VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

problem s falešným antivirem AntiVirus_AntiSpyware_2011

https://forum.viry.cz:443/viewtopic.php?t=111496

Stránka 1 z 1

problem s falešným antivirem AntiVirus_AntiSpyware_2011

Napsal: 01 kvě 2011 18:59
od DavidKV
Dobrý den,

prosím o analýzu logu ComboFix
Postupoval jsem podle návodu: http://www.viry.cz/forum/viewtopic.php? ... 11#p978798
V Nouzovém režimu jsem pustil nejdříve rkill, poté ComboFix.

Přikládám log z ComboFix
Děkuju předem
ComboFix 11-04-30.06 - Administrator 01.05.2011 19:45:06.10.2 - x86 NETWORK
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2047.1767 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-04-01 do 2011-05-01 )))))))))))))))))))))))))))))))
.
.
2011-05-01 17:30 . 2011-05-01 17:30 -------- d-----w- c:\documents and settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011
2011-05-01 17:30 . 2011-05-01 17:30 3078659 ----a-w- c:\windows\56B177FD.exe
2011-04-30 07:56 . 2011-04-30 07:57 4722179 ----a-w- c:\windows\31F57880.exe
2011-04-29 09:22 . 2011-04-29 09:24 1048576 ----a-w- c:\windows\159813FF.exe
2011-04-28 16:01 . 2011-04-28 16:01 73728 ----a-w- c:\windows\68C8AA52.exe
2011-04-26 18:57 . 2011-04-26 18:57 -------- d-----w- c:\program files\CCleaner
2011-04-26 17:55 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-04-26 17:55 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-04-26 16:48 . 2011-04-26 17:49 -------- d---a-w- c:\documents and settings\All Users\Data aplikací\TEMP
2011-04-26 06:36 . 2011-04-26 06:36 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2011-04-26 06:33 . 2011-04-26 06:34 3078659 ----a-w- c:\windows\6214AD3F.exe
2011-04-24 18:02 . 2011-04-24 18:02 100864 ----a-w- c:\windows\system32\drivers\nohuxzeu.sys
2011-04-19 10:32 . 2011-04-19 10:32 -------- d-----w- c:\program files\imaxel
2011-04-16 12:13 . 2011-04-16 12:18 -------- d-----w- c:\program files\CamStudio
2011-04-10 17:36 . 2011-04-27 04:50 -------- d-----w- c:\program files\Microsoft Silverlight
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 05:33 . 2007-10-17 13:19 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2008-04-14 06:52 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2008-04-14 05:45 1857920 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:08 . 2008-04-14 06:52 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:08 . 2008-04-14 06:52 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-22 23:08 . 2008-04-14 06:51 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 11:41 . 2008-04-14 05:50 385024 ----a-w- c:\windows\system32\html.iec
2011-02-19 19:19 . 2011-02-19 19:19 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2011-02-19 19:19 . 2011-02-19 19:19 109080 ----a-w- c:\windows\system32\OpenAL32.dll
2011-02-17 13:18 . 2008-04-13 22:47 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2008-04-13 22:45 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2008-04-14 06:37 290432 ----a-w- c:\windows\system32\atmfd.dll
2011-02-09 13:53 . 2008-04-14 06:51 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2008-04-14 06:51 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-08 13:33 . 2008-04-14 06:51 978944 ----a-w- c:\windows\system32\mfc42.dll
2011-02-08 13:33 . 2007-04-03 06:44 974848 ----a-w- c:\windows\system32\mfc42u.dll
2011-02-02 07:58 . 2007-10-17 13:17 2067456 ----a-w- c:\windows\system32\mstscax.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-27 39408]
"BitComet"="d:\záloha\P2P BitComet\BitComet\BitComet.exe" [2010-12-08 10811696]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-05-14 1479680]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2005-01-15 778240]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"PMBVolumeWatcher"="c:\program files\Sony\PMB\PMBVolumeWatcher.exe" [2010-03-24 599328]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-09 98304]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-17 44544]
.
c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Adobe Reader Speed Launch.lnk]
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Microsoft Office.lnk]
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Záloha\\P2P BitComet\\BitComet\\BitComet.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Documents and Settings\\All Users\\Data aplikací\\NexonEU\\NGM\\NGM.exe"=
"e:\\Alien Arena 7_50\\crx.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8243:TCP"= 8243:TCP:BitComet 8243 TCP
"8243:UDP"= 8243:UDP:BitComet 8243 UDP
.
S2 nohuxzeu;nohuxzeu;c:\windows\system32\drivers\nohuxzeu.sys [24.4.2011 20:02 100864]
S2 PMBDeviceInfoProvider;PMBDeviceInfoProvider;c:\program files\Sony\PMB\PMBDeviceInfoProvider.exe [24.10.2009 3:18 360224]
S3 FlyPCI;FlyPCI;c:\windows\system32\drivers\FlyPCI.sys [3.2.2008 19:10 4134]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [3.1.2011 22:34 137344]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [3.1.2011 22:34 8320]
S3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFDTV\WFIOCTL.sys [19.10.2007 0:32 9446]
S3 WFLR6654;WinFast DTV1800 H (Video);c:\windows\system32\drivers\wfeaglxt.sys [19.10.2007 0:31 393088]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\program files\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.7.2008 2:28 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.7.2008 3:49 242712]
S4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.7.2008 2:28 369688]
.
Obsah adresáře 'Naplánované úlohy'
.
2011-05-01 c:\windows\Tasks\User_Feed_Synchronization-{5F98599A-81C9-4EC7-BDCB-36CC262137F8}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.05\AMVConverter\grab.html
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: MediaManager tool grab multimedia file - c:\program files\MP3 Player Utilities 4.05\MediaManager\grab.html
IE: Stáhnout odkaz s použitím BitCometu - d:\záloha\P2P BitComet\BitComet\BitComet.exe/AddLink.htm
IE: Stáhnout všechny odkazy s použitím BitCometu - d:\záloha\P2P BitComet\BitComet\BitComet.exe/AddAllLink.htm
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-01 19:48
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-823518204-1004336348-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,38,da,39,95,fb,6e,97,42,85,8b,a7,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,38,da,39,95,fb,6e,97,42,85,8b,a7,\
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(656)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(1948)
c:\windows\system32\msi.dll
.
Celkový čas: 2011-05-01 19:50:00
ComboFix-quarantined-files.txt 2011-05-01 17:49
.
Před spuštěním: 9 514 983 424
Po spuštění: 9 505 775 616
.
- - End Of File - - EFAE71DA004BE5865C1995782CBFC444

Re: problem s falešným antivirem AntiVirus_AntiSpyware_2011

Napsal: 01 kvě 2011 19:06
od cernohous13
Zdravím,

píšu script

Re: problem s falešným antivirem AntiVirus_AntiSpyware_2011

Napsal: 01 kvě 2011 19:13
od cernohous13
:arrow: Otevři Poznámkový blok (Notepad) a zkopíruj celý zelený text z "CFscriptu".
Soubor ulož na plochu jako CFscript.txt a jeho ikonu přetáhni myší nad ikonu ComboFixu - tam pusť.
Obrázek
ComboFix se spustí - počkej na log a vlož ho sem.
CFscript

Kód: Vybrat vše

KillAll::

Folder::
c:\documents and settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011

File::
c:\windows\56B177FD.exe
c:\windows\31F57880.exe
c:\windows\159813FF.exe
c:\windows\68C8AA52.exe
c:\windows\6214AD3F.exe
c:\windows\system32\drivers\nohuxzeu.sys

Driver::
nohuxzeu

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000

RegLock::
[HKEY_USERS\S-1-5-21-823518204-1004336348-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]

Re: problem s falešným antivirem AntiVirus_AntiSpyware_2011

Napsal: 01 kvě 2011 19:40
od DavidKV
Děkuju za rychlou reakci a pomoc
ComboFix se choval normálně, pak restartoval počítač, ještě něco dělal, pak ale začal něco kopírovat na server, což trvalo, nakonec to dopadlo snad dobře, posílám log.

Mám postupovat standardně s "Malwarebytes' Anti-Malware" + "CCleaner"

děkuju mockrát za rady


ComboFix 11-04-30.06 - Administrator 01.05.2011 20:17:35.11.2 - x86 NETWORK
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2047.1674 [GMT 2:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Administrator\Plocha\CFscript.txt.txt
.
FILE ::
"c:\windows\159813FF.exe"
"c:\windows\31F57880.exe"
"c:\windows\56B177FD.exe"
"c:\windows\6214AD3F.exe"
"c:\windows\68C8AA52.exe"
"c:\windows\system32\drivers\nohuxzeu.sys"
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011
c:\documents and settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011\AntiVirus AntiSpyware.exe
c:\documents and settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011\IcoActivate.ico
c:\documents and settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011\IcoHelp.ico
c:\documents and settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011\IcoMain.ico
c:\documents and settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011\IcoUninstall.ico
c:\documents and settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011\securityhelper.exe
c:\documents and settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011\securitymanager.exe
c:\windows\159813FF.exe
c:\windows\31F57880.exe
c:\windows\56B177FD.exe
c:\windows\6214AD3F.exe
c:\windows\68C8AA52.exe
c:\windows\system32\drivers\nohuxzeu.sys
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_NOHUXZEU
-------\Service_nohuxzeu
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-04-01 do 2011-05-01 )))))))))))))))))))))))))))))))
.
.
2011-04-26 18:57 . 2011-04-26 18:57 -------- d-----w- c:\program files\CCleaner
2011-04-26 17:55 . 2009-08-06 17:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2011-04-26 17:55 . 2009-08-06 17:23 215920 ----a-w- c:\windows\system32\muweb.dll
2011-04-26 16:48 . 2011-04-26 17:49 -------- d---a-w- c:\documents and settings\All Users\Data aplikací\TEMP
2011-04-26 06:36 . 2011-04-26 06:36 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2011-04-19 10:32 . 2011-04-19 10:32 -------- d-----w- c:\program files\imaxel
2011-04-16 12:13 . 2011-04-16 12:18 -------- d-----w- c:\program files\CamStudio
2011-04-10 17:36 . 2011-04-27 04:50 -------- d-----w- c:\program files\Microsoft Silverlight
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-03-07 05:33 . 2007-10-17 13:19 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:36 . 2008-04-14 06:52 420864 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2008-04-14 05:45 1857920 ----a-w- c:\windows\system32\win32k.sys
2011-02-22 23:08 . 2008-04-14 06:52 916480 ----a-w- c:\windows\system32\wininet.dll
2011-02-22 23:08 . 2008-04-14 06:52 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2011-02-22 23:08 . 2008-04-14 06:51 43520 ----a-w- c:\windows\system32\licmgr10.dll
2011-02-22 11:41 . 2008-04-14 05:50 385024 ----a-w- c:\windows\system32\html.iec
2011-02-19 19:19 . 2011-02-19 19:19 444952 ----a-w- c:\windows\system32\wrap_oal.dll
2011-02-19 19:19 . 2011-02-19 19:19 109080 ----a-w- c:\windows\system32\OpenAL32.dll
2011-02-17 13:18 . 2008-04-13 22:47 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2008-04-13 22:45 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 05:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2008-04-14 06:37 290432 ----a-w- c:\windows\system32\atmfd.dll
2011-02-09 13:53 . 2008-04-14 06:51 270848 ----a-w- c:\windows\system32\sbe.dll
2011-02-09 13:53 . 2008-04-14 06:51 186880 ----a-w- c:\windows\system32\encdec.dll
2011-02-08 13:33 . 2008-04-14 06:51 978944 ----a-w- c:\windows\system32\mfc42.dll
2011-02-08 13:33 . 2007-04-03 06:44 974848 ----a-w- c:\windows\system32\mfc42u.dll
2011-02-02 07:58 . 2007-10-17 13:17 2067456 ----a-w- c:\windows\system32\mstscax.dll
.
.
((((((((((((((((((((((((((((( SnapShot@2011-05-01_17.48.41 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-05-01 18:22 . 2011-05-01 18:22 16384 c:\windows\temp\Perflib_Perfdata_f4.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-27 39408]
"BitComet"="d:\záloha\P2P BitComet\BitComet\BitComet.exe" [2010-12-08 10811696]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2010-05-14 1479680]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2005-01-15 778240]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"PMBVolumeWatcher"="c:\program files\Sony\PMB\PMBVolumeWatcher.exe" [2010-03-24 599328]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-09 98304]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-17 44544]
.
c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Adobe Reader Speed Launch.lnk]
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^Microsoft Office.lnk]
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Záloha\\P2P BitComet\\BitComet\\BitComet.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Documents and Settings\\All Users\\Data aplikací\\NexonEU\\NGM\\NGM.exe"=
"e:\\Alien Arena 7_50\\crx.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8243:TCP"= 8243:TCP:BitComet 8243 TCP
"8243:UDP"= 8243:UDP:BitComet 8243 UDP
.
R2 PMBDeviceInfoProvider;PMBDeviceInfoProvider;c:\program files\Sony\PMB\PMBDeviceInfoProvider.exe [24.10.2009 3:18 360224]
R3 WFLR6654;WinFast DTV1800 H (Video);c:\windows\system32\drivers\wfeaglxt.sys [19.10.2007 0:31 393088]
S3 FlyPCI;FlyPCI;c:\windows\system32\drivers\FlyPCI.sys [3.2.2008 19:10 4134]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [3.1.2011 22:34 137344]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [3.1.2011 22:34 8320]
S3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFDTV\WFIOCTL.sys [19.10.2007 0:32 9446]
S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\program files\Microsoft SQL Server\100\Shared\sqladhlp.exe [11.7.2008 2:28 47128]
S4 RsFx0102;RsFx0102 Driver;c:\windows\system32\drivers\RsFx0102.sys [10.7.2008 3:49 242712]
S4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\SQLAGENT.EXE [11.7.2008 2:28 369688]
.
Obsah adresáře 'Naplánované úlohy'
.
2011-05-01 c:\windows\Tasks\User_Feed_Synchronization-{5F98599A-81C9-4EC7-BDCB-36CC262137F8}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.05\AMVConverter\grab.html
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: MediaManager tool grab multimedia file - c:\program files\MP3 Player Utilities 4.05\MediaManager\grab.html
IE: Stáhnout odkaz s použitím BitCometu - d:\záloha\P2P BitComet\BitComet\BitComet.exe/AddLink.htm
IE: Stáhnout všechny odkazy s použitím BitCometu - d:\záloha\P2P BitComet\BitComet\BitComet.exe/AddAllLink.htm
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-AntiVirus_AntiSpyware_2011 - c:\documents and settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011\securityhelper.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-01 20:22
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(744)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(2316)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_eng.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Motive\McciCMService.exe
c:\program files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe
c:\windows\system32\devldr32.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\Eset\nod32krn.exe
c:\program files\Microsoft SQL Server\90\Shared\sqlwriter.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\system32\wscntfy.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Celkový čas: 2011-05-01 20:26:28 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-05-01 18:26
ComboFix2.txt 2011-05-01 17:50
.
Před spuštěním: 9 514 516 480
Po spuštění: 9 403 289 600
.
- - End Of File - - 6AF3837A5EB2ACF63CA932DFA4A04F37

Re: problem s falešným antivirem AntiVirus_AntiSpyware_2011

Napsal: 01 kvě 2011 19:56
od cernohous13
vypadá to nadějně, doufám, že už jsi v normálním režimu

MBAM + Ccleaner je dobrá volba :wink:

Re: problem s falešným antivirem AntiVirus_AntiSpyware_2011

Napsal: 01 kvě 2011 20:12
od DavidKV
Ano, jsem v normálním režimu (ComboFix restartoval do normálu)

MBAM nenašel nic (v logu samé 0 - neposílám), Ccleaner nějaké drobnosti, které jsem dal hned opravit, vč. registrů.

Na ploše mám pořád ikonu toho hajzlíka AntiVirus_AntiSpyware_2011

Odkazuje na C:\Qoobox\Quarantine\C\Documents and Settings\LocalService\Data aplikací\AntiVirus_AntiSpyware_2011
tam jsou ty soubory hajzlíka s příponou .vir
Co s nimi, mám je ručně smazat? Či nějak jinak řešit?

jsou to tyto (posílám i jako přílohu)
AntiVirus AntiSpyware.exe.vir
IcoActivate.ico.vir
IcoHelp.ico.vir
IcoMain.ico.vir
IcoUninstall.ico.vir
securityhelper.exe.vir
securitymanager.exe.vir

Děkuji

Re: problem s falešným antivirem AntiVirus_AntiSpyware_2011

Napsal: 01 kvě 2011 20:43
od DavidKV
Prošel jsem si předchozí návody a na mazání těchto zbytků je patrně T-Cleaner

Takže jsem ho pustil a on vše smazal.

Snad je to tedy vše a já Vám mnohokrát děkuji.
David

Re: problem s falešným antivirem AntiVirus_AntiSpyware_2011

Napsal: 01 kvě 2011 20:45
od cernohous13
:arrow: ComboFix odinstalujeme
jdi Start -> Spustit... a zkopíruj ComboFix /Uninstall (pozor, za x je mezera) -> OK

:arrow:
Stáhni a spusť T-cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe - uklidí po použitých čističích.
Po spuštění ignoruj případné varování antiviru - je to v pořádku
Po provedení akce T-cleaner smažeš
:arrow: MBAM si můžeš nechat na občasnou kontrolu

Mělo by být hotovo - při problémech se ozvi.

Re: problem s falešným antivirem AntiVirus_AntiSpyware_2011

Napsal: 01 kvě 2011 20:46
od DavidKV
smazáno odinstalováno

Děkuji mnohokrát

Re: problem s falešným antivirem AntiVirus_AntiSpyware_2011

Napsal: 01 kvě 2011 20:51
od cernohous13
Nemáš zač - rádo se stalo a jsme tady i příště Obrázek
Všechny časy jsou v UTC+01:00
Stránka 1 z 1

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz