Podezření na vir

Zpráva

Fred772 · #1 Příspěvek od **Fred772** » 13 pro 2011 14:57

Zdravíčko,
Mám menší podezření na havěť ale když jsem zkoušel udělat log, tak RSIT zamrzal u vytváření a tak jsem to projel Combofixem, který něco málo našel, poprosil bych o kontrolu jestli tam není ještě něco...

ComboFix 11-12-12.02 - Frank 13.12.2011 13:37:33.2.2 - x86
Microsoft Windows 7 Home Premium 6.1.7601.1.1250.420.1029.18.2813.1635 [GMT 1:00]
Spuštěný z: c:\users\Frank\Desktop\antiviraci\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Vytvořen nový Bod Obnovení
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Frank\AppData\Roaming\EurekaLog
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2011-11-13 do 2011-12-13 )))))))))))))))))))))))))))))))
.
.
2011-12-13 12:42 . 2011-12-13 12:43 -------- d-----w- c:\users\Frank\AppData\Local\temp
2011-12-13 12:42 . 2011-12-13 12:42 -------- d-----w- c:\users\Public\AppData\Local\temp
2011-12-13 12:42 . 2011-12-13 12:42 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-12-13 12:18 . 2011-12-13 12:18 -------- d-----w- C:\rsit
2011-12-13 12:18 . 2011-12-13 12:18 -------- d-----w- c:\program files\trend micro
2011-12-13 11:14 . 2011-12-13 11:14 29904 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{595810D3-8CA5-438D-B693-1775AD41BA2C}\MpKsl81dc0b87.sys
2011-12-13 11:14 . 2011-12-13 11:14 56200 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{595810D3-8CA5-438D-B693-1775AD41BA2C}\offreg.dll
2011-12-13 11:14 . 2011-11-21 10:47 6823496 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{595810D3-8CA5-438D-B693-1775AD41BA2C}\mpengine.dll
2011-12-07 18:35 . 2011-12-07 18:35 -------- d-----w- C:\CPQSYSTEM
2011-11-18 03:58 . 2011-11-18 03:58 -------- d-----w- c:\program files\Battlelog Web Plugins
2011-11-15 15:18 . 2011-11-15 15:20 -------- d-----w- c:\program files\VirtualDJ
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-11-21 10:47 . 2011-07-21 19:14 6823496 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2011-11-14 20:37 . 2010-11-08 22:46 138520 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2011-11-14 20:35 . 2010-11-09 12:00 234536 ----a-w- c:\windows\system32\PnkBstrB.xtr
2011-11-14 20:35 . 2010-11-08 22:45 234536 ----a-w- c:\windows\system32\PnkBstrB.exe
2011-10-18 20:50 . 2011-11-03 08:07 51144 ----a-w- c:\windows\system32\drivers\Soluto.sys
2011-10-11 14:54 . 2011-10-11 14:55 703824 ------w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{4A0D4A71-16F1-4DC5-9A5F-E27DFB934947}\gapaengine.dll
2011-10-07 06:00 . 2011-10-10 07:18 545 ----a-w- c:\windows\UC.PIF
2011-10-07 06:00 . 2011-10-10 07:18 545 ----a-w- c:\windows\RAR.PIF
2011-10-07 06:00 . 2011-10-10 07:18 545 ----a-w- c:\windows\LHA.PIF
2011-10-07 06:00 . 2011-10-10 07:18 545 ----a-w- c:\windows\ARJ.PIF
2011-10-03 03:06 . 2011-03-03 23:31 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-09-29 16:03 . 2011-11-09 13:42 1290608 ----a-w- c:\windows\system32\drivers\tcpip.sys
2011-09-29 03:37 . 2011-11-09 13:42 2341888 ----a-w- c:\windows\system32\win32k.sys
2011-08-12 06:10 . 2011-08-20 06:38 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2011-06-15 997920]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-04-08 102400]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SolutoService]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2011-06-06 10:55 937920 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 11:06 254696 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2010-06-04 00:17 1791272 ----a-w- c:\program files\Synaptics\SynTP\SynTPEnh.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SysTrayApp]
2010-03-17 02:48 495708 ----a-w- c:\program files\IDT\WDM\sttray.exe
.
R0 Soluto;Soluto;c:\windows\system32\DRIVERS\Soluto.sys [2011-10-18 51144]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 SolutoService;Soluto PCGenome Core Service;c:\program files\Soluto\SolutoService.exe [x]
R3 BXNHSYQYU;BXNHSYQYU;c:\users\Frank\AppData\Local\Temp\BXNHSYQYU.exe [x]
R3 EagleXNt;EagleXNt;c:\windows\system32\drivers\EagleXNt.sys [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2011-04-27 65024]
R3 NisSrv;Microsoft Network Inspection;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2011-04-27 208944]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2011-06-06 4005936]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 52224]
R3 WatAdminSvc;Služba Technologie aktivace Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2010-09-03 1343400]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-09-03 691696]
S1 MpKsl81dc0b87;MpKsl81dc0b87;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{595810D3-8CA5-438D-B693-1775AD41BA2C}\MpKsl81dc0b87.sys [2011-12-13 29904]
S1 SASDIFSV;SASDIFSV;c:\users\Frank\AppData\Local\Temp\SAS_SelfExtract\SASDIFSV.SYS [x]
S1 SASKUTIL;SASKUTIL;c:\users\Frank\AppData\Local\Temp\SAS_SelfExtract\SASKUTIL.SYS [x]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [2011-06-06 64952]
S2 AESTFilters;Andrea ST Filters Service;c:\windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_7b6e808b01435efc\aestsrv.exe [2009-03-03 81920]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-04-08 172032]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-04-08 5429760]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-04-08 157184]
S3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [2011-04-18 43392]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2011-06-10 394856]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-13 14336]
.
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - MPKSL81DC0B87
*NewlyCreated* - MPKSL8D448FF7
*Deregistered* - MpKsl8d448ff7
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Obsah adresáře 'Naplánované úlohy'
.
2011-12-12 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3379546880-2586555681-3638280280-1000Core.job
- c:\users\Frank\AppData\Local\Google\Update\GoogleUpdate.exe [2010-09-03 22:17]
.
2011-12-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3379546880-2586555681-3638280280-1000UA.job
- c:\users\Frank\AppData\Local\Google\Update\GoogleUpdate.exe [2010-09-03 22:17]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.facebook.com/home.php?ref=hp
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
IE: Free YouTube Download - c:\users\Frank\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
IE: Převést cíl vazby do Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Převést do Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Připojit cíl vazby k existujícímu PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Připojit k existujícímu PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
TCP: DhcpNameServer = 172.16.0.1 192.168.1.1
FF - ProfilePath - c:\users\Frank\AppData\Roaming\Mozilla\Firefox\Profiles\4zacqhlg.default\
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
MSConfigStartUp-Malwarebytes' Anti-Malware - c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-3379546880-2586555681-3638280280-1000\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
"MSCurrentCountry"=dword:000000b5
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Celkový čas: 2011-12-13 13:44:28
ComboFix-quarantined-files.txt 2011-12-13 12:44
.
Před spuštěním: Volných bajtů: 71 642 431 488
Po spuštění: Volných bajtů: 71 678 767 104
.
- - End Of File - - 547256CB944917ECC4C20D010F88EB86

#2 Příspěvek od **Rudy** » 13 pro 2011 18:08

CF něco smazal, zbytek logu vypadá OK. Spuštěním ComboFixu bez předchozí kontroly logu RSIT si koledujete o poškození systému.

VIRY.CZ

Podezření na vir

Podezření na vir

Re: Podezření na vir