VIRY.CZ

Dobrý den,

chtěl bych Vás poprosit o pomoc při řešení tohoto problému. Nemohu přistoupit na stránky výrobců antiviru, stránek microsoftu a dalších. Mám důvodné podezření, že se jedná o nějaký malware, který ovšem nejsem schopen identifikovat a odstranit. Občas se stane, že nefunguje aplikace explorer.exe, která obstarává UI Windows - nejde ukončovat aplikace, aplikace nereagují na poklikání zavřít apod.
Četl jsem již mnoho návodů na bleepingcomputers i tu na viry.cz, nejsem schopen to sám vyřešit. Byl by prosím někdo tak hodný, a zkusil mi pomoci?

Sám mám podezření na následující:

Kód: Vybrat vše

S2 iyolx;Config System;d:\windows\system32\svchost.exe -k netsvcs [2.3.2006 14:00 14336]
S4 djpiiomuk;System Universal;d:\windows\system32\svchost.exe -k netsvcs [2.3.2006 14:00 14336]
S4 gdhoznsim;Update Support;d:\windows\system32\svchost.exe -k netsvcs [2.3.2006 14:00 14336]
S4 sptd;sptd;d:\windows\system32\drivers\sptd.sys [1.10.2009 13:25 436792]
S4 witpppurw;Task Universal;d:\windows\system32\svchost.exe -k netsvcs [2.3.2006 14:00 14336]
---
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\djpiiomuk]
"ServiceDll"="d:\windows\system32\ufzzuwyt.dll"
--
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gdhoznsim]
"ServiceDll"="d:\windows\system32\ufzzuwyt.dll"
--
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iyolx]
"ServiceDll"="d:\windows\system32\ufzzuwyt.dll"
--
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\witpppurw]
"ServiceDll"="d:\windows\system32\ufzzuwyt.dll"

Přikládám logy z ComboFixu a SDFixu. V případě potřeby dodám jakýkoliv jiný log z Malwarebytes Anti-Malware, RSIT (HiJackThis) apod.

==ComboFix==
ComboFix 11-05-11.04 - hadlo 12.05.2011 18:22:59.2.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.420.1029.18.895.599 [GMT 2:00]
Spuštěný z: d:\documents and settings\hadlo\Plocha\ComboFix.exe
AV: AVG Anti-Virus Free *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
d:\documents and settings\hadlo\WINDOWS
H:\Autorun.inf
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-04-12 do 2011-05-12 )))))))))))))))))))))))))))))))
.
.
2011-05-12 15:44 . 2011-05-12 15:44 -------- d-----w- d:\documents and settings\hadlo\Data aplikací\SUPERAntiSpyware.com
2011-05-12 15:44 . 2011-05-12 15:44 -------- d-----w- d:\documents and settings\All Users\Data aplikací\SUPERAntiSpyware.com
2011-05-12 15:44 . 2011-05-12 15:45 -------- d-----w- d:\program files\SUPERAntiSpyware
2011-05-12 15:30 . 2011-05-12 15:42 -------- d-----w- d:\documents and settings\hadlo\Data aplikací\IObit
2011-05-12 15:30 . 2011-05-12 16:19 -------- d-----w- D:\SuperAntiSpyware
2011-04-28 00:14 . 2010-07-06 16:27 359016 ----a-w- d:\windows\vncutil.exe
2011-04-28 00:13 . 2010-07-06 16:26 53864 ----a-w- d:\windows\system32\RtkCoInstXP.dll
2011-04-28 00:13 . 2010-07-06 16:26 129640 ----a-w- d:\windows\RtkAudioService.exe
2011-04-28 00:13 . 2009-11-18 05:17 1395800 ----a-w- d:\windows\system32\drivers\Monfilt.sys
2011-04-28 00:13 . 2009-11-18 05:16 1691480 ----a-w- d:\windows\system32\drivers\Ambfilt.sys
2011-04-25 19:40 . 2011-04-27 17:18 -------- d-----w- d:\documents and settings\All Users\Data aplikací\Restore
2011-04-25 19:39 . 2010-11-08 08:06 1686020 ----a-w- d:\windows\Wisaroc.exe
2011-04-25 19:39 . 2001-08-16 13:07 53760 ----a-w- d:\windows\system32\zlib.dll
2011-04-25 19:39 . 1998-06-30 13:14 368912 ----a-w- d:\windows\system32\vbar332.dll
2011-04-25 19:39 . 1998-05-30 23:00 72704 ----a-w- d:\windows\system32\ODBCTL32.DLL
2011-04-25 19:39 . 1998-11-11 19:51 98576 ----a-w- d:\windows\system32\msrpjt40.dll
2011-04-25 19:39 . 2011-04-27 17:13 -------- d-----w- d:\program files\AeroCAD
2011-04-19 16:00 . 2011-04-19 16:00 -------- d-----w- d:\documents and settings\Administrator\Data aplikací\Malwarebytes
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="d:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-08 344064]
"RTHDCPL"="RTHDCPL.EXE" [2010-07-06 19556968]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2006-03-02 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- d:\program files\SUPERAntiSpyware\SASWINLO.DLL
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\iTunes\\iTunes.exe"=
"d:\\Program Files\\Totalcmd\\TOTALCMD.EXE"=
"d:\\Program Files\\Opera\\opera.exe"=
"d:\\Program Files\\uTorrent\\uTorrent.exe"=
"d:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6759:TCP"= 6759:TCP:rivwcd
.
R1 SASDIFSV;SASDIFSV;d:\program files\SUPERAntiSpyware\sasdifsv.sys [17.2.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;d:\program files\SUPERAntiSpyware\SASKUTIL.SYS [10.5.2010 20:41 67656]
S2 iyolx;Config System;d:\windows\system32\svchost.exe -k netsvcs [2.3.2006 14:00 14336]
S3 Ambfilt;Ambfilt;d:\windows\system32\drivers\Ambfilt.sys [28.4.2011 2:13 1691480]
S4 djpiiomuk;System Universal;d:\windows\system32\svchost.exe -k netsvcs [2.3.2006 14:00 14336]
S4 gdhoznsim;Update Support;d:\windows\system32\svchost.exe -k netsvcs [2.3.2006 14:00 14336]
S4 sptd;sptd;d:\windows\system32\drivers\sptd.sys [1.10.2009 13:25 436792]
S4 witpppurw;Task Universal;d:\windows\system32\svchost.exe -k netsvcs [2.3.2006 14:00 14336]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
gdhoznsim
witpppurw
djpiiomuk
iyolx
.
Obsah adresáře 'Naplánované úlohy'
.
.
------- Doplňkový sken -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: E&xportovat do aplikace Microsoft Office Excel - d:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-12 18:25
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\djpiiomuk]
"ServiceDll"="d:\windows\system32\ufzzuwyt.dll"
--
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gdhoznsim]
"ServiceDll"="d:\windows\system32\ufzzuwyt.dll"
--
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iyolx]
"ServiceDll"="d:\windows\system32\ufzzuwyt.dll"
--
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\witpppurw]
"ServiceDll"="d:\windows\system32\ufzzuwyt.dll"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|˙˙˙˙"•€|ţ»Ów*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(564)
d:\program files\SUPERAntiSpyware\SASWINLO.DLL
d:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2011-05-12 18:27:25
ComboFix-quarantined-files.txt 2011-05-12 16:27
ComboFix2.txt 2010-09-12 12:31
.
Před spuštěním: 3 491 233 792
Po spuštění: 3 474 309 120
.
- - End Of File - - AE1937F48E5CE171A7ED63583928E4E7

==SDFix==

SDFix: Version 1.240
Run by Administrator on Łt 19.04.2011 at 19:01

Microsoft Windows XP [Verze 5.1.2600]
Running From: D:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-19 19:21:47
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\djpiiomuk]
"DisplayName"="System Universal"
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Udr~uje aktualizovaný seznam po
íta
o v síti a poskytuje seznam po
íta
o kvalifikovaných jako prohlí~e
e. Po zastavení slu~by nebude tento seznam dále aktualizován ani udr~ován. Jestli~e je tato slu~ba zakázána, nezdaYí se spuatní ~ádných slu~eb, které na této slu~b závisí."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\djpiiomuk\Parameters]
"ServiceDll"=str(2):"D:\WINDOWS\system32\ufzzuwyt.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gdhoznsim]
"DisplayName"="Update Support"
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Ukládá informace o zabezpe
ení ú
to místních u~ivatelo."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gdhoznsim\Parameters]
"ServiceDll"=str(2):"D:\WINDOWS\system32\ufzzuwyt.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iyolx]
"DisplayName"="Config System"
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Enables Windows user mode drivers."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iyolx\Parameters]
"ServiceDll"=str(2):"D:\WINDOWS\system32\ufzzuwyt.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:48,ed,ab,b2,c2,7e,b4,22,04,7e,7d,fc,1d,dc,4e,c9,f6,38,ce,bb,bb,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="D:\Program Files\DAEMON\"
"h0"=dword:00000002
"hdf12"=hex:48,fd,6e,6b,b2,91,75,c8,85,5a,0d,4b,47,41,f9,06,09,0e,22,17,db,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,2f,5a,2c,8e,d2,6e,8a,97,0b,cd,b2,5d,d1,7a,6c,4c,b1,..
"hdf12"=hex:0f,d5,03,64,bf,92,45,99,ae,32,98,9d,c6,86,59,48,f5,0d,69,11,28,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:46,ec,e5,92,41,3c,06,2f,20,44,fc,71,ce,70,34,4f,1f,76,32,a7,6e,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:08,d0,00,f5,ca,32,80,cc,77,89,09,ee,16,20,ac,52,53,e8,78,d7,98,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,fa,a3,61,07,03,c4,20,26,c6,87,ce,1d,4a,2f,9b,d0,3c,..
"khjeh"=hex:3e,7d,58,0e,c4,53,f0,62,f9,87,41,cc,df,19,91,ef,86,6f,c6,8d,7c,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:14,b1,2d,8c,bf,cd,d3,d8,8c,fe,dc,05,75,92,5f,52,38,a3,a6,fb,68,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\witpppurw]
"DisplayName"="Task Universal"
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Podporuje pro tento po
íta
sdílení souboro, tisku a pojmenovaných kanálo v síti. Po zastavení slu~by nebudou tyto funkce k dispozici. Jestli~e je tato slu~ba zakázána, nezdaYí se spuatní ~ádných slu~eb, které na této slu~b závisí."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\witpppurw\Parameters]
"ServiceDll"=str(2):"D:\WINDOWS\system32\ufzzuwyt.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\djpiiomuk]
"DisplayName"="System Universal"
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Udr~uje aktualizovaný seznam po
íta
o v síti a poskytuje seznam po
íta
o kvalifikovaných jako prohlí~e
e. Po zastavení slu~by nebude tento seznam dále aktualizován ani udr~ován. Jestli~e je tato slu~ba zakázána, nezdaYí se spuatní ~ádných slu~eb, které na této slu~b závisí."

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\djpiiomuk\Parameters]
"ServiceDll"=str(2):"D:\WINDOWS\system32\ufzzuwyt.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\gdhoznsim]
"DisplayName"="Update Support"
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Ukládá informace o zabezpe
ení ú
to místních u~ivatelo."

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\gdhoznsim\Parameters]
"ServiceDll"=str(2):"D:\WINDOWS\system32\ufzzuwyt.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\iyolx]
"DisplayName"="Config System"
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Enables Windows user mode drivers."

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\iyolx\Parameters]
"ServiceDll"=str(2):"D:\WINDOWS\system32\ufzzuwyt.dll"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000001
"ujdew"=hex:48,ed,ab,b2,c2,7e,b4,22,04,7e,7d,fc,1d,dc,4e,c9,f6,38,ce,bb,bb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"p0"="D:\Program Files\DAEMON\"
"h0"=dword:00000002
"hdf12"=hex:48,fd,6e,6b,b2,91,75,c8,85,5a,0d,4b,47,41,f9,06,09,0e,22,17,db,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:20,01,00,00,2f,5a,2c,8e,d2,6e,8a,97,0b,cd,b2,5d,d1,7a,6c,4c,b1,..
"hdf12"=hex:0f,d5,03,64,bf,92,45,99,ae,32,98,9d,c6,86,59,48,f5,0d,69,11,28,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:46,ec,e5,92,41,3c,06,2f,20,44,fc,71,ce,70,34,4f,1f,76,32,a7,6e,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="D:\Program Files\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:08,d0,00,f5,ca,32,80,cc,77,89,09,ee,16,20,ac,52,53,e8,78,d7,98,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,fa,a3,61,07,03,c4,20,26,c6,87,ce,1d,4a,2f,9b,d0,3c,..
"khjeh"=hex:3e,7d,58,0e,c4,53,f0,62,f9,87,41,cc,df,19,91,ef,86,6f,c6,8d,7c,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:14,b1,2d,8c,bf,cd,d3,d8,8c,fe,dc,05,75,92,5f,52,38,a3,a6,fb,68,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\witpppurw]
"DisplayName"="Task Universal"
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"%SystemRoot%\system32\svchost.exe -k netsvcs"
"ObjectName"="LocalSystem"
"Description"="Podporuje pro tento po
íta
sdílení souboro, tisku a pojmenovaných kanálo v síti. Po zastavení slu~by nebudou tyto funkce k dispozici. Jestli~e je tato slu~ba zakázána, nezdaYí se spuatní ~ádných slu~eb, které na této slu~b závisí."

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\witpppurw\Parameters]
"ServiceDll"=str(2):"D:\WINDOWS\system32\ufzzuwyt.dll"

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cursors\Schemes]
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?"="D:\WINDOWS\cursors\arrow_r.cur,D:\WINDOWS\cursors\help_r.cur,D:\WINDOWS\cursors\wait_r.cur,D:\WINDOWS\cursors\busy_r.cur,D:\WINDOWS\cursors\cross_r.cur,D:\WINDOWS\cursors\beam_r.cur,D:\WINDOWS\cursors\pen_r.cur,D:\WINDOWS\cursors\no_r.cur,D:\WINDOWS\cursors\size4_r.cur,D:\WINDOWS\cursors\size3_r.cur,D:\WINDOWS\cursors\size2_r.cur,D:\WINDOWS\cursors\size1_r.cur,D:\WINDOWS\cursors\move_r.cur,D:\WINDOWS\cursors\up_r.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?v?e?l?k?é?)?"="D:\WINDOWS\cursors\arrow_rm.cur,D:\WINDOWS\cursors\help_rm.cur,D:\WINDOWS\cursors\wait_rm.cur,D:\WINDOWS\cursors\busy_rm.cur,D:\WINDOWS\cursors\cross_rm.cur,D:\WINDOWS\cursors\beam_rm.cur,D:\WINDOWS\cursors\pen_rm.cur,D:\WINDOWS\cursors\no_rm.cur,D:\WINDOWS\cursors\size4_rm.cur,D:\WINDOWS\cursors\size3_rm.cur,D:\WINDOWS\cursors\size2_rm.cur,D:\WINDOWS\cursors\size1_rm.cur,D:\WINDOWS\cursors\move_rm.cur,D:\WINDOWS\cursors\up_rm.cur"
"\f\1e?r?n?é? ?u?k?a?z?a?t?e?l?e? ?(?n?e?j?v?\e\1t?a\1í?)?"="D:\WINDOWS\cursors\arrow_rl.cur,D:\WINDOWS\cursors\help_rl.cur,D:\WINDOWS\cursors\wait_rl.cur,D:\WINDOWS\cursors\busy_rl.cur,D:\WINDOWS\cursors\cross_rl.cur,D:\WINDOWS\cursors\beam_rl.cur,D:\WINDOWS\cursors\pen_rl.cur,D:\WINDOWS\cursors\no_rl.cur,D:\WINDOWS\cursors\size4_rl.cur,D:\WINDOWS\cursors\size3_rl.cur,D:\WINDOWS\cursors\size2_rl.cur,D:\WINDOWS\cursors\size1_rl.cur,D:\WINDOWS\cursors\move_rl.cur,D:\WINDOWS\cursors\up_rl.cur"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Program Files\\Bonjour\\mDNSResponder.exe"="D:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"D:\\Program Files\\iTunes\\iTunes.exe"="D:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"D:\\StrongDC++\\StrongDC.exe"="D:\\StrongDC++\\StrongDC.exe:*:Enabled:StrongDC++"
"D:\\Program Files\\Totalcmd\\TOTALCMD.EXE"="D:\\Program Files\\Totalcmd\\TOTALCMD.EXE:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"
"D:\\Program Files\\Opera\\opera.exe"="D:\\Program Files\\Opera\\opera.exe:*:Enabled:Opera Internet Browser"
"C:\\HRY\\Warcraft III\\Warcraft III.exe"="C:\\HRY\\Warcraft III\\Warcraft III.exe:*:Enabled:Warcraft III"
"D:\\Program Files\\uTorrent\\uTorrent.exe"="D:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:uTorrent"
"D:\\Documents and Settings\\hadlo\\Plocha\\utorrent.exe"="D:\\Documents and Settings\\hadlo\\Plocha\\utorrent.exe:*:Enabled:uTorrent"
"D:\\Program Files\\Internet Explorer\\iexplore.exe"="D:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"D:\\Program Files\\Skype\\Phone\\Skype.exe"="D:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

Files with Hidden Attributes :

Tue 17 Aug 2004 1,667,584 ..SH. --- "D:\Program Files\Messenger\msmsgs.exe"
Thu 2 Mar 2006 60,416 A.SH. --- "D:\Program Files\Outlook Express\msimn.exe"
Thu 2 Mar 2006 160,864 A.SHR --- "D:\WINDOWS\system32\ufzzuwyt.dll"

Finished!

Otevřte poznámkový blok a zkopírujte do něj:

KillAll::

Collect::
d:\windows\Wisaroc.exe

Driver::
iyolx
djpiiomuk
gdhoznsim
witpppurw

Regnull::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|˙˙˙˙"•€|ţ»Ów*]

Uložte nad plochu jako CFScript.txt. Pak jej myší přetáhněte nad ikonu ComboFix a pusťte. CF se spustí a vykoná příkazy ze skriptu.

Obrázek

Velice děkuji za pomoc vážený pane. Jak se Vám mohu odvděčit?

Pro kontrolu přikládám výpis z ComboFixu po daném provedené skriptu.

ComboFix 11-05-11.04 - hadlo 12.05.2011 19:51:26.3.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.420.1029.18.895.524 [GMT 2:00]
Spuštěný z: d:\documents and settings\hadlo\Plocha\ComboFix.exe
Použité ovládací přepínače :: d:\documents and settings\hadlo\Plocha\CFScript.txt
AV: AVG Anti-Virus Free *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
file zipped: d:\windows\Wisaroc.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
d:\windows\Wisaroc.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_DJPIIOMUK
-------\Legacy_GDHOZNSIM
-------\Legacy_IYOLX
-------\Legacy_WITPPPURW
-------\Service_djpiiomuk
-------\Service_gdhoznsim
-------\Service_iyolx
-------\Service_witpppurw
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-04-12 do 2011-05-12 )))))))))))))))))))))))))))))))
.
.
2011-05-12 16:50 . 2011-05-12 16:50 -------- d-----w- D:\rsit
2011-05-12 16:50 . 2011-05-12 16:50 -------- d-----w- d:\program files\trend micro
2011-05-12 15:44 . 2011-05-12 15:44 -------- d-----w- d:\documents and settings\hadlo\Data aplikací\SUPERAntiSpyware.com
2011-05-12 15:44 . 2011-05-12 15:44 -------- d-----w- d:\documents and settings\All Users\Data aplikací\SUPERAntiSpyware.com
2011-05-12 15:44 . 2011-05-12 15:45 -------- d-----w- d:\program files\SUPERAntiSpyware
2011-05-12 15:30 . 2011-05-12 15:42 -------- d-----w- d:\documents and settings\hadlo\Data aplikací\IObit
2011-05-12 15:30 . 2011-05-12 16:19 -------- d-----w- D:\SuperAntiSpyware
2011-04-28 00:14 . 2010-07-06 16:27 359016 ----a-w- d:\windows\vncutil.exe
2011-04-28 00:13 . 2010-07-06 16:26 53864 ----a-w- d:\windows\system32\RtkCoInstXP.dll
2011-04-28 00:13 . 2010-07-06 16:26 129640 ----a-w- d:\windows\RtkAudioService.exe
2011-04-28 00:13 . 2009-11-18 05:17 1395800 ----a-w- d:\windows\system32\drivers\Monfilt.sys
2011-04-28 00:13 . 2009-11-18 05:16 1691480 ----a-w- d:\windows\system32\drivers\Ambfilt.sys
2011-04-25 19:40 . 2011-04-27 17:18 -------- d-----w- d:\documents and settings\All Users\Data aplikací\Restore
2011-04-25 19:39 . 2001-08-16 13:07 53760 ----a-w- d:\windows\system32\zlib.dll
2011-04-25 19:39 . 1998-06-30 13:14 368912 ----a-w- d:\windows\system32\vbar332.dll
2011-04-25 19:39 . 1998-05-30 23:00 72704 ----a-w- d:\windows\system32\ODBCTL32.DLL
2011-04-25 19:39 . 1998-11-11 19:51 98576 ----a-w- d:\windows\system32\msrpjt40.dll
2011-04-25 19:39 . 2011-04-27 17:13 -------- d-----w- d:\program files\AeroCAD
2011-04-19 16:00 . 2011-04-19 16:00 -------- d-----w- d:\documents and settings\Administrator\Data aplikací\Malwarebytes
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((( SnapShot@2011-05-12_16.25.56 )))))))))))))))))))))))))))))))))))))))))
.
- 2010-12-06 17:39 . 2010-04-29 14:39 38224 d:\windows\system32\drivers\mbamswissarmy.sys
+ 2010-12-06 17:39 . 2010-12-20 16:09 38224 d:\windows\system32\drivers\mbamswissarmy.sys
+ 2010-12-06 17:39 . 2010-12-20 16:08 20952 d:\windows\system32\drivers\mbam.sys
- 2010-12-06 17:39 . 2010-04-29 14:39 20952 d:\windows\system32\drivers\mbam.sys
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="d:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-03-08 344064]
"RTHDCPL"="RTHDCPL.EXE" [2010-07-06 19556968]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2006-03-02 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "d:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- d:\program files\SUPERAntiSpyware\SASWINLO.DLL
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\iTunes\\iTunes.exe"=
"d:\\Program Files\\Totalcmd\\TOTALCMD.EXE"=
"d:\\Program Files\\Opera\\opera.exe"=
"d:\\Program Files\\uTorrent\\uTorrent.exe"=
"d:\\Program Files\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6759:TCP"= 6759:TCP:rivwcd
.
R1 SASDIFSV;SASDIFSV;d:\program files\SUPERAntiSpyware\sasdifsv.sys [17.2.2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;d:\program files\SUPERAntiSpyware\SASKUTIL.SYS [10.5.2010 20:41 67656]
S3 Ambfilt;Ambfilt;d:\windows\system32\drivers\Ambfilt.sys [28.4.2011 2:13 1691480]
S4 sptd;sptd;d:\windows\system32\drivers\sptd.sys [1.10.2009 13:25 436792]
.
.
------- Doplňkový sken -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: E&xportovat do aplikace Microsoft Office Excel - d:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-12 19:55
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|˙˙˙˙"•€|ţ»Ów*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(560)
d:\program files\SUPERAntiSpyware\SASWINLO.DLL
d:\windows\system32\Ati2evxx.dll
d:\windows\system32\cscdll.dll
.
- - - - - - - > 'explorer.exe'(3868)
d:\windows\system32\msi.dll
d:\windows\system32\ieframe.dll
d:\windows\system32\webcheck.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
d:\windows\system32\Ati2evxx.exe
d:\windows\system32\Ati2evxx.exe
d:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
d:\program files\Bonjour\mDNSResponder.exe
d:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
d:\windows\system32\wdfmgr.exe
d:\windows\RTHDCPL.EXE
d:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2011-05-12 19:57:27 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-05-12 17:57
ComboFix2.txt 2010-09-12 12:31
.
Před spuštěním: 3 469 938 688
Po spuštění: 3 462 078 464
.
- - End Of File - - 9113559DAF734389645EC99745B168AD
Nahr nˇ probŘhlo ŁspŘçnŘ

Smazáno, log již vypadá čistý. Chcete-li se nám nějak odvděčit, klikněte v mém podpisu na ´"Podpořte fórum" a vyberte si některou z možností.

Tak zdá se, že problém nebyl vyřešen. Ta věc se znovu replikovala, viz výsek z ComboFixu.

Kód: Vybrat vše

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6759:TCP"= 6759:TCP:rivwcd
.
S2 hxuux;Time Universal;d:\windows\system32\svchost.exe -k netsvcs [2.3.2006 14:00 14336]
S3 Ambfilt;Ambfilt;d:\windows\system32\drivers\Ambfilt.sys [28.4.2011 2:13 1691480]
S4 sptd;sptd;d:\windows\system32\drivers\sptd.sys [1.10.2009 13:25 436792]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
hxuux
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\hxuux]
"ServiceDll"="d:\windows\system32\ufzzuwyt.dll"

Zkoušel jsem přes nouzový režim, logovaný jako administrátor, přes příkazovou řádku smazat soubor ufzzuwyt.dll "del ufzzuwyt.dll /A:H", ale nešlo to provést (odepření práv). Napadá mě ještě přes Live OS to zkusit, co myslíte?

Zdravim a pekny den preji

Zaskocim za kolegu

Jeste aplikujte tento skript pro CFko

Kód: Vybrat vše

KillAll::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6759:TCP"=-

RegLock::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|˙˙˙˙"•€|ţ»Ów*]

RegNull::
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|˙˙˙˙"•€|ţ»Ów*]

Driver::
hxuux

NetSvc::
hxuux

Rootkit::
d:\windows\system32\ufzzuwyt.dll

Reboot:::

Děkuji!

Poprosim o log co z CFka vypadl

VIRY.CZ

Nedostupnost stránek antivirů, MS, apod.

Nedostupnost stránek antivirů, MS, apod.

Re: Nedostupnost stránek antivirů, MS, apod.

Re: Nedostupnost stránek antivirů, MS, apod.

Re: Nedostupnost stránek antivirů, MS, apod.

Re: Nedostupnost stránek antivirů, MS, apod.

Re: Nedostupnost stránek antivirů, MS, apod.

Re: Nedostupnost stránek antivirů, MS, apod.

Re: Nedostupnost stránek antivirů, MS, apod.