Nefunkční NOD32 - nelze přeinstalovat.
Napsal: 13 čer 2012 13:37
Dobrý den, mám podobný problém jako uživatel Ribees http://forum.viry.cz/viewtopic.php?f=13&t=81188.
NOD přestal pracovat, vyhazoval erorrovou hlášku : Chyba v komunikaci s jádrem. Při pokusu o odinstalování vyhodil NOD hlášku že nemá dostatečné oprávnění, ale částečně se odindtaloval. Při nové instalaci hlásí : Instalační služba nemůže z důvodu nedostatečných oprávnění upracit soubor C:\Program Files\ESET\ESET NOD32 Antivirus\ekrnUpdate.dll.
Při instalaci do jiné složky hlásí : Nelze zapsat hodnotu Name do klíče \Software\ESET\ESET Security\CurrentVersion\Scheduler\1. Přesvědčte se, zda máte ke klíči dostatečný přístup.
O instalaci se pokouším pod administrátorem.
LOG z ComboFix:
ComboFix 12-06-13.01 - administrator 13.06.2012 13:10:02.1.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1014.594 [GMT 2:00]
Spuštěný z: c:\documents and settings\administrator\Plocha\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\Downloaded Program Files\LiveView
c:\windows\Downloaded Program Files\LiveView\disable.jpg
c:\windows\Downloaded Program Files\LiveView\down.jpg
c:\windows\Downloaded Program Files\LiveView\Logo.tif
c:\windows\Downloaded Program Files\LiveView\mask.jpg
c:\windows\Downloaded Program Files\LiveView\normal.jpg
c:\windows\Downloaded Program Files\LiveView\over.jpg
c:\windows\Downloaded Program Files\LiveView\skin.ini
c:\windows\IsUn0405.exe
c:\windows\system32\NewShortcut31_0337E67A9B9440E9B94D62375597441A.exe
c:\windows\system32\W020T32W.DLL
c:\windows\system32\W021T32W.DLL
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-05-13 do 2012-06-13 )))))))))))))))))))))))))))))))
.
.
2012-06-13 10:19 . 2012-06-13 10:19 -------- d-----w- c:\windows\LastGood
2012-06-13 07:57 . 2012-02-23 12:25 21336 ----a-w- c:\windows\system32\RegistryDefragBootTime.exe
2012-06-13 07:45 . 2012-06-13 07:45 -------- d-----w- c:\windows\system32\config\systemprofile\Data aplikací\IObit
2012-06-13 07:36 . 2012-06-13 07:36 -------- d-----w- c:\documents and settings\All Users\Data aplikací\IObit
2012-06-13 07:36 . 2012-06-13 07:36 -------- d-----w- c:\documents and settings\UZIV\Data aplikací\IObit
2012-06-13 07:36 . 2012-06-13 07:36 -------- d-----w- c:\program files\IObit
2012-06-13 05:46 . 2012-05-11 14:44 521728 -c----w- c:\windows\system32\dllcache\jsdbgui.dll
2012-06-11 10:14 . 2012-06-11 10:17 -------- d-----w- c:\documents and settings\administrator
2012-06-11 10:09 . 2012-06-11 10:09 -------- d-----w- c:\documents and settings\UZIV\Local Settings\Data aplikací\GHISLER
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-31 13:22 . 2004-08-18 11:00 602112 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:09 . 2007-11-30 19:55 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-15 13:55 . 2007-11-30 19:59 1863168 ----a-w- c:\windows\system32\win32k.sys
2012-05-11 14:44 . 2007-11-30 19:55 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-05-11 14:44 . 2007-11-30 19:55 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2007-11-30 19:55 385024 ----a-w- c:\windows\system32\html.iec
2012-05-05 03:14 . 2007-11-30 20:00 2150400 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2007-02-28 08:09 2028544 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2009-03-18 22:05 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-05-14 07:25 . 2011-11-02 07:42 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"TkBellExe"="c:\program files\real\realplayer\update\realsched.exe" [2011-11-02 273528]
"SystemKey"="c:\documents and settings\All Users\Data aplikací\SystemKey\SystemKey.dll" [2006-04-07 339968]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\UZIV\Nabídka Start\Programy\Po spuštění\
ESI[tronic].lnk - c:\programme\Bosch\ESItronic\Esi2.exe [2009-3-24 4018176]
KSM ServiceTechnik Home.url [2009-10-6 273]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-10-5 393216]
Prosper SQL Sklad.lnk - c:\program files\Internet Explorer\iexplore.exe [2009-3-19 638816]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Microsoft Office Outlook 2003 (2).lnk - c:\windows\Installer\{90E00405-6000-11D3-8CFE-0150048383C9}\outicon.exe [2009-3-28 794624]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2009-3-23 118784]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)
"dontdisplaylockeduserid"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
2005-03-11 10:05 360448 ----a-w- c:\windows\system32\IfxWlxEN.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSDNtfy]
2005-03-11 09:43 45056 ----a-w- c:\program files\Broadcom\Security Platform Software\PSDNtfy.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IfxSecurePlatformIndication]
2005-03-11 10:14 114688 -c--a-w- c:\program files\Broadcom\Security Platform Software\SpTNA.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSDruntime]
2005-03-11 09:41 81920 -c--a-w- c:\program files\Broadcom\Security Platform Software\PSDrt.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\RealVNC\\VNC4\\vncviewer.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:VNC
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [6.2.2009 15:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [6.2.2009 15:24 93336]
R1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\system32\drivers\psd.sys [11.3.2005 11:43 29283]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.3.2010 13:16 130384]
R2 MSSQL$DIRECTEVOLUTION;SQL Server (DIRECTEVOLUTION);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [10.12.2010 19:29 29293408]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [14.5.2012 9:25 129976]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [18.8.2004 13:00 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.3.2010 13:16 753504]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
WINRM REG_MULTI_SZ WINRM
.
Obsah adresáře 'Naplánované úlohy'
.
2012-06-13 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1622719295-2698072541-695682183-2000.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
2012-06-13 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1622719295-2698072541-695682183-500.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
2012-06-13 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1622719295-2698072541-695682183-2000.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
2012-06-13 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1622719295-2698072541-695682183-500.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://companyweb
TCP: DhcpNameServer = 192.168.1.5
DPF: {1DC4A509-9C17-4538-B5AA-DB0BA27ED400} - hxxp://192.168.1.199/liveview-htmlskin/WebViewS.cab
DPF: {7451D317-862C-45DA-8C28-1B21ADF95877} - hxxp://192.168.1.199/WebViewS.cab
DPF: {7AB229EC-3FEF-4ACE-8060-167ECD3F7A14} - hxxp://192.168.1.199/playback-htmlskin/WebRPB.cab
DPF: {B015B944-7316-49AE-AC84-ACCA9379EA32} - hxxp://192.168.1.203/IPCamPluginMJPEG.cab
DPF: {B0E1526D-A0C8-417E-9F8D-E8D11ADFAFC6} - hxxp://192.168.1.203/img/IPCamActiveX_Setup.exe
DPF: {DB7ACFA2-9634-4C98-BC9D-FB9416153022} - hxxp://192.168.1.200/nvEPLMedia.ocx
DPF: {DCBF889B-422B-4AA0-9914-D5045A103758} - hxxp://192.168.1.199/WebRPB.cab
FF - ProfilePath -
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-Zkušební hodnoty ESI - c:\windows\IsUn0405.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-13 13:15
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-1622719295-2698072541-695682183-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cc,f0,f7,93,a1,a9,cb,49,b3,58,1d,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cc,f0,f7,93,a1,a9,cb,49,b3,58,1d,\
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(752)
c:\program files\Broadcom\Security Platform Software\PSDNtfy.dll
c:\windows\system32\IfxWlxEN.dll
.
Celkový čas: 2012-06-13 13:16:54
ComboFix-quarantined-files.txt 2012-06-13 11:16
.
Před spuštěním: Volných bajtů: 20 080 431 104
Po spuštění: Volných bajtů: 20 530 159 616
.
WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 079B222AB844E2D1D1B722DA229B8CCA
Předem děkuji za odpověď.
NOD přestal pracovat, vyhazoval erorrovou hlášku : Chyba v komunikaci s jádrem. Při pokusu o odinstalování vyhodil NOD hlášku že nemá dostatečné oprávnění, ale částečně se odindtaloval. Při nové instalaci hlásí : Instalační služba nemůže z důvodu nedostatečných oprávnění upracit soubor C:\Program Files\ESET\ESET NOD32 Antivirus\ekrnUpdate.dll.
Při instalaci do jiné složky hlásí : Nelze zapsat hodnotu Name do klíče \Software\ESET\ESET Security\CurrentVersion\Scheduler\1. Přesvědčte se, zda máte ke klíči dostatečný přístup.
O instalaci se pokouším pod administrátorem.
LOG z ComboFix:
ComboFix 12-06-13.01 - administrator 13.06.2012 13:10:02.1.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1014.594 [GMT 2:00]
Spuštěný z: c:\documents and settings\administrator\Plocha\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\Downloaded Program Files\LiveView
c:\windows\Downloaded Program Files\LiveView\disable.jpg
c:\windows\Downloaded Program Files\LiveView\down.jpg
c:\windows\Downloaded Program Files\LiveView\Logo.tif
c:\windows\Downloaded Program Files\LiveView\mask.jpg
c:\windows\Downloaded Program Files\LiveView\normal.jpg
c:\windows\Downloaded Program Files\LiveView\over.jpg
c:\windows\Downloaded Program Files\LiveView\skin.ini
c:\windows\IsUn0405.exe
c:\windows\system32\NewShortcut31_0337E67A9B9440E9B94D62375597441A.exe
c:\windows\system32\W020T32W.DLL
c:\windows\system32\W021T32W.DLL
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2012-05-13 do 2012-06-13 )))))))))))))))))))))))))))))))
.
.
2012-06-13 10:19 . 2012-06-13 10:19 -------- d-----w- c:\windows\LastGood
2012-06-13 07:57 . 2012-02-23 12:25 21336 ----a-w- c:\windows\system32\RegistryDefragBootTime.exe
2012-06-13 07:45 . 2012-06-13 07:45 -------- d-----w- c:\windows\system32\config\systemprofile\Data aplikací\IObit
2012-06-13 07:36 . 2012-06-13 07:36 -------- d-----w- c:\documents and settings\All Users\Data aplikací\IObit
2012-06-13 07:36 . 2012-06-13 07:36 -------- d-----w- c:\documents and settings\UZIV\Data aplikací\IObit
2012-06-13 07:36 . 2012-06-13 07:36 -------- d-----w- c:\program files\IObit
2012-06-13 05:46 . 2012-05-11 14:44 521728 -c----w- c:\windows\system32\dllcache\jsdbgui.dll
2012-06-11 10:14 . 2012-06-11 10:17 -------- d-----w- c:\documents and settings\administrator
2012-06-11 10:09 . 2012-06-11 10:09 -------- d-----w- c:\documents and settings\UZIV\Local Settings\Data aplikací\GHISLER
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-31 13:22 . 2004-08-18 11:00 602112 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:09 . 2007-11-30 19:55 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-15 13:55 . 2007-11-30 19:59 1863168 ----a-w- c:\windows\system32\win32k.sys
2012-05-11 14:44 . 2007-11-30 19:55 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-05-11 14:44 . 2007-11-30 19:55 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2007-11-30 19:55 385024 ----a-w- c:\windows\system32\html.iec
2012-05-05 03:14 . 2007-11-30 20:00 2150400 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2007-02-28 08:09 2028544 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:46 . 2009-03-18 22:05 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
2012-05-14 07:25 . 2011-11-02 07:42 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"TkBellExe"="c:\program files\real\realplayer\update\realsched.exe" [2011-11-02 273528]
"SystemKey"="c:\documents and settings\All Users\Data aplikací\SystemKey\SystemKey.dll" [2006-04-07 339968]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\UZIV\Nabídka Start\Programy\Po spuštění\
ESI[tronic].lnk - c:\programme\Bosch\ESItronic\Esi2.exe [2009-3-24 4018176]
KSM ServiceTechnik Home.url [2009-10-6 273]
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2008-10-5 393216]
Prosper SQL Sklad.lnk - c:\program files\Internet Explorer\iexplore.exe [2009-3-19 638816]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Microsoft Office Outlook 2003 (2).lnk - c:\windows\Installer\{90E00405-6000-11D3-8CFE-0150048383C9}\outicon.exe [2009-3-28 794624]
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2009-3-23 118784]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"disablecad"= 1 (0x1)
"dontdisplaylockeduserid"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
2005-03-11 10:05 360448 ----a-w- c:\windows\system32\IfxWlxEN.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSDNtfy]
2005-03-11 09:43 45056 ----a-w- c:\program files\Broadcom\Security Platform Software\PSDNtfy.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IfxSecurePlatformIndication]
2005-03-11 10:14 114688 -c--a-w- c:\program files\Broadcom\Security Platform Software\SpTNA.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PSDruntime]
2005-03-11 09:41 81920 -c--a-w- c:\program files\Broadcom\Security Platform Software\PSDrt.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\RealVNC\\VNC4\\vncviewer.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5900:TCP"= 5900:TCP:VNC
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [6.2.2009 15:23 106208]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [6.2.2009 15:24 93336]
R1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\system32\drivers\psd.sys [11.3.2005 11:43 29283]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.3.2010 13:16 130384]
R2 MSSQL$DIRECTEVOLUTION;SQL Server (DIRECTEVOLUTION);c:\program files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [10.12.2010 19:29 29293408]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [14.5.2012 9:25 129976]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [18.8.2004 13:00 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.3.2010 13:16 753504]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
WINRM REG_MULTI_SZ WINRM
.
Obsah adresáře 'Naplánované úlohy'
.
2012-06-13 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1622719295-2698072541-695682183-2000.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
2012-06-13 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1622719295-2698072541-695682183-500.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
2012-06-13 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1622719295-2698072541-695682183-2000.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
2012-06-13 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1622719295-2698072541-695682183-500.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2011-09-27 12:40]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://companyweb
TCP: DhcpNameServer = 192.168.1.5
DPF: {1DC4A509-9C17-4538-B5AA-DB0BA27ED400} - hxxp://192.168.1.199/liveview-htmlskin/WebViewS.cab
DPF: {7451D317-862C-45DA-8C28-1B21ADF95877} - hxxp://192.168.1.199/WebViewS.cab
DPF: {7AB229EC-3FEF-4ACE-8060-167ECD3F7A14} - hxxp://192.168.1.199/playback-htmlskin/WebRPB.cab
DPF: {B015B944-7316-49AE-AC84-ACCA9379EA32} - hxxp://192.168.1.203/IPCamPluginMJPEG.cab
DPF: {B0E1526D-A0C8-417E-9F8D-E8D11ADFAFC6} - hxxp://192.168.1.203/img/IPCamActiveX_Setup.exe
DPF: {DB7ACFA2-9634-4C98-BC9D-FB9416153022} - hxxp://192.168.1.200/nvEPLMedia.ocx
DPF: {DCBF889B-422B-4AA0-9914-D5045A103758} - hxxp://192.168.1.199/WebRPB.cab
FF - ProfilePath -
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-Zkušební hodnoty ESI - c:\windows\IsUn0405.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-13 13:15
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-1622719295-2698072541-695682183-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cc,f0,f7,93,a1,a9,cb,49,b3,58,1d,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,cc,f0,f7,93,a1,a9,cb,49,b3,58,1d,\
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(752)
c:\program files\Broadcom\Security Platform Software\PSDNtfy.dll
c:\windows\system32\IfxWlxEN.dll
.
Celkový čas: 2012-06-13 13:16:54
ComboFix-quarantined-files.txt 2012-06-13 11:16
.
Před spuštěním: Volných bajtů: 20 080 431 104
Po spuštění: Volných bajtů: 20 530 159 616
.
WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 079B222AB844E2D1D1B722DA229B8CCA
Předem děkuji za odpověď.
