VIRY.CZ

Dobrý večer rádcové.


Obracím se na vás s prosbou o identifikaci a odstranění, pro mne neznámých, procesů, které se objevily (asi při spuštění hudebního souboru). při radikálním čištění PC

Vkládám log z DDS.


DDS (Ver_2012-11-20.01) - NTFS_x86
Internet Explorer: 7.0.2900.5512
Run by EBV at 22:26:04 on 2013-06-07
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.511.370 [GMT 2:00]
.
.
============== Running Processes ================
.
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\EBV\sazdisenevob.exe
C:\Documents and Settings\EBV\kaclapowogfu.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k NetworkService
C:\WINDOWS\system32\svchost.exe -k LocalService
.
============== Pseudo HJT Report ===============
.
BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [sazdisenevob] c:\documents and settings\administrator\sazdisenevob.exe
uRun: [kaclapowogfu] c:\documents and settings\administrator\kaclapowogfu.exe
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
uPolicies-Explorer: NoDriveTypeAutoRun = dword:145
mPolicies-Explorer: NoDriveTypeAutoRun = dword:145
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
.
============= SERVICES / DRIVERS ===============
.
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2008-4-14 69120]
.
=============== Created Last 30 ================
.
2013-06-07 20:24:11 41984 ----a-w- c:\documents and settings\administrator\kaclapowogfu.exe
2013-06-07 20:22:32 37888 ----a-w- c:\documents and settings\administrator\sazdisenevob.exe
.
==================== Find3M ====================
.
.
============= FINISH: 22:26:58,18 ===============


Bezpečnostní programy nejsou momentálně k dispozici, protože dělám uklid a v rámci jeho byly prozatimně odstraněny, neboť pc přenechávam synovcovi na naučení. Než mu ho předám určo doinstaluji. Jedná se o starý křáp, ale jemu bude stačit.

Prosím poradťe jak se virů zbavit.

Děkuji

EBV

Zdravím!
Poprosím o log ComboFix:

Stahnete a ulozte nejlepe na plochu ComboFix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

pote spustte aplikaci pod uctem s administratorskym opravnenim

hned po startu se zobrazi obrazovka s licencnimi podminkami, pokracujte kliknutim na tlacitko Ano.

v klidu si postavte na kafe (cela akce trva cca. 5-10 minut, nekdy i dele - dle toho, o jak rychly stroj se

jedna a kolika soubory se skener bude muset prodirat), behem skenu se nepokousejte spoustet zadne jine

aplikace ani nic jineho

behem skenovani nepropadejte panice, vas stroj muze byt restartovan (predevsim pri prvni aplikaci skeneru)

upozorneni: pokud pouzivate antispyware s rezidentnim stitem, prepnete jeho rezidentni stit do Install Mode,

pripadne jej po dobu skenu uplne deaktivujte, protoze dochazi pri skenu a vymazu pripadneho malware k

nezadoucim kolizim s rezidentem antispyware.

Vkládám požadovaný log.


ComboFix 13-06-07.03 - EBV 08.06.2013 11:23:14.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.511.364 [GMT 2:00]
Spuštěný z: c:\documents and settings\EBV\Plocha\ComboFix.exe
.
VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\kaclapowogfu.exe
c:\documents and settings\Administrator\sazdisenevob.exe
c:\documents and settings\EBV\kaclapowogfu.exe
c:\documents and settings\EBV\sazdisenevob.exe
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2013-05-08 do 2013-06-08 )))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-04-08 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - WS2IFSL
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKCU-Run-sazdisenevob - c:\documents and settings\Administrator\sazdisenevob.exe
HKCU-Run-kaclapowogfu - c:\documents and settings\Administrator\kaclapowogfu.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-06-08 11:30
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Celkový čas: 2013-06-08 11:32:47 - počítač byl restartován
ComboFix-quarantined-files.txt 2013-06-08 09:32
.
Před spuštěním: 8 236 072 960
Po spuštění: 8 206 757 888
.
- - End Of File - - F192649760DA10F3E9FD3BF5C59B69A8
413FC2A0C716421B3158746D63736515


Po restartu, který ComboFix vyvolal, již spuštěné neznáme procesy nejsou.


Děkuji

EBV

Ano, z logu je patrné, že je smazal:

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrator\kaclapowogfu.exe
c:\documents and settings\Administrator\sazdisenevob.exe
c:\documents and settings\EBV\kaclapowogfu.exe
c:\documents and settings\EBV\sazdisenevob.exe

Zbytek logu je OK.

Děkuji. Pekný víkend.

Hezký víkend i vám a nemáte zač!