VIRY.CZ

Dobrý den,
nemohu se zbavit autorun.inf s textem:

[autorun]
USEAUTOPLAY=1
shellexcute=luckasta//tamanten.exe
icon=luckasta//tamanten.exe
Shell\going\home
#ęË×ÄÔŃŔĘËŽ×Ôëęă×ÔŚĹĘŁĂÎ×ĺšęĎŽśšęôžî÷śšĽô÷śšĽă×ŚŠĽăčë÷śšăĽôŚÎ×ëśšĽÎ×čęžśš÷ęĽŠÔ
open=luckasta//tamanten.exe
shell\\\\\\Open\\\\\\command=luckasta//tamanten.exe
shell\\\\\\Explore\\\\\\command=luckasta//tamanten.exe
action=Open folder to view files using Windows Explorer

Už se rozšířil prakticky po všech médiích:) Zajímalo by mě, jestli jsou automaticky nakaženy i počítače, kde byl flashdisk, nebo exter zapojený? Jinak abych nedzdržoval zbytečnou omáčkou, provedl jsem první scan pomocí combofixu, je zde:

ComboFix 11-02-27.03 - HASH 28.02.2011 18:38:20.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.1790.959 [GMT 1:00]
Spuštěný z: c:\users\HASH\Desktop\ComboFix.exe
AV: Trend Micro Internet Security Pro *Disabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
FW: Trend Micro Personal Firewall *Disabled* {70A91CD9-303D-A217-A80E-6DEE136EDB2B}
SP: Trend Micro Internet Security Pro *Disabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\common.data
c:\users\HASH\AppData\Roaming\juzjf.exe.ren
c:\users\HASH\AppData\Roaming\Microsoft\minnal.exe
c:\users\HASH\AppData\Roaming\winsysdrv32.txt
c:\users\HASH\xvlof.exe
c:\windows\system32\drivers\str.sys
c:\windows\system32\service
c:\windows\system32\service\23022011_TIS17_SfFniAU.log
H:\autorun.inf

.
((((((((((((((((((((((((( Soubory vytvořené od 2011-01-28 do 2011-02-28 )))))))))))))))))))))))))))))))
.

2011-02-28 17:46 . 2011-02-28 17:47 -------- d-----w- c:\users\HASH\AppData\Local\temp
2011-02-28 17:46 . 2011-02-28 17:46 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-02-28 17:35 . 2011-02-28 17:36 -------- d-----w- C:\32788R22FWJFW
2011-02-28 12:32 . 2011-02-28 12:32 -------- d-----w- c:\programdata\WindowsSearch
2011-02-26 17:38 . 2010-07-30 17:29 249424 ----a-w- c:\windows\system32\drivers\tmxpflt.sys
2011-02-26 17:38 . 2010-07-30 17:06 1331512 ----a-w- c:\windows\system32\drivers\vsapint.sys
2011-02-26 17:38 . 2010-07-30 17:29 36432 ----a-w- c:\windows\system32\drivers\tmpreflt.sys
2011-02-22 22:35 . 2011-02-22 22:35 -------- d-----w- c:\users\HASH\AppData\Local\Trend Micro
2011-02-22 22:18 . 2011-02-26 17:28 -------- d-----w- c:\programdata\Trend Micro
2011-02-22 22:17 . 2011-02-22 22:21 -------- d-----w- c:\program files\Trend Micro
2011-02-22 21:25 . 2011-02-22 21:25 89872 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2011-02-22 21:25 . 2011-02-22 21:25 283152 ----a-w- c:\windows\system32\drivers\tmwfp.sys
2011-02-22 21:25 . 2011-02-22 21:25 146448 ----a-w- c:\windows\system32\drivers\tmlwf.sys
2011-02-22 21:25 . 2010-07-19 18:03 59472 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2011-02-22 21:25 . 2010-07-19 18:03 51792 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2011-02-22 21:25 . 2010-07-19 18:02 163408 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2011-02-22 21:23 . 2011-02-22 21:24 -------- d-----w- c:\program files\Launch Manager
2011-02-21 19:46 . 2011-02-21 19:46 89500 ---h--w- c:\users\HASH\VSPVSAVDAV.exe
2011-02-21 19:08 . 2011-02-02 16:10 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9AA8E3E3-2869-41CC-A4B4-7E5FBC03D830}\mpengine.dll
2011-02-21 19:01 . 2011-02-21 19:08 -------- d-----w- c:\program files\WinClamAVShield
2011-02-21 18:00 . 2011-02-21 17:59 42496 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nijo86a3w1.exe
2011-02-21 18:00 . 2011-02-21 17:59 42496 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\i6jufq4ci.exe
2011-02-21 17:59 . 2011-02-21 17:59 39936 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\y81k3g1x7.exe
2011-02-20 21:21 . 2011-02-21 20:33 -------- d-sh--r- c:\users\HASH\Microsoft-Update-Service-8-8586-7578-5800
2011-02-20 14:34 . 2011-02-20 14:34 42496 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inyjkfl6.exe
2011-02-20 14:34 . 2011-02-20 14:34 43008 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\81whdyo.exe
2011-02-20 14:34 . 2011-02-20 14:34 43008 --sh--r- c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\te2v5b03i.exe
2011-02-20 14:26 . 2008-09-26 17:04 621056 ----a-w- c:\windows\system32\drivers\mod7700.sys
2011-02-20 14:26 . 2008-09-26 17:04 113152 ----a-w- c:\windows\system32\drivers\ewusbnet.sys
2011-02-20 14:26 . 2008-09-26 17:04 101760 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2011-02-20 14:26 . 2008-09-26 17:03 23424 ----a-w- c:\windows\system32\drivers\ewdcsc.sys
2011-02-20 14:15 . 2011-02-20 14:27 -------- d-----w- c:\program files\O2 Mobilni internet
2011-02-18 16:54 . 2011-02-23 20:29 -------- d-----w- c:\users\HASH\AppData\Roaming\Spyware Terminator
2011-02-18 16:54 . 2011-02-18 16:54 142592 ----a-w- c:\windows\system32\drivers\sp_rsdrv2.sys
2011-02-18 16:54 . 2011-02-23 20:29 -------- d-----w- c:\program files\Spyware Terminator
2011-02-18 16:54 . 2011-02-22 22:08 -------- d-----w- c:\programdata\Spyware Terminator
2011-02-16 17:06 . 2011-02-21 20:34 -------- d-----w- c:\users\HASH\AppData\Roaming\xtrvicdrwwunip2mlmaddyrxybujtpve2
2011-02-16 16:02 . 2011-02-16 16:02 -------- d-----w- c:\users\HASH\AppData\Roaming\xfznlgljfuqzpjtydnm2jnhvcmkma2td2
2011-02-16 15:06 . 2011-02-16 15:06 -------- d-----w- c:\users\HASH\AppData\Roaming\xqovcskxewp3zzbnjdfbbwrodtvywtgs2
2011-02-15 20:32 . 2011-02-15 20:32 -------- d-----w- c:\users\HASH\AppData\Roaming\x3ironobhlcw1vrejgmvcb1zy32bz2sb2
2011-02-15 16:08 . 2011-02-15 16:08 -------- d-----w- c:\users\HASH\AppData\Roaming\xodgblavjvlvxpdzrseio1ciy1pmebcw2
2011-02-13 21:43 . 2011-02-13 21:43 106496 ----a-w- c:\users\HASH\xvlof.exe.ren
2011-02-05 23:35 . 2011-02-05 23:35 18300 ----a-w- c:\windows\system32\MAIE62.tmp
2011-02-05 17:57 . 2003-11-10 17:14 729088 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2011-02-05 17:57 . 2003-11-10 17:13 69715 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2011-02-05 17:57 . 2003-11-10 17:12 266240 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2011-02-05 17:57 . 2003-11-10 17:12 192512 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2011-02-05 17:57 . 2003-11-10 17:11 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2011-02-05 17:57 . 2011-02-05 17:57 311428 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2011-02-05 17:57 . 2011-02-05 17:57 188548 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 16:11 . 2010-08-16 19:34 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-19 19:07 . 2011-01-19 19:07 515848 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
"SpywareTerminatorUpdate"="c:\program files\Spyware Terminator\SpywareTerminatorUpdate.exe" [2011-02-18 3318784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-12-14 192512]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2010-01-26 1020248]

c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
81whdyo.exe [2011-2-20 43008]
i6jufq4ci.exe [2011-2-21 42496]
inyjkfl6.exe [2011-2-20 42496]
nijo86a3w1.exe [2011-2-21 42496]
te2v5b03i.exe [2011-2-20 43008]
y81k3g1x7.exe [2011-2-21 39936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2154561694-2073593054-3152204118-1000]
"EnableNotificationsRef"=dword:00000001

R0 dwcyxaupgqww;dwcyxaupgqww;c:\windows\system32\drivers\muldapczzflmzi.sys [x]
R1 mailKmd;mailKmd; [x]
R3 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [2010-07-19 51792]
R3 TmPfw;Trend Micro Personal Firewall;c:\program files\Trend Micro\Internet Security\TmPfw.exe [2011-02-22 497008]
R3 TmProxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2011-02-22 689416]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-14 691696]
S1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2011-02-18 142592]
S1 tmlwf;Trend Micro NDIS 6.0 Filter Driver;c:\windows\system32\DRIVERS\tmlwf.sys [2011-02-22 146448]
S2 tmpreflt;tmpreflt;c:\windows\system32\DRIVERS\tmpreflt.sys [2010-07-30 36432]
S2 tmwfp;Trend Micro WFP Callout Driver;c:\windows\system32\DRIVERS\tmwfp.sys [2011-02-22 283152]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - ttwzzs

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Export do &Tahiti - c:\program files\LightComp Tahiti 5\iehelper.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-28 18:47
Windows 6.0.6002 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ttwzzs]

.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Celkový čas: 2011-02-28 18:49:53
ComboFix-quarantined-files.txt 2011-02-28 17:49

Před spuštěním: Volných bajtů: 58 686 013 440
Po spuštění: Volných bajtů: 58 642 530 304

- - End Of File - - 60CBF0F2F14539F116E472AB2CF536F6

Zatím díky

Zdravím

Z jakého důvodu jste použil ComboFix? Vy s ním umíte pracovat?

Bohužel jsem už v zoufalství přečetl hromadu témat se stejným problémem:D Nechtěl jsem zdržovat... Nechal jsem zapojenou většinu přenosových médií, které mám..Je to špatně?

Uvědomte si, že použitím ComboFixu jste mi akorát zamaskoval stopy po havěti a možná si tím způsobil další problémy, přinejmenším zkomplikoval práci. ComboFix se nedoporučuje používat bez dozoru zkušené osoby a většinou kontroly logu z jiného detekčního programu, případně spuštění CF s příslušným parametrem. Rádce ví, jak případné legitimní smazané soubory obnovit, zná příkazy, dokáže se orientovat v logu atp. Nejde jen o problém restartování PC v případě, když vir smaže knihovnu hal.dll, ale o nespočet dalších věcí, které často nelze ani předpovídat.

Pokračujte podle návodu dole na stránce http://www.viry.cz/forum/viewtopic.php?f=24&t=102308

Log z USB Fixu:

############################## | UsbFix 7.014 | [Deletion]

User: HASH (Administrator) # HASH-PC [FUJITSU SIEMENS AMILO Li 1718]
Updated 24/06/10 by El Desaparecido / C_XX
Started at 20:06:46 | 28/02/2011
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Genuine Intel(R) CPU T2130 @ 1.86GHz
CPU 2: Genuine Intel(R) CPU T2130 @ 1.86GHz
Microsoft® Windows Vista™ Home Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 7.0.6002.18005

Windows Firewall: Disabled /!\
RAM -> 1790 Mb
C:\ (%systemdrive%) -> Fixed drive # 137 Gb (55 Mb free - 40%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> Removable drive # 974 Mb (608 Mb free - 62%) [LANCER] # FAT
G:\ -> Removable drive # 176 Mb (77 Mb free - 44%) [PHONE] # FAT
H:\ -> Fixed drive # 596 Gb (313 Mb free - 52%) [Transcend-lancer] # NTFS
I:\ -> Removable drive # 15 Gb (15 Mb free - 99%) [KINGSTON] # NTFS
J:\ -> Removable drive # 4 Gb (7 Mb free - 0%) [PHONE CARD] # FAT32

################## | Files # Infected Folders |

Deleted ! G:\Autorun.inf
Deleted ! J:\Autorun.inf

################## | Registry |

################## | Mountpoints2 |

################## | Listing |

[28/02/2011 - 20:10:43 | SHD ] C:\$RECYCLE.BIN
[28/02/2011 - 18:36:33 | D ] C:\32788R22FWJFW
[18/09/2006 - 22:43:36 | A | 24] C:\autoexec.bat
[28/02/2011 - 19:51:14 | RASHD ] C:\Autorun.inf
[12/10/2009 - 09:41:34 | D ] C:\Boot
[11/04/2009 - 14:18:38 | RASH | 333257] C:\bootmgr
[12/10/2009 - 09:41:36 | RAS | 8192] C:\BOOTSECT.BAK
[28/02/2011 - 18:49:58 | D ] C:\ComboFix
[28/02/2011 - 18:49:54 | A | 12518] C:\ComboFix.txt
[18/09/2006 - 22:43:37 | A | 10] C:\config.sys
[02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
[14/12/2009 - 15:19:01 | D ] C:\fsc.tmp
[06/02/2011 - 09:44:40 | D ] C:\game
[27/02/2011 - 15:08:29 | ASH | 1877196800] C:\hiberfil.sys
[04/05/2010 - 20:42:47 | RASH | 0] C:\IO.SYS
[04/05/2010 - 20:42:47 | RASH | 0] C:\MSDOS.SYS
[14/12/2009 - 19:07:37 | RD ] C:\MSOCache
[27/02/2011 - 15:08:27 | ASH | 2191020032] C:\pagefile.sys
[21/01/2008 - 03:32:31 | D ] C:\PerfLogs
[22/02/2011 - 23:17:37 | RD ] C:\Program Files
[28/02/2011 - 18:45:59 | D ] C:\ProgramData
[28/02/2011 - 18:49:58 | AD ] C:\Qoobox
[27/02/2011 - 17:40:10 | SHD ] C:\System Volume Information
[28/02/2011 - 20:10:43 | D ] C:\UsbFix
[28/02/2011 - 20:06:47 | A | 2404] C:\UsbFix.txt
[28/02/2011 - 19:51:20 | A | 91945] C:\UsbFix_Upload_Me_HASH-PC.zip
[12/10/2009 - 08:54:07 | RD ] C:\Users
[28/02/2011 - 18:49:56 | D ] C:\Windows
[24/12/2010 - 13:09:52 | D ] F:\HBCD
[08/11/2010 - 15:42:08 | A | 36102] F:\HBCD.txt
[08/11/2010 - 15:42:08 | A | 37] F:\HBCD Menu.cmd
[08/11/2010 - 15:42:08 | A | 3681] F:\changes.txt
[15/09/2010 - 20:21:06 | A | 4562] F:\VOBER_JAKUB.p12
[28/02/2011 - 19:51:16 | RASHD ] F:\Autorun.inf
[01/01/2000 - 00:09:12 | D ] G:\music
[01/01/2000 - 00:09:12 | D ] G:\picture
[01/01/2000 - 00:09:12 | D ] G:\other
[01/01/2000 - 00:09:12 | D ] G:\theme
[01/01/2000 - 00:09:12 | D ] G:\video
[01/01/2000 - 00:09:12 | D ] G:\webpage
[01/01/2000 - 00:09:12 | HD ] G:\system
[01/01/2000 - 00:09:12 | D ] G:\DCIM
[28/02/2011 - 19:06:44 | RH | 4674] G:\default-capability.xml
[27/02/2011 - 16:00:34 | RSHD ] G:\luckasta
[27/02/2011 - 16:30:23 | D ] H:\!!-=HUDBA=-
[28/02/2011 - 20:10:43 | D ] H:\$RECYCLE.BIN
[18/02/2011 - 22:21:14 | D ] H:\-=DOKUMENTY=-
[27/02/2011 - 16:31:13 | D ] H:\-=FOTO=-
[13/02/2011 - 17:09:35 | D ] H:\-=HRY=-
[27/10/2010 - 21:44:57 | D ] H:\-=KARAOKE=-
[18/02/2011 - 20:38:57 | D ] H:\-=PROGRAMY=-
[18/02/2011 - 22:13:02 | D ] H:\-=SKOLA=-
[18/02/2011 - 20:34:29 | D ] H:\-=VIDEO=-
[28/02/2011 - 19:51:19 | RASHD ] H:\Autorun.inf
[28/02/2011 - 18:26:31 | RD ] H:\luckasta
[28/02/2011 - 19:46:18 | D ] H:\RECYCLER
[27/10/2010 - 09:08:04 | SHD ] H:\System Volume Information
[16/12/2010 - 22:23:46 | D ] H:\ZALOHA DISK
[18/02/2011 - 21:59:01 | D ] H:\ZALOHA FLASH
[27/02/2011 - 16:30:39 | D ] H:\zaloha flash 2
[27/02/2011 - 16:30:39 | D ] H:\ZALOHA FLASH 3
[27/02/2011 - 16:30:41 | D ] H:\ZALOHA ZEN
[27/02/2011 - 16:30:23 | D ] H:\ZALOHA ZEN_2
[28/02/2011 - 19:51:19 | RASHD ] I:\Autorun.inf
[28/02/2011 - 18:27:03 | RSHD ] I:\luckasta
[01/01/1601 - 01:00:00 | RH | 0] J:\MEMSTICK.IND
[01/01/1601 - 01:00:00 | RH | 0] J:\MSTK_PRO.IND
[26/03/2009 - 13:22:00 | D ] J:\DCIM
[26/03/2009 - 13:22:00 | D ] J:\music
[26/03/2009 - 13:22:02 | D ] J:\picture
[26/03/2009 - 13:22:02 | D ] J:\other
[26/03/2009 - 13:22:02 | D ] J:\video
[26/03/2009 - 13:22:02 | D ] J:\theme
[26/03/2009 - 13:22:02 | D ] J:\webpage
[26/03/2009 - 13:22:02 | HD ] J:\system
[28/02/2011 - 19:06:54 | RH | 4674] J:\default-capability.xml
[26/03/2009 - 17:21:46 | D ] J:\Simsnovi
[20/04/2009 - 21:11:00 | D ] J:\GoogleAppsData
[27/02/2011 - 16:00:58 | RSHD ] J:\luckasta

################## | Vaccin |

C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
G:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
J:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)

################## | Upload |

Please send the file: C:\UsbFix_Upload_Me_HASH-PC.zip
http://chiquitine.changelog.fr/Sample/Upload.php
Thank you for your contribution.

################## | E.O.F |

Vzpomněl jsem si, že jsem měl v poslední době ještě připojený mobil, to jsou disky G a I., ty v předchozím nebyly

Oprava, mobil je G a J

Vyberte si jeden antispyware, zbývající odinstalujte.

Obrázek

Pokud nemáte, přesuňte Combofix na plochu.

Otevřete si Poznámkový blok a zkopírujte do něj text z bílého okénka.

Kód: Vybrat vše

File::
c:\users\HASH\VSPVSAVDAV.exe
c:\users\HASH\xvlof.exe.ren
c:\windows\system32\MAIE62.tmp
c:\windows\system32\drivers\muldapczzflmzi.sys
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nijo86a3w1.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\i6jufq4ci.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\y81k3g1x7.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inyjkfl6.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\81whdyo.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\te2v5b03i.exe

Driver::
dwcyxaupgqww
mailKmd

Folder::
c:\users\HASH\AppData\Roaming\xtrvicdrwwunip2mlmaddyrxybujtpve2
c:\users\HASH\AppData\Roaming\xfznlgljfuqzpjtydnm2jnhvcmkma2td2
c:\users\HASH\AppData\Roaming\xqovcskxewp3zzbnjdfbbwrodtvywtgs2
c:\users\HASH\AppData\Roaming\x3ironobhlcw1vrejgmvcb1zy32bz2sb2
c:\users\HASH\AppData\Roaming\xodgblavjvlvxpdzrseio1ciy1pmebcw2

RegLock::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0004\AllUserSettings]

Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ttwzzs]

Uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
Po uložení uchopte vámi vytvořený skript levým myšítkem a přesuňte ho nad ikonu Combofixu, kde ho upustíte:
Po aplikaci na Vás vypadne další log,vložte ho sem

Může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci

Dobrý den. Zdravím. Po včerejším doběhnutí skriptu je obsah logu následující:

ComboFix 11-02-27.03 - HASH 28.02.2011 21:36:45.3.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.1790.1190 [GMT 1:00]
Spuštěný z: c:\users\HASH\Desktop\ComboFix.exe
AV: Trend Micro Internet Security Pro *Enabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
FW: Trend Micro Personal Firewall *Enabled* {70A91CD9-303D-A217-A80E-6DEE136EDB2B}
SP: Trend Micro Internet Security Pro *Enabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Předchozí spuštění -------
.
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\81whdyo.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\i6jufq4ci.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\inyjkfl6.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nijo86a3w1.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\te2v5b03i.exe
c:\users\HASH\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\y81k3g1x7.exe
c:\users\HASH\AppData\Roaming\x3ironobhlcw1vrejgmvcb1zy32bz2sb2\svcnost.exe
c:\users\HASH\AppData\Roaming\xfznlgljfuqzpjtydnm2jnhvcmkma2td2\svcnost.exe
c:\users\HASH\AppData\Roaming\xodgblavjvlvxpdzrseio1ciy1pmebcw2\svcnost.exe
c:\users\HASH\AppData\Roaming\xqovcskxewp3zzbnjdfbbwrodtvywtgs2\svcnost.exe
c:\users\HASH\xvlof.exe.ren
c:\windows\system32\MAIE62.tmp

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_dwcyxaupgqww
-------\Service_mailKmd

((((((((((((((((((((((((( Soubory vytvořené od 2011-01-28 do 2011-02-28 )))))))))))))))))))))))))))))))
.

2011-02-28 20:47 . 2011-02-28 20:47 -------- d-----w- c:\users\HASH\AppData\Local\temp
2011-02-28 20:47 . 2011-02-28 20:47 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-02-28 18:45 . 2011-02-28 19:10 -------- d-----w- C:\UsbFix
2011-02-28 12:32 . 2011-02-28 12:32 -------- d-----w- c:\programdata\WindowsSearch
2011-02-26 17:38 . 2010-07-30 17:29 249424 ----a-w- c:\windows\system32\drivers\tmxpflt.sys
2011-02-26 17:38 . 2010-07-30 17:06 1331512 ----a-w- c:\windows\system32\drivers\vsapint.sys
2011-02-26 17:38 . 2010-07-30 17:29 36432 ----a-w- c:\windows\system32\drivers\tmpreflt.sys
2011-02-22 22:35 . 2011-02-22 22:35 -------- d-----w- c:\users\HASH\AppData\Local\Trend Micro
2011-02-22 22:18 . 2011-02-26 17:28 -------- d-----w- c:\programdata\Trend Micro
2011-02-22 22:17 . 2011-02-22 22:21 -------- d-----w- c:\program files\Trend Micro
2011-02-22 21:25 . 2011-02-22 21:25 89872 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2011-02-22 21:25 . 2011-02-22 21:25 283152 ----a-w- c:\windows\system32\drivers\tmwfp.sys
2011-02-22 21:25 . 2011-02-22 21:25 146448 ----a-w- c:\windows\system32\drivers\tmlwf.sys
2011-02-22 21:25 . 2010-07-19 18:03 59472 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2011-02-22 21:25 . 2010-07-19 18:03 51792 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2011-02-22 21:25 . 2010-07-19 18:02 163408 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2011-02-22 21:23 . 2011-02-22 21:24 -------- d-----w- c:\program files\Launch Manager
2011-02-21 19:08 . 2011-02-02 16:10 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9AA8E3E3-2869-41CC-A4B4-7E5FBC03D830}\mpengine.dll
2011-02-20 21:21 . 2011-02-21 20:33 -------- d-sh--r- c:\users\HASH\Microsoft-Update-Service-8-8586-7578-5800
2011-02-20 14:26 . 2008-09-26 17:04 621056 ----a-w- c:\windows\system32\drivers\mod7700.sys
2011-02-20 14:26 . 2008-09-26 17:04 113152 ----a-w- c:\windows\system32\drivers\ewusbnet.sys
2011-02-20 14:26 . 2008-09-26 17:04 101760 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2011-02-20 14:26 . 2008-09-26 17:03 23424 ----a-w- c:\windows\system32\drivers\ewdcsc.sys
2011-02-20 14:15 . 2011-02-20 14:27 -------- d-----w- c:\program files\O2 Mobilni internet
2011-02-05 17:57 . 2003-11-10 17:14 729088 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2011-02-05 17:57 . 2003-11-10 17:13 69715 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2011-02-05 17:57 . 2003-11-10 17:12 266240 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2011-02-05 17:57 . 2003-11-10 17:12 192512 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2011-02-05 17:57 . 2003-11-10 17:11 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2011-02-05 17:57 . 2011-02-05 17:57 311428 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2011-02-05 17:57 . 2011-02-05 17:57 188548 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-28 19:10 . 2011-02-28 18:51 93824 ----a-w- C:\UsbFix_Upload_Me_HASH-PC.zip
2011-02-02 16:11 . 2010-08-16 19:34 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-19 19:07 . 2011-01-19 19:07 515848 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-12-14 192512]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2010-01-26 1020248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2154561694-2073593054-3152204118-1000]
"EnableNotificationsRef"=dword:00000001

R3 CFcatchme;CFcatchme;c:\users\HASH\AppData\Local\Temp\CFcatchme.sys [x]
R3 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [2010-07-19 51792]
R3 TmPfw;Trend Micro Personal Firewall;c:\program files\Trend Micro\Internet Security\TmPfw.exe [2011-02-22 497008]
R3 TmProxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2011-02-22 689416]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-14 691696]
S1 tmlwf;Trend Micro NDIS 6.0 Filter Driver;c:\windows\system32\DRIVERS\tmlwf.sys [2011-02-22 146448]
S2 tmpreflt;tmpreflt;c:\windows\system32\DRIVERS\tmpreflt.sys [2010-07-30 36432]
S2 tmwfp;Trend Micro WFP Callout Driver;c:\windows\system32\DRIVERS\tmwfp.sys [2011-02-22 283152]
S3 WisLMSvc;WisLMSvc;c:\program files\Launch Manager\WisLMSvc.exe [2006-11-17 118784]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - ttwzzs

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Export do &Tahiti - c:\program files\LightComp Tahiti 5\iehelper.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-28 21:47
Windows 6.0.6002 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ttwzzs]

.
Celkový čas: 2011-02-28 21:57:40
ComboFix-quarantined-files.txt 2011-02-28 20:57
ComboFix2.txt 2011-02-28 17:49

Před spuštěním: Volných bajtů: 58 448 355 328
Po spuštění: Volných bajtů: 58 410 663 936

- - End Of File - - C24D2861AFFF8AE336B6E3840A5B8287

Spusťte CF s následujícím skriptem, log vložte sem.

Kód: Vybrat vše

Driver::
ttwzzs

No, mám log, ale píšu z jiného notebooku, protože mi nejde spustit žádný internetový prohlížeč. Píše pokus použít neplatnou operaci na klíč registru který je označen k odstranění. Mám restartovat počítač? Jinak asi log z počítače nedostanu. Nechci používat paměťová media, protože ne nich jsou opět složky luckasta se souborem tamanten.exe

Napadá mě jen to vyfotit přímo z obrazovky

No vyfocení už taky nepřichází v úvahu, log se zavřel a se stejnou chybou už taky nejde spustit:(

Tak prohlizec se podarilo spustit jako spravce.

ComboFix 11-02-27.03 - HASH 01.03.2011 17:46:25.4.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1250.420.1029.18.1790.1113 [GMT 1:00]
Spuštěný z: c:\users\HASH\Desktop\ComboFix.exe
Použité ovládací přepínače :: c:\users\HASH\Desktop\CFScript.txt
AV: Trend Micro Internet Security Pro *Disabled/Updated* {68F968AC-2AA0-091D-848C-803E83E35902}
FW: Trend Micro Personal Firewall *Disabled* {70A91CD9-303D-A217-A80E-6DEE136EDB2B}
SP: Trend Micro Internet Security Pro *Disabled/Updated* {D3988948-0C9A-0693-BE3C-BB4CF86413BF}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TTWZZS
-------\Service_ttwzzs

((((((((((((((((((((((((( Soubory vytvořené od 2011-02-01 do 2011-03-01 )))))))))))))))))))))))))))))))
.

2011-03-01 17:00 . 2011-03-01 17:04 -------- d-----w- c:\users\HASH\AppData\Local\temp
2011-03-01 17:00 . 2011-03-01 17:00 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-02-28 18:45 . 2011-02-28 19:10 -------- d-----w- C:\UsbFix
2011-02-28 12:32 . 2011-02-28 12:32 -------- d-----w- c:\programdata\WindowsSearch
2011-02-26 17:38 . 2010-07-30 17:29 249424 ----a-w- c:\windows\system32\drivers\tmxpflt.sys
2011-02-26 17:38 . 2010-07-30 17:06 1331512 ----a-w- c:\windows\system32\drivers\vsapint.sys
2011-02-26 17:38 . 2010-07-30 17:29 36432 ----a-w- c:\windows\system32\drivers\tmpreflt.sys
2011-02-22 22:35 . 2011-02-22 22:35 -------- d-----w- c:\users\HASH\AppData\Local\Trend Micro
2011-02-22 22:18 . 2011-02-26 17:28 -------- d-----w- c:\programdata\Trend Micro
2011-02-22 22:17 . 2011-02-22 22:21 -------- d-----w- c:\program files\Trend Micro
2011-02-22 21:25 . 2011-02-22 21:25 89872 ----a-w- c:\windows\system32\drivers\tmtdi.sys
2011-02-22 21:25 . 2011-02-22 21:25 283152 ----a-w- c:\windows\system32\drivers\tmwfp.sys
2011-02-22 21:25 . 2011-02-22 21:25 146448 ----a-w- c:\windows\system32\drivers\tmlwf.sys
2011-02-22 21:25 . 2010-07-19 18:03 59472 ----a-w- c:\windows\system32\drivers\tmactmon.sys
2011-02-22 21:25 . 2010-07-19 18:03 51792 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys
2011-02-22 21:25 . 2010-07-19 18:02 163408 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2011-02-22 21:23 . 2011-02-22 21:24 -------- d-----w- c:\program files\Launch Manager
2011-02-21 19:08 . 2011-02-02 16:10 5890896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{9AA8E3E3-2869-41CC-A4B4-7E5FBC03D830}\mpengine.dll
2011-02-20 21:21 . 2011-02-21 20:33 -------- d-sh--r- c:\users\HASH\Microsoft-Update-Service-8-8586-7578-5800
2011-02-20 14:26 . 2008-09-26 17:04 621056 ----a-w- c:\windows\system32\drivers\mod7700.sys
2011-02-20 14:26 . 2008-09-26 17:04 113152 ----a-w- c:\windows\system32\drivers\ewusbnet.sys
2011-02-20 14:26 . 2008-09-26 17:04 101760 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys
2011-02-20 14:26 . 2008-09-26 17:03 23424 ----a-w- c:\windows\system32\drivers\ewdcsc.sys
2011-02-20 14:15 . 2011-02-20 14:27 -------- d-----w- c:\program files\O2 Mobilni internet
2011-02-15 16:10 . 2011-03-01 17:01 738816 ----a-w- c:\windows\system32\drivers\ttwzzs.sys
2011-02-05 17:57 . 2003-11-10 17:14 729088 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iKernel.dll
2011-02-05 17:57 . 2003-11-10 17:13 69715 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\ctor.dll
2011-02-05 17:57 . 2003-11-10 17:12 266240 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iscript.dll
2011-02-05 17:57 . 2003-11-10 17:12 192512 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iuser.dll
2011-02-05 17:57 . 2003-11-10 17:11 5632 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\DotNetInstaller.exe
2011-02-05 17:57 . 2011-02-05 17:57 311428 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\setup.dll
2011-02-05 17:57 . 2011-02-05 17:57 188548 ----a-w- c:\program files\Common Files\InstallShield\Professional\RunTime\09\01\Intel32\iGdi.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-28 19:10 . 2011-02-28 18:51 93824 ----a-w- C:\UsbFix_Upload_Me_HASH-PC.zip
2011-02-02 16:11 . 2010-08-16 19:34 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-01-19 19:07 . 2011-01-19 19:07 515848 ----a-w- c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"WindowsWelcomeCenter"="oobefldr.dll" [2009-04-11 2153472]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 83608]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2006-12-14 192512]
"LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2006-12-26 180224]
"LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2006-08-29 241664]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2006-11-09 86016]
"UfSeAgnt.exe"="c:\program files\Trend Micro\Internet Security\UfSeAgnt.exe" [2010-01-26 1020248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-2154561694-2073593054-3152204118-1000]
"EnableNotificationsRef"=dword:00000001

R3 CFcatchme;CFcatchme;c:\users\HASH\AppData\Local\Temp\CFcatchme.sys [x]
R3 tmevtmgr;tmevtmgr;c:\windows\system32\DRIVERS\tmevtmgr.sys [2010-07-19 51792]
R3 TmPfw;Trend Micro Personal Firewall;c:\program files\Trend Micro\Internet Security\TmPfw.exe [2011-02-22 497008]
R3 TmProxy;Trend Micro Proxy Service;c:\program files\Trend Micro\Internet Security\TmProxy.exe [2011-02-22 689416]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2009-12-14 691696]
S1 tmlwf;Trend Micro NDIS 6.0 Filter Driver;c:\windows\system32\DRIVERS\tmlwf.sys [2011-02-22 146448]
S2 tmpreflt;tmpreflt;c:\windows\system32\DRIVERS\tmpreflt.sys [2010-07-30 36432]
S2 tmwfp;Trend Micro WFP Callout Driver;c:\windows\system32\DRIVERS\tmwfp.sys [2011-02-22 283152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
.
------- Doplňkový sken -------
.
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Export do &Tahiti - c:\program files\LightComp Tahiti 5\iehelper.html
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-01 18:04
Windows 6.0.6002 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\WUDFHost.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Trend Micro\TrendSecure\TISProToolbar\ProToolbarUpdate.exe
c:\program files\Launch Manager\WisLMSvc.exe
c:\windows\system32\wbem\unsecapp.exe
c:\program files\Trend Micro\TrendSecure\TSCFCmdrLauncher.exe
.
**************************************************************************

Měl jste v PC při aplikaci UsbFixu všechna vyměnitelná zařízení?

Obrázek

Stáhněte OTL http://oldtimer.geekstogo.com/OTL.exe na plochu

Spusťte, poté do spodního políčka vložte následující skript.

Kód: Vybrat vše

netsvcs
drivers32
savembr:0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s

/md5start
cngaudit.dll
cryptsvc.dll
eNetHook.dll
eventlog.dll
hal.dll
logevent.dll
netlogon.dll
ntelogon.dll
scecli.dll
sceclt.dll
ws2_32.dll
autochk.exe
csrss.exe
explorer.exe
lsass.exe
services.exe
smss.exe
spoolsv.exe
svchost.exe
userinit.exe
winlogon.exe
adp3132.sys
AGP440.sys
ahcix86.sys
ahcix86s.sys
atapi.sys
cdrom.sys 
Changer.sys
fastfat.sys
iaStor.sys
iastorv.sys
IdeChnDr.sys
isapnp.sys 
JakNDis.sys
KR10N.sys
mv61xx.sys
ndis.sys
ntfs.sys
nvata.sys
nvatabus.sys
nvgts.sys
nvraid.sys 
nvrd32.sys 
nvstor.sys
nvstor32.sys
symmpi.sys
tcpip.sys
vaxscsi.sys
viamraid.sys
viasraid.sys
ViPrt.sys
/md5stop

C:\windows\system32\spool\prtprocs|dll;true;true;true /FP
%systemroot%\system32\drivers\*.sys /5
%systemroot%\system32\drivers\*.sys /X 
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\*.* /5
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\config\*.sav 
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\*.* /U /s
%systemroot%\*. /mp /s
%ALLUSERSPROFILE%\Data Aplikací\*.*
%ALLUSERSPROFILE%\Data Aplikací\*.exe /s
%ALLUSERSPROFILE%\Dáta aplikácií\*.*
%ALLUSERSPROFILE%\Dáta aplikácií\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS /s
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon" /v GinaDLL /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager" /v BootExecute /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /v "PendingFileRenameOperations" /c

type c:\boot.ini >> test.txt /c
%SystemDrive%\PhysicalMBR.bin /md5

Označte položku Pro všechny uživatele.
Označte položky Kontrola na havěť "LOP" a Kontrola na havěť "Purity"
Klikněte na tlačítko Prohledat
Po dokončení, sem vložte logy OTL.Txt a Extras.txt

Soubor C:\PhysicalMBR.bin otestujte na http://www.virustotal.com a vložte sem odkaz na výsledek testu.

Ano, všechna média byla připojena

VIRY.CZ

Další autorun.inf

Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf

Re: Další autorun.inf