VIRY.CZ

Dobrý den , ze dne n den si mi objevily na flash disk nesrozumitelne znaky napr. -╠MÁL4ş 8ť atd.

ComboFix 10-10-11.05 - Jakub 12.10.2010 20:04:07.4.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.1024.605 [GMT 2:00]
Spuštěný z: c:\documents and settings\Jakub.JAKUB-B72ACBE07\Plocha\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 101012-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
AV: ESET Smart Security 4.0 *On-access scanning disabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: COMODO Firewall Pro *disabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users.WINDOWS\Data aplikací\page
c:\documents and settings\All Users.WINDOWS\Data aplikací\page\page.ico
c:\documents and settings\All Users.WINDOWS\Data aplikací\page\page.URL

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-09-12 do 2010-10-12 )))))))))))))))))))))))))))))))
.

V tomto časovém úseku nebyly vytvořeny žádné nové soubory.

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-31 08:09 . 2010-03-31 08:09 10437264 ----a-w- c:\program files\mozilla firefox\plugins\PDFNetC.dll
2010-04-08 10:36 . 2010-04-08 10:36 107760 ----a-w- c:\program files\mozilla firefox\plugins\ScorchPDFWrapper.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 335872]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 2213160]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"WIAWizardMenu"="c:\windows\system32\sti_ci.dll" [2004-08-17 136704]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS\0d

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\drivers\\svchost.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [27.10.2009 18:58 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27.10.2009 18:58 20560]
R2 DriverAS;Active Shield Kernel Part;c:\program files\Active Shield 5\ActiveShield.sys [3.3.2010 19:03 20992]
S1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\DRIVERS\cmdguard.sys --> c:\windows\system32\DRIVERS\cmdguard.sys [?]
S1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\DRIVERS\cmdhlp.sys --> c:\windows\system32\DRIVERS\cmdhlp.sys [?]
S3 Axtmvflt;Axesstel USB Filter Service;c:\windows\system32\drivers\Axtmvflt.sys [28.3.2009 14:12 3456]
S3 Axtmvmdm;Axesstel USB Modem;c:\windows\system32\drivers\Axtmvmdm.sys [28.3.2009 14:45 40064]
S3 Axtmvprt;Axesstel Diagnostic Port;c:\windows\system32\drivers\Axtmvprt.sys [28.3.2009 14:12 38784]
S3 NCHSSVAD;SoundTap Recorder;c:\windows\system32\drivers\nchssvad.sys [31.3.2009 19:29 27136]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [31.3.2009 20:09 691696]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://eu.ask.com?o=14780&l=dis
uInternet Settings,ProxyOverride = *.local
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Převést cíl vazby do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést cíl vazby do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Převést do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést vybrané vazby do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Převést vybrané vazby do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Převést výběr do Adobe PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Převést výběr do existujícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Přidat do stávajícího PDF - c:\program files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Stáhnout pomocí Download &Express - c:\program files\Download Express\Add_Url.htm
Name-Space Handler: ftp\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
Name-Space Handler: http\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
Name-Space Handler: https\HIEClickCatcher - {E131C96E-4DDB-11D4-84B8-008048B33DEA} - c:\progra~1\DOWNLO~1\mdpph.dll
FF - ProfilePath - c:\documents and settings\Jakub.JAKUB-B72ACBE07\Data aplikací\Mozilla\Firefox\Profiles\fqlqu7yq.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8 ... &gfns=1&q=
FF - prefs.js: network.proxy.type - 4
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\Musicnotes\npmusicn.dll
FF - plugin: c:\program files\Musicnotes\NPSibelius.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG11.00.00.01WORKSTATION"="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"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(460)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2010-10-12 20:15:11
ComboFix-quarantined-files.txt 2010-10-12 18:15

Před spuštěním: Volných bajtů: 25 566 199 808
Po spuštění: Volných bajtů: 25 528 762 368

- - End Of File - - 134F5DEDBAE27A1CAB909F8A3BB96A01

Upřesnuji, na flashce se objevily nove soubory s nesrozumitelnymi znaky a celaflaska se jmenuje take uplne nenormalne.

Hezké dopoledne

Zapojte do pc všechny usb klíče, flashky...co používáte

Použijte USB fix
http://www.viry.cz/forum/viewtopic.php?f=24&t=102308

Před stažením vypněte rezidentní štít antiviru, má na Usbfix falešnou detekci
-spusťte
-klikněte na volbu deletion , potvrdte enter
- po skenu sem vložte log , pokud na Vás nevyskočí, najdete ho C:\UsbFix.txt

############################## | UsbFix 7.025 | [Deletion]

User: ucitel (Administrator) # KGM-20A0ACDD2E6 [ ]
Updated 15/09/10 by El Desaparecido / C_XX
Started at 10:45:13 | 13/10/2010
Website: http://www.teamxscript.org
Contact: FindyKill.Contact@gmail.com

CPU: AMD Sempron(tm) Processor 3000+
Systém Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Windows Firewall: Disabled /!\
Antivirus: avast! Antivirus 5.0.83886674 [(!) Disabled | Updated]
RAM -> 894 Mb
C:\ (%systemdrive%) -> Fixed drive # 20 Gb (2 Mb free - 10%) [] # NTFS
D:\ -> Fixed drive # 55 Gb (55 Mb free - 100%) [] # NTFS
E:\ -> CD-ROM
F:\ -> Removable drive # 962 Mb (279 Mb free - 29%) [-¦MÁL4ş 8ť] # FAT32

################## | Files # Infected Folders |

################## | Registry |

################## | Mountpoints2 |

Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{38b135a8-b6ed-11dd-a291-001a9209127d}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{4188e669-1a2a-11df-a36a-001a9209127d}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{494ab702-5693-11df-a398-001a9209127d}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{adcbbbce-6fa6-11df-a3bb-001a9209127d}
Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{d265acc7-3495-11de-a2d6-001a9209127d}

################## | Listing |

[28/03/2007 - 18:20:10 | A | 0] C:\AUTOEXEC.BAT
[16/09/2010 - 14:32:56 | RASHD ] C:\Autorun.inf
[28/03/2007 - 18:14:24 | SH | 211] C:\boot.ini
[02/03/2006 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[28/03/2007 - 18:20:10 | A | 0] C:\CONFIG.SYS
[12/12/2008 - 12:33:44 | D ] C:\cygwin
[04/09/2007 - 22:32:43 | D ] C:\Documents and Settings
[28/03/2007 - 18:20:10 | RASH | 0] C:\IO.SYS
[28/03/2007 - 18:20:10 | RASH | 0] C:\MSDOS.SYS
[02/03/2006 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
[22/04/2009 - 09:45:04 | RASH | 250576] C:\ntldr
[13/10/2010 - 10:01:23 | ASH | 1409286144] C:\pagefile.sys
[22/09/2010 - 07:59:06 | RD ] C:\Program Files
[04/09/2007 - 22:32:43 | SHD ] C:\RECYCLER
[28/03/2007 - 18:24:14 | SHD ] C:\System Volume Information
[13/10/2010 - 10:46:37 | D ] C:\UsbFix
[13/10/2010 - 10:46:37 | A | 846] C:\UsbFix.txt
[16/09/2010 - 14:33:07 | A | 2606] C:\UsbFix_Upload_Me_KGM-20A0ACDD2E6.zip
[13/10/2010 - 10:04:48 | D ] C:\WINDOWS
[16/09/2010 - 14:32:56 | RASHD ] D:\Autorun.inf
[09/04/2007 - 22:34:26 | D ] D:\backup
[04/09/2009 - 03:03:20 | D ] D:\eefbdf1c7ca850471de8d71be3169e
[15/06/2007 - 13:01:40 | SHD ] D:\RECYCLER
[28/03/2007 - 12:59:16 | SHD ] D:\System Volume Information
[06/09/2010 - 08:43:58 | D ] F:\románské umění
[07/09/2010 - 23:42:30 | AH | 4096] F:\._.Trashes
[04/10/2010 - 23:25:52 | HD ] F:\.fseventsd
[13/09/2010 - 21:54:16 | HD ] F:\.TemporaryItems
[13/09/2010 - 21:54:16 | AH | 4096] F:\._.TemporaryItems
[07/09/2010 - 23:42:30 | HD ] F:\.Trashes
[07/09/2010 - 23:42:30 | HD ] F:\.Spotlight-V100
[13/09/2010 - 21:55:12 | A | 28126] F:\teletubbies
[23/09/2010 - 22:50:50 | A | 153637] F:\egyptian-dance.pdf
[13/09/2010 - 21:55:12 | AH | 4096] F:\._teletubbies
[23/05/2010 - 16:26:46 | A | 70313] F:\Artifact+and+Living+from+pdf+scan.pdf
[27/09/2010 - 23:14:46 | AH | 4096] F:\._Artifact+and+Living+from+pdf+scan.pdf
[27/09/2010 - 23:15:12 | AH | 4096] F:\._egyptian-dance.pdf
[19/09/2010 - 17:46:16 | A | 366472] F:\Snimek 271.jpg
[27/09/2010 - 23:15:20 | AH | 4096] F:\._Snimek 271.jpg
[04/10/2010 - 23:26:24 | AH | 4096] F:\._teletubbies1.doc
[11/10/2010 - 15:09:52 | D ] F:\928rg2moi
[13/09/2010 - 16:15:22 | A | 76] F:\radiohead.txt
[05/10/2010 - 23:56:32 | A | 1344484] F:\historia_030_minipops_Craig_Robinson.jpg
[11/10/2010 - 14:15:58 | A | 483] F:\1.txt
[13/09/2010 - 23:38:30 | A | 20480] F:\teletubbies1.doc
[06/10/2010 - 07:05:40 | AH | 4096] F:\._historia_030_minipops_Craig_Robinson.jpg
[30/09/2010 - 15:27:20 | A | 47883] F:\450px-Old_new_synagogue_in_Prague_-_inside.jpg
[30/09/2010 - 16:03:48 | A | 915372] F:\Vladislav-Saal_Prager_Burg.jpg
[16/09/2010 - 16:15:30 | D ] F:\dvk n
[20/09/2010 - 00:04:24 | D ] F:\gotika
[23/09/2010 - 16:12:38 | A | 363412] F:\86581.jpg

Jak to vypadá teď?

Tohle znáte?
F:\928rg2moi
F:\._.TemporaryItems
F:\._.Trashes

vypadá to stejně asi 20 složek s nesrozumitelnými znaky a ty spoubory co jste vypsal neznám

ty soubory s divnými znaky nejdou samozřejmě smazat

Já je v logu nevidím

, můžete mi prosím dát screen?
Flešku zformátovat nemůžete?

Dobrý den ,fleshku jsem zformátoval, přišel jsem ale o nějaká data......a nepřišel jsem na to co se stalo...přesto dík

A ty data jste si nemohl zkopírovat na disk?
Ještě poprosím o nový log ze Rsitu.

VIRY.CZ

nesrozumitelne znaky na flash disku

nesrozumitelne znaky na flash disku

Re: nesrozumitelne znaky na flash disku

Re: nesrozumitelne znaky na flash disku

Re: nesrozumitelne znaky na flash disku

Re: nesrozumitelne znaky na flash disku

Re: nesrozumitelne znaky na flash disku

Re: nesrozumitelne znaky na flash disku

Re: nesrozumitelne znaky na flash disku

Re: nesrozumitelne znaky na flash disku

Re: nesrozumitelne znaky na flash disku