VIRY.CZ

Po čisté instalaci windows XP na Acer extensa 5220 (přičemž partition s instalací byla zformátována) nelze spustit web microsoft.cz, rootkit.cz apod., přičemž "normální" stránky fungují. ComboFix mi nahlásil přítomnost rootkitu, ale nenašel jsem možnost opravy - prosím o radu. Přikládám logy z ComboFix a z rootkitreveal.

Díky

ComboFix 11-02-05.01 - Vodárna 06.02.2011 20:29:57.3.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.502.317 [GMT 1:00]
Spuštěný z: c:\documents and settings\Vodárna\Plocha\ComboFix.exe
.

((((((((((((((((((((((((( Soubory vytvořené od 2011-01-06 do 2011-02-06 )))))))))))))))))))))))))))))))
.

2011-02-04 20:11 . 2011-02-04 20:11 -------- d-----r- C:\MSOCache
2011-02-04 19:56 . 2011-02-04 19:56 -------- d-----w- C:\totalcmd
2011-02-04 19:24 . 2011-02-04 19:24 -------- d-----w- C:\Intel

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((( SnapShot@2011-02-06_18.39.12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-02-04 19:09 . 2009-08-06 18:24 35552 c:\windows\system32\wups.dll
+ 2011-02-04 19:09 . 2009-08-06 18:24 35552 c:\windows\system32\dllcache\wups.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KiesHelper"="c:\program files\Samsung\Kies\KiesHelper.exe" [2011-01-29 888120]
"KiesTrayAgent"="c:\program files\Samsung\Kies\KiesTrayAgent.exe" [2011-01-29 3372856]
"Google Update"="c:\documents and settings\Vodárna\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" [2011-02-04 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-28 16132608]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2442:TCP"= 2442:TCP:czxcfkih

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.3.2010 13:16 130384]
S2 nocqlbre;Microsoft System;c:\windows\system32\svchost.exe -k netsvcs [16.4.2003 13:00 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.3.2010 13:16 753504]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
nocqlbre
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.sparta.cz/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-06 20:34
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nocqlbre]
"ServiceDll"="c:\windows\system32\lbhvc.dll"
.
Celkový čas: 2011-02-06 20:35:37
ComboFix-quarantined-files.txt 2011-02-06 19:35
ComboFix2.txt 2011-02-06 19:08
ComboFix3.txt 2011-02-06 18:40

Před spuštěním: Volných bajtů: 27 499 233 280
Po spuštění: Volných bajtů: 27 496 669 184

- - End Of File - - 3FD5CC5EF5D041EE1A90027CACAD063C

HKU\S-1-5-21-1935655697-1123561945-725345543-1003\Console 6.2.2011 20:08 0 bytes Security mismatch.
HKLM\SECURITY\Policy\Secrets\SAC* 4.2.2011 18:49 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 4.2.2011 18:49 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Swearware\backup\winsock2 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000002 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000003 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000004 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000005 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000006 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000007 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000008 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000009 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000010 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000011 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000012 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000013 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000014 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000015 6.2.2011 19:25 0 bytes Security mismatch.
HKLM\SOFTWARE\Swearware\backup\winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000016 6.2.2011 19:25 0 bytes Security mismatch.

Zdravim, pekny vecer preji a vitam Vas u nas na foru

Ten ComboFix Vam prosim poradil kdo Ma se aplikovat jen na doporuceni, navic log je terba dolustit, coz zjevne neumite. no a taky umi hezky poslat system do kyticek

Nebezpeci CFka

• Je urcen primarne pro radce - jeho svevolnym pouzitim ztracite narok na podporu
• Maze stopy po haveti, takze v logu z RSIT neni nic videt
• Jeho log je treba dolustit, jelikoz neumi smazat vse - to ovsem tezko zvladnete pokud k tomu nejste vyskolen
• CF muze mit bug = sunda Vam system, pokud nevite kam co uklada, jak co obnovit, mate system v kytkam a ceka Vas reinstal
• CF taky bohuzel prozatim nekontroluje nektere dulezite knihovny (napr. hal.dll) - ty treba mazou nektere typy haveti (napr. angela) - smaze Vam po restartu hal.dll = nenajede Vam system a jste o radek vyse = reinstal

Kdykoli jsem měl v ruce stroj, který se nechoval korektně, tak po spuštění combofixu bylo vše ok....
Co se týče reinstalu, tak ten by mě v tuto chvíli tolik netížil, ale myslím si, že by nepomohl, jelikož to mám nainstalované již podruhé a vždy se stejným výsledkem - všechno se tváří korektně, ale na web microsoftu, rootkit a podobné stránky se nedostanu...

Jde o to ze logy z CF je treba dolustit, havet v nich zustava, tak jako ted...

Pokud nemate, tak presunte Combofix na plochu

• Spustte poznamkovy blok (Start-spustit-notepad)
• Zkopirujte skript nize

• Kód: Vybrat vše

  File::
  c:\windows\system32\lbhvc.dll
  
  Driver::
  nocqlbre
  
  Registry::
  [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
  "2442:TCP"=-
  
  NetSvc::
  nocqlbre

• Ulozte vytvoreny TXT jako CFScript.txt
• Pretahnete vytvoreny CFScript.txt nad Combofix a pustte (viz obrazek nize)
  
• Po aplikaci skriptu (a pripadnem restartu) na Vas vypadne log, jeho obsah sem vlozte

Muze se stat, ze po aplikaci skriptu nenabehnou windows, v tomto pripade restartuje PC a mackejte F8 a zvolte Posledni znamou konfiguraci

tu je.
ComboFix 11-02-05.01 - Vodárna 06.02.2011 22:09:43.4.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.502.316 [GMT 1:00]
Spuštěný z: c:\documents and settings\Vodárna\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Vodárna\Plocha\CFScript.txt

FILE ::
"c:\windows\system32\lbhvc.dll"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\lbhvc.dll

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NOCQLBRE
-------\Service_nocqlbre


((((((((((((((((((((((((( Soubory vytvořené od 2011-01-06 do 2011-02-06 )))))))))))))))))))))))))))))))
.

2011-02-04 20:11 . 2011-02-04 20:11 -------- d-----r- C:\MSOCache
2011-02-04 19:56 . 2011-02-04 19:56 -------- d-----w- C:\totalcmd
2011-02-04 19:24 . 2011-02-04 19:24 -------- d-----w- C:\Intel

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.

((((((((((((((((((((((((((((( SnapShot@2011-02-06_18.39.12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-02-04 19:09 . 2009-08-06 18:24 35552 c:\windows\system32\wups.dll
+ 2011-02-04 19:09 . 2009-08-06 18:24 35552 c:\windows\system32\dllcache\wups.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KiesHelper"="c:\program files\Samsung\Kies\KiesHelper.exe" [2011-01-29 888120]
"KiesTrayAgent"="c:\program files\Samsung\Kies\KiesTrayAgent.exe" [2011-01-29 3372856]
"Google Update"="c:\documents and settings\Vodárna\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" [2011-02-04 136176]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-28 16132608]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-06-13 142104]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-06-13 162584]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-06-13 138008]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.3.2010 13:16 753504]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.3.2010 13:16 130384]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.sparta.cz/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-06 22:15
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(3808)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\wscntfy.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\wpabaln.exe
c:\windows\SoftwareDistribution\Download\b2724393b01c5400bfa64374267df99c\update\update.exe
.
**************************************************************************
.
Celkový čas: 2011-02-06 22:18:43 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-02-06 21:18
ComboFix2.txt 2011-02-06 19:35
ComboFix3.txt 2011-02-06 19:08
ComboFix4.txt 2011-02-06 18:40

Před spuštěním: Volných bajtů: 27 495 895 040
Po spuštění: Volných bajtů: 27 414 323 200

- - End Of File - - 9204765D1C52E3C69B33B625EC8B769E

Jak se chova PC

Začaly se stahovat automaticky záplaty, i problémové weby již fungují. A i antivirák jde nainstalovat (spyware terminator).

Děkuji

Spyware Terminator vsak neni antivir, je to pouze antiSpy, jako antivir doporucuji Avast...Ten rootkit se tam musel dostat z neceho co jste instalovat ihned nebo z nejakeho cracku - nepouzil jste ihned po instalaci nejaky

Tady aspon vidite, ze CF neni sam o sobe vsemohouci a je treba aby se na log podival nekdo kdo mu rozumi...

Používám v něm i kontrolu virů a v mém PC mne zatím nezklamal, narozdíl od avasta či avg.
Leda, že bych měl pošahaný service pack 3, protože nic cracklého tam není.
OK, zkusím se poučit a naučit.
Děkuji a přeji příjemný večer.

Muzete jeste zkusit AViru ci MSE, terminator nema heurestickou analyzu a webovy stit, takze jako ochrana PC je nedostatecny, clanek o nami doporucenem zabezpeceni mate zde http://www.viry.cz/forum/viewtopic.php?f=29&t=6152

Odinstalujte Combofix

• Start - Spustit (nebo pouzijte klavesobou zkratku Win+R)
• Napiste ComboFix /Uninstall
• Stisknete Enter
• Tohle smaze Combofix a jeho slozky

T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe

• Stahnete a spustte
• Pro potvrzeni volby mackejte A, Enter
• Po pouziti utilitu smazte
• Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)

OTC http://oldtimer.geekstogo.com/OTC.exe

• Stahnete a spustte
• Kliknete na CleanUp a potvrdte YES
• Program uklidi a restartuje PC

TFC http://oldtimer.geekstogo.com/TFC.exe

• Stahnete a spustte
• Kliknete na Start a potvrdte OK
• Program uklidi a restartuje pc
• Po pouziti utilitu smazte

Stahnete Ccleaner (viz muj podpis)
Panel čistič

• Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner

Panel registry

• dejte Hledej problémy
• nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
• postup opakujte dokud nebude bez problemu - vetsinou cca 3x

Panel nástroje

• Zde muzete odinstalovat nepotrebne programy

CCleaner doporucuji pouzivat cca jednou za 14 dni

A pokud nejsou problemy ci dotazy, je to z me strany vse. Jinak nemate zac, rad jsem pomohl