VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

moc prosím o preventivní kontrolu logu z combofix

https://forum.viry.cz:443/viewtopic.php?t=106911

Stránka 1 z 1

moc prosím o preventivní kontrolu logu z combofix

Napsal: 23 lis 2010 22:25
od TQChose
...

Re: moc prosím o preventivní kontrolu logu z combofix

Napsal: 23 lis 2010 22:49
od Diallix
Ahoj.

Combofix sa nema pouzivat ako defaultny nastroj. Na buduce combofix vynechaj a pouzivaj rsit :)


Do poznamkoveho bloku skopiruj:

File::
c:\windows\system32\o7_BDFD2V.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{42a03ba6-597c-5c11-549f-a7a695dfc6ee}]
Uloz ho na plochu ako CFScript.txt, chyt mysou, presun nad ComboFix a pusti ako na obrazku dole. Po skene ComboFix vygeneruje a ulozi do lokalnej jednotky novy log ktoreho obsah skopiruj sem.
Obrázek

Re: moc prosím o preventivní kontrolu logu z combofix

Napsal: 24 lis 2010 11:57
od TQChose
Ahoj,
tak jsem snad udelal jak jse mi rekl. dekuji za snahu..
tady by to melo byt:
FILE ::
"c:\windows\system32\o7_BDFD2V.dll"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ntos.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2010-10-24 do 2010-11-24 )))))))))))))))))))))))))))))))
.

2010-11-24 07:25 . 2010-11-24 07:25 -------- d-----w- c:\windows\system32\NtmsData
2010-11-23 21:18 . 2010-11-24 07:30 -------- d-----w- c:\documents and settings\jvackova\Local Settings\Data aplikací\AskToolbar
2010-11-23 21:16 . 2010-11-23 21:16 -------- d-----w- c:\program files\Ask.com
2010-11-23 20:57 . 2010-11-23 20:57 -------- d-----w- c:\program files\ESET
2010-11-23 20:57 . 2010-11-23 20:57 -------- d-----w- c:\documents and settings\All Users\Data aplikací\ESET
2010-11-23 20:36 . 2010-11-23 20:36 390144 ----a-w- c:\windows\system32\CF17701.exe
2010-11-23 20:35 . 2010-11-23 20:31 390144 ----a-w- c:\windows\system32\CF16688.exe
2010-11-23 20:34 . 2010-11-23 20:34 -------- d--h--w- c:\windows\system32\GroupPolicy
2010-11-23 17:16 . 2010-11-23 17:22 -------- d-----w- c:\windows\BDOSCAN8
2010-11-23 17:12 . 2010-11-23 17:12 -------- d-----w- c:\documents and settings\jvackova\Data aplikací\ESET
2010-11-23 17:07 . 2010-11-23 17:07 -------- d-----w- c:\documents and settings\jvackova\Local Settings\Data aplikací\ESET
2010-11-23 17:07 . 2010-11-23 19:22 -------- d-----w- c:\program files\TNod User & Password Finder
2010-11-23 17:06 . 2010-11-23 17:06 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Data aplikací\ESET
2010-11-23 16:41 . 2010-11-23 19:52 -------- d-----w- c:\program files\uTorrent
2010-11-17 14:06 . 2010-11-23 22:14 -------- d-----w- c:\program files\Google
2010-11-12 10:13 . 2010-11-12 10:13 -------- d-----w- c:\windows\system32\LogFiles

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-18 10:23 . 2001-10-25 13:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2010-09-18 06:53 . 2001-10-25 13:00 974848 ----a-w- c:\windows\system32\mfc42.dll
2010-09-18 06:53 . 2001-10-25 13:00 954368 ----a-w- c:\windows\system32\mfc40.dll
2010-09-18 06:53 . 2001-10-25 13:00 953856 ----a-w- c:\windows\system32\mfc40u.dll
2010-09-10 05:52 . 2001-10-25 13:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-09-10 05:52 . 2001-10-25 13:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-09-10 05:52 . 2001-10-25 13:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-09-01 11:52 . 2001-10-25 13:00 285824 ----a-w- c:\windows\system32\atmfd.dll
2010-09-01 07:57 . 2001-10-25 13:00 1852800 ----a-w- c:\windows\system32\win32k.sys
2010-08-27 08:03 . 2001-10-25 13:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2010-08-27 05:54 . 2001-10-25 13:00 99840 ----a-w- c:\windows\system32\srvsvc.dll
2010-08-27 01:43 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2010-08-26 13:39 . 2001-10-25 13:00 357248 ----a-w- c:\windows\system32\drivers\srv.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
2010-09-28 21:44 1400712 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2010-09-28 1400712]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="tp4mon.exe" [2008-04-14 82944]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 28672]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-07-01 335872]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 190763]
"BMMGAG"="c:\progra~1\ThinkPad\UTILIT~1\pwrmonit.dll" [2003-07-10 94208]
"BMMLREF"="c:\program files\ThinkPad\Utilities\BMMLREF.EXE" [2003-07-10 20480]
"TNOD UP"="c:\program files\TNod User & Password Finder\TNODUP.exe" [2010-04-01 1811968]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2010-11-08 2219184]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows NT\\Accessories\\WORDPAD.EXE"=
"c:\\Program Files\\ThinkPad\\Utilities\\BMMLREF.EXE"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\netsh.exe"=
"c:\\WINDOWS\\system32\\Ati2evxx.exe"=
"c:\\WINDOWS\\AGRSMMSG.exe"=
"c:\\Program Files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"=
"c:\\WINDOWS\\system32\\Ati2mdxx.exe"=
"c:\\WINDOWS\\system32\\tp4mon.exe"=
"c:\\WINDOWS\\system32\\WgaTray.exe"=
"c:\\Program Files\\BS.Player\\bsplayer.exe"=
"c:\\WINDOWS\\system32\\msfeedssync.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18078:TCP"= 18078:TCP:BitComet 18078 TCP
"18078:UDP"= 18078:UDP:BitComet 18078 UDP

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [29.7.2010 12:31 115008]
R1 TPPWR;TPPWR;c:\windows\system32\drivers\TPPWR.SYS [12.6.2009 21:03 15360]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [8.11.2010 9:50 810144]
S2 gupdate;Služba Google Update (gupdate);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]
.
Obsah adresáře 'Naplánované úlohy'

2009-06-12 c:\windows\Tasks\BMMTask.job
- c:\progra~1\ThinkPad\UTILIT~1\BMMTASK.EXE [2009-06-12 23:34]

2010-11-24 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2010-09-28 21:44]

2010-11-24 c:\windows\Tasks\User_Feed_Synchronization-{3E9B6429-43AD-4208-863D-ADE90708822B}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-11-24 11:51
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(1300)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2010-11-24 11:53:53
ComboFix-quarantined-files.txt 2010-11-24 10:53
ComboFix2.txt 2010-11-23 20:56

Před spuštěním: 5 514 186 752
Po spuštění: 5 519 122 432

- - End Of File - - 32152389B24989719B5AD0CD141B13FE

Re: moc prosím o preventivní kontrolu logu z combofix

Napsal: 24 lis 2010 14:53
od Diallix
Preskenuj pc este s tymto nastrojom podla navodu: http://viry.cz/forum/viewtopic.php?f=29&t=67229

Nezabudni aktualizovat

Re: moc prosím o preventivní kontrolu logu z combofix

Napsal: 24 lis 2010 15:45
od TQChose
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Verze databáze: 5181

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.11.2010 16:53:26
mbam-log-2010-11-24 (16-53-26).txt

Typ skenu: Úplný sken (C:\|)
Skenované objekty: 167517
Uplynulý čas: 1 hodina(y), 3 minuta(y), 9 sekunda(y)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 0
Infikované složky: 0
Infikované soubory: 6

Infikované procesy v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované moduly v paměti:
(Žádné škodlivé položky nebyly zjištěny)

Infikované klíče registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované hodnoty registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované datové položky registru:
(Žádné škodlivé položky nebyly zjištěny)

Infikované složky:
(Žádné škodlivé položky nebyly zjištěny)

Infikované soubory:
C:\System Volume Information\_restore{21110443-E8F3-4E61-9A4D-D040E59EE132}\RP1\A0000084.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{21110443-E8F3-4E61-9A4D-D040E59EE132}\RP2\A0000313.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{21110443-E8F3-4E61-9A4D-D040E59EE132}\RP2\A0000394.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{21110443-E8F3-4E61-9A4D-D040E59EE132}\RP2\A0000466.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{21110443-E8F3-4E61-9A4D-D040E59EE132}\RP2\A0000497.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{21110443-E8F3-4E61-9A4D-D040E59EE132}\RP2\A0000560.exe (Trojan.Downloader) -> No action taken.



jeste jednou moc dekuju za ochotu...

Re: moc prosím o preventivní kontrolu logu z combofix

Napsal: 24 lis 2010 22:35
od Diallix
Najdene veci programom zmaz :)

Ako je na tom pc?

Re: moc prosím o preventivní kontrolu logu z combofix

Napsal: 24 lis 2010 23:35
od TQChose
Smazano, zda se to lepsi. Dekuji moc...rad bych se zbavil veskereho bordelu v pc. Jeste jednou dekuju moc ste mi pomhl. Ted mam jistotu ze uz tam temer nic nemam...(?) :)

Re: moc prosím o preventivní kontrolu logu z combofix

Napsal: 25 lis 2010 15:29
od Diallix
Doporucujem odinstalovat AskToolbar

a precistit pc s tymto nastrojom: http://sweb.cz/Marinus/T-Cleaner.exe

Inak je to ok.

Re: moc prosím o preventivní kontrolu logu z combofix

Napsal: 25 lis 2010 17:43
od TQChose
Dobra provedu. dekuju moc za velkou pomoc...

Re: moc prosím o preventivní kontrolu logu z combofix

Napsal: 25 lis 2010 20:49
od Diallix
Za nic :)
Všechny časy jsou v UTC+01:00
Stránka 1 z 1

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz