFix3.txt 2010-09-30 13:03
ComboFix4.txt 2010-09-30 12:45

Před spuštěním: Volných bajtů: 26 436 968 448
Po spuštění: Volných bajtů: 26 427 543 552

- - End Of File - - A49AF4E542FF4DA7A135F08B7D347D83

Ještě má dotaz na domácí síť.Můžu zapnout v pohodě druhý počítač který mám sesíťovaný, nebo ho mám nechat raději vyplej dokud nebude povšem?

Prosím poradte nekdo nevim co stim.Je nebezbecné se prihlasovat napr. na email, kdyz mam PC takhle nekazené.Nezachytí virus heslo?

V logu nevidím nic nebezpečného. Nainstalujte AVPTool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 , restartujte do nouz. režimu a provedte sken. Dejte log.

Stahuju zatim.... Je mozne ze se nakaza projevuje jen u uzivatelskyho uctu??Kdyz se prihlasim na jinej ucet s pravy Admin tak to nic nehlasi.Mozna proto ten cistej log.Jako uzivatel nic nespustim,vsechno je nakazeny a security tool hned hlásí...

SecurityTool je šmejd a ten musíme odstranit. To, co vám hlásil, je blábol.

No prave nevim jak, protoze nemuzu spustit "pridat a odebrat programy" . A kdyz sem jako admin tak ho tam ani nevidim...

Tak sem ho vypatral ručně, ale nejde odstranit.

Spustte AVPTool. Ten by na něj měl platit.

SecurityTool na uživatelským účtu stále běží.Je normální že jako administrátor mám odepřen přístup do složky uživatele (v adresáři ducuments and settings)??

Takhle dopadl LOG:

Autoscan: completed 2 minutes ago (events: 8, objects: 277170, time: 01:26:55)
30.9.2010 21:05:33 Task started
30.9.2010 21:46:35 Detected: Trojan-PSW.Win32.Staem.oy D:\Instalačky\Arial.Audio.Converter.v2.3.5.Incl.Keymaker-EMBRACE\keygen.exe
30.9.2010 21:46:40 Deleted: Trojan-PSW.Win32.Staem.oy D:\Instalačky\Arial.Audio.Converter.v2.3.5.Incl.Keymaker-EMBRACE\keygen.exe
30.9.2010 21:47:10 Detected: Trojan-PSW.Win32.Staem.oy D:\Instalačky\Arial.Audio.Converter.v2.3.5.Incl.Keymaker-EMBRACE\e-aac235.zip/keygen.exe
30.9.2010 21:47:16 Deleted: Trojan-PSW.Win32.Staem.oy D:\Instalačky\Arial.Audio.Converter.v2.3.5.Incl.Keymaker-EMBRACE\e-aac235.zip/keygen.exe
30.9.2010 22:15:02 Detected: Trojan-PSW.Win32.Staem.oy D:\System Volume Information\_restore{B031F000-D84C-4A01-8AF8-275D26039AC7}\RP323\A0056182.exe
30.9.2010 22:15:58 Deleted: Trojan-PSW.Win32.Staem.oy D:\System Volume Information\_restore{B031F000-D84C-4A01-8AF8-275D26039AC7}\RP323\A0056182.exe
30.9.2010 22:32:28 Task completed

Smazal pár keymakerů, jinak nic. Stáhněte a spustte toto: http://download.bleepingcomputer.com/grinler/rkill.com rkill . Nechte doběhnout a pak opět ComboFix. Vše v nouz. režimu.

Jezis ja sem to nedelal v nouzaku.Hlavne ze sem si cet postup,tak znova a veseleji.... ouuuu

Předem bych se chtěl zeptat,jestli ten SecurityTool může napadnout i počítač v domácí síti.Pak by me zajímalo jak může ublížit.Zatim to vypadá že jen škemrá o prachy.

RKILL:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as showlee on 01.10.2010 at 3:12:09.

Services Stopped:

Processes terminated by Rkill or while it was running:

C:\Documents and Settings\showlee\Plocha\rkill.com

Rkill completed on 01.10.2010 at 3:12:12.

COMBOFIX:

ComboFix 10-09-29.04 - showlee 01.10.2010 3:15.5.1 - x86 MINIMAL
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1023.839 [GMT 2:00]
Spuštěný z: c:\documents and settings\showlee\Plocha\ComboFix.exe
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-09-01 do 2010-10-01 )))))))))))))))))))))))))))))))
.

2010-10-01 00:38 . 2010-10-01 00:38 -------- d-----w- C:\!KillBox
2010-09-30 23:48 . 2010-01-22 07:56 149456 ----a-w- c:\windows\SGDetectionTool.dll
2010-09-30 23:48 . 2010-01-22 07:55 767952 ----a-w- c:\windows\BDTSupport.dll
2010-09-30 23:48 . 2009-10-27 23:36 1152444 ----a-w- c:\windows\UDB.zip
2010-09-30 23:48 . 2008-11-26 10:08 131 ----a-w- c:\windows\IDB.zip
2010-09-30 23:48 . 2010-01-22 07:56 165840 ----a-w- c:\windows\PCTBDRes.dll
2010-09-30 23:48 . 2010-01-22 07:56 1652688 ----a-w- c:\windows\PCTBDCore.dll
2010-09-30 23:46 . 2010-02-05 07:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2010-09-30 23:46 . 2010-10-01 00:37 218592 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2010-09-30 23:46 . 2009-11-23 11:54 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2010-09-30 23:46 . 2010-10-01 00:37 63360 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2010-09-30 23:46 . 2010-09-30 23:49 -------- d-----w- c:\program files\Common Files\PC Tools
2010-09-30 23:46 . 2010-10-01 01:10 -------- d-----w- c:\program files\Spyware Doctor
2010-09-30 21:06 . 2010-09-30 21:06 -------- d-----w- c:\documents and settings\Administrator
2010-09-30 20:44 . 2010-09-30 20:44 7168 ----a-w- c:\windows\system32\drivers\uteznzg1.sys
2010-09-30 19:01 . 2009-10-22 11:54 37392 ----a-w- c:\windows\system32\drivers\70511262.sys
2010-09-30 19:01 . 2009-10-09 21:31 315408 ----a-w- c:\windows\system32\drivers\7051126.sys
2010-09-30 19:01 . 2009-09-25 15:59 128016 ----a-w- c:\windows\system32\drivers\70511261.sys
2010-09-23 11:52 . 2010-09-23 11:52 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\UC.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\RAR.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKUNZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\NOCLOSE.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\LHA.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\ARJ.PIF
2010-09-02 11:45 . 2010-09-02 11:45 -------- d-----w- c:\program files\DIFX
2010-09-02 11:45 . 2009-10-22 15:09 72520 ----a-w- c:\windows\system32\drivers\ftser2k.sys
2010-09-02 11:45 . 2009-10-22 15:08 52552 ----a-w- c:\windows\system32\ftserui2.dll
2010-09-02 11:45 . 2009-10-22 15:17 206144 ----a-w- c:\windows\system32\ftd2xx.dll
2010-09-02 11:45 . 2009-10-22 15:17 120136 ----a-w- c:\windows\system32\ftbusui.dll
2010-09-02 11:45 . 2009-10-22 15:16 197952 ----a-w- c:\windows\system32\FTLang.dll
2010-09-02 11:45 . 2009-10-22 15:11 57800 ----a-w- c:\windows\system32\drivers\ftdibus.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-14 22:16 . 2001-10-25 14:00 494062 ----a-w- c:\windows\system32\perfh005.dat
2010-09-14 22:16 . 2001-10-25 14:00 102274 ----a-w- c:\windows\system32\perfc005.dat
2010-09-12 12:48 . 2009-12-01 19:41 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-12 12:48 . 2009-12-01 19:43 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-08-18 20:33 . 2010-08-18 20:33 -------- d-----w- c:\program files\Common Files\Java
2010-08-18 20:32 . 2010-02-10 21:17 -------- d-----w- c:\program files\Java
2010-07-20 15:22 . 2010-07-20 15:22 187328 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCSExpress\9.0\1033\ResourceCache.dll
2010-07-20 15:21 . 2010-07-19 15:00 416 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\MSDN\9.0\1033\ResourceCache.dll
2010-07-19 17:26 . 2010-07-19 15:01 112640 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCExpress\9.0\1033\ResourceCache.dll
2010-07-17 03:00 . 2010-08-18 20:32 423656 ----a-w- c:\windows\system32\deployJava1.dll
.

((((((((((((((((((((((((((((( SnapShot@2010-09-30_12.43.26 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-07 00:19 . 2007-11-07 00:19 54272 c:\windows\WinSxS\x86_Microsoft.VC90.OpenMP_1fc8b3b9a1e18e3b_9.0.21022.8_x-ww_ecc42bd1\vcomp90.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 62976 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90rus.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 46080 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90kor.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 46592 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90jpn.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 64512 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90ita.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 39936 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90cht.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 38912 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90chs.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 66048 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90fra.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 65024 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esp.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 65024 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90esn.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 56832 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90enu.dll
+ 2008-07-29 06:05 . 2008-07-29 06:05 66560 c:\windows\WinSxS\x86_Microsoft.VC90.MFCLOC_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_b0db7d03\mfc90deu.dll
+ 2010-09-30 23:46 . 2010-09-30 23:46 228352 c:\windows\Installer\fbc37.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISTray"="c:\program files\Spyware Doctor\pctsTray.exe" [2010-10-01 1287120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\showlee\Nabˇdka Start\Programy\Po spuçtŘnˇ\
setup_9.0.0.722_30.09.2010_20-30.lnk - c:\documents and settings\showlee\Plocha\Virus Removal Tool\setup_9.0.0.722_30.09.2010_20-30\startup.exe [2010-9-30 72208]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 70511262;70511262 Boot Guard Driver;c:\windows\system32\drivers\70511262.sys [30.9.2010 21:01 37392]
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [1.10.2010 1:46 218592]
S1 70511261;70511261;c:\windows\system32\drivers\70511261.sys [30.9.2010 21:01 128016]
S1 setup_9.0.0.722_30.09.2010_20-30drv;setup_9.0.0.722_30.09.2010_20-30drv;c:\windows\system32\drivers\7051126.sys [30.9.2010 21:01 315408]
S2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\Spyware Doctor\BDT\BDTUpdateService.exe [1.10.2010 1:48 112592]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [1.10.2010 1:46 366840]
S3 Cap713x;Cap713x Video Capture;c:\windows\system32\drivers\Cap713x.sys [22.3.2010 21:30 328320]
S3 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\drivers\DLPORTIO.SYS [29.6.2000 18:24 3584]
S3 npggsvc;nProtect GameGuard Service;c:\windows\System32\GameMon.des -service --> c:\windows\System32\GameMon.des -service [?]
S3 uteznzg1;AVZ Kernel Driver;c:\windows\system32\drivers\uteznzg1.sys [30.9.2010 22:44 7168]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\program files\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.7.2008 2:28 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.7.2008 2:49 242712]
S4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.7.2008 2:28 369688]
.
.
------- Doplňkový sken -------
.
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\showlee\Data aplikací\Mozilla\Firefox\Profiles\8sa812mo.default\
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

AddRemove-CleanUp! - c:\documents and settings\showlee\Plocha\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-01 03:20
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\System32\GameMon.des -service"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(252)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(760)
c:\windows\system32\msi.dll
.
Celkový čas: 2010-10-01 03:23:16
ComboFix-quarantined-files.txt 2010-10-01 01:23
ComboFix2.txt 2010-09-30 14:16
ComboFix3.txt 2010-09-30 13:13
ComboFix4.txt 2010-09-30 13:03
ComboFix5.txt 2010-10-01 01:14

Před spuštěním: Volných bajtů: 25 877 041 152
Po spuštění: Volných bajtů: 25 867 534 336

- - End Of File - - 6D0DA59E2116D7932323A897EDE36580

Otevřte poznámkový blok a zkopírujte do něj:

Collect::
c:\windows\system32\drivers\uteznzg1.sys
c:\windows\system32\drivers\70511262.sys
c:\windows\system32\drivers\7051126.sys
c:\windows\system32\drivers\70511261.sys

Driver::
70511262
7051126
70511261
uteznzg1

Uložte na plochu jako CFScript.txt. Pak jej myší přetáhněte nad ikonu ComboFix a pustte. CF se spustí a vykoná příkazy ze skriptu.

Tak sem zpět.Přetahl sem skript na combofix.Combofix pracoval pak se zrestartoval a při bootu mi to hodilo hlašku NTLRD is missing.Musel sem ho vypnout a spustit znovu.Pak naběhl a combofix vyplivl log:

ComboFix 10-09-29.04 - showlee 04.10.2010 10:30:30.6.1 - x86 MINIMAL
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1023.735 [GMT 2:00]
Spuštěný z: c:\documents and settings\showlee\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\showlee\Plocha\CFScript.txt

file zipped: c:\windows\system32\drivers\7051126.sys
file zipped: c:\windows\system32\drivers\70511261.sys
file zipped: c:\windows\system32\drivers\70511262.sys
file zipped: c:\windows\system32\drivers\uteznzg1.sys
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\7051126.sys
c:\windows\system32\drivers\70511261.sys
c:\windows\system32\drivers\70511262.sys
c:\windows\system32\drivers\uteznzg1.sys

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_70511261
-------\Legacy_70511262
-------\Legacy_UTEZNZG1
-------\Service_70511261
-------\Service_70511262
-------\Service_uteznzg1
-------\Legacy_setup_9.0.0.722_30.09.2010_20-30drv
-------\Service_setup_9.0.0.722_30.09.2010_20-30drv


((((((((((((((((((((((((( Soubory vytvořené od 2010-09-04 do 2010-10-04 )))))))))))))))))))))))))))))))
.

2010-10-01 08:25 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-10-01 08:25 . 2010-10-01 08:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-10-01 08:25 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-10-01 00:38 . 2010-10-01 00:38 -------- d-----w- C:\!KillBox
2010-09-30 23:48 . 2010-01-22 07:56 149456 ----a-w- c:\windows\SGDetectionTool.dll
2010-09-30 23:48 . 2010-01-22 07:55 767952 ----a-w- c:\windows\BDTSupport.dll
2010-09-30 23:48 . 2009-10-27 23:36 1152444 ----a-w- c:\windows\UDB.zip
2010-09-30 23:48 . 2008-11-26 10:08 131 ----a-w- c:\windows\IDB.zip
2010-09-30 23:48 . 2010-01-22 07:56 165840 ----a-w- c:\windows\PCTBDRes.dll
2010-09-30 23:48 . 2010-01-22 07:56 1652688 ----a-w- c:\windows\PCTBDCore.dll
2010-09-30 23:46 . 2010-02-05 07:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2010-09-30 23:46 . 2010-10-01 00:37 218592 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2010-09-30 23:46 . 2009-11-23 11:54 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2010-09-30 23:46 . 2010-10-01 00:37 63360 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2010-09-30 23:46 . 2010-09-30 23:49 -------- d-----w- c:\program files\Common Files\PC Tools
2010-09-30 23:46 . 2010-10-01 08:55 -------- d-----w- c:\program files\Spyware Doctor
2010-09-30 21:06 . 2010-09-30 21:06 -------- d-----w- c:\documents and settings\Administrator
2010-09-23 11:52 . 2010-09-23 11:52 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\UC.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\RAR.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\PKUNZIP.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\NOCLOSE.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\LHA.PIF
2010-09-12 09:25 . 2005-05-31 04:53 545 ----a-w- c:\windows\ARJ.PIF

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-14 22:16 . 2001-10-25 14:00 494062 ----a-w- c:\windows\system32\perfh005.dat
2010-09-14 22:16 . 2001-10-25 14:00 102274 ----a-w- c:\windows\system32\perfc005.dat
2010-09-12 12:48 . 2009-12-01 19:41 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-12 12:48 . 2009-12-01 19:43 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-09-02 11:45 . 2010-09-02 11:45 -------- d-----w- c:\program files\DIFX
2010-08-18 20:33 . 2010-08-18 20:33 -------- d-----w- c:\program files\Common Files\Java
2010-08-18 20:32 . 2010-02-10 21:17 -------- d-----w- c:\program files\Java
2010-07-20 15:22 . 2010-07-20 15:22 187328 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCSExpress\9.0\1033\ResourceCache.dll
2010-07-20 15:21 . 2010-07-19 15:00 416 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\MSDN\9.0\1033\ResourceCache.dll
2010-07-19 17:26 . 2010-07-19 15:01 112640 ----a-w- c:\documents and settings\All Users\Data aplikací\Microsoft\VCExpress\9.0\1033\ResourceCache.dll
2010-07-17 03:00 . 2010-08-18 20:32 423656 ----a-w- c:\windows\system32\deployJava1.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISTray"="c:\program files\Spyware Doctor\pctsTray.exe" [2010-10-01 1287120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-17 15360]

c:\documents and settings\showlee\Nabˇdka Start\Programy\Po spuçtŘnˇ\
setup_9.0.0.722_30.09.2010_20-30.lnk - c:\documents and settings\showlee\Plocha\Virus Removal Tool\setup_9.0.0.722_30.09.2010_20-30\startup.exe [2010-9-30 72208]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\ICQ6.5\\ICQ.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [1.10.2010 1:46 218592]
S2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\Spyware Doctor\BDT\BDTUpdateService.exe [1.10.2010 1:48 112592]
S2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [1.10.2010 1:46 366840]
S3 Cap713x;Cap713x Video Capture;c:\windows\system32\drivers\Cap713x.sys [22.3.2010 21:30 328320]
S3 DLPortIO;DriverLINX Port I/O Driver;c:\windows\system32\drivers\DLPORTIO.SYS [29.6.2000 18:24 3584]
S3 npggsvc;nProtect GameGuard Service;c:\windows\System32\GameMon.des -service --> c:\windows\System32\GameMon.des -service [?]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\program files\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.7.2008 2:28 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.7.2008 2:49 242712]
S4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.7.2008 2:28 369688]
.
.
------- Doplňkový sken -------
.
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\showlee\Data aplikací\Mozilla\Firefox\Profiles\8sa812mo.default\
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\program files\Adobe\Reader 8.0\Reader\browser\nppdf32.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
d:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
d:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
d:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-04 10:50
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\System32\GameMon.des -service"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(256)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(800)
c:\windows\system32\msi.dll
.
Celkový čas: 2010-10-04 10:54:59 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-10-04 08:54
ComboFix2.txt 2010-10-01 01:23
ComboFix3.txt 2010-09-30 14:16
ComboFix4.txt 2010-09-30 13:13
ComboFix5.txt 2010-10-04 08:28

Před spuštěním: Volných bajtů: 25 821 241 344
Po spuštění: Volných bajtů: 25 756 364 800

- - End Of File - - 0F494970E860E996A15AC0C4DDC95135

Log již vypadá čistý.