Prosím o kontrolu logu...
ComboFix 13-12-10.01 - ferry 12.12.2013 12:59:51.2.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3071.2386 [GMT 1:00]
Spuštěný z: c:\util\ComboFix.exe
AV: ESET Endpoint Antivirus 5.0 *Enabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
ADS - WINDOWS: deleted 192 bytes in 1 streams.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\b32c4g.dll
c:\windows\IsUn0405.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system32\Cache
c:\windows\system32\Cache\09b04eaad25ced1d.fb
c:\windows\system32\Cache\09b04eaad25ced1d__exp__1386711993
c:\windows\system32\Cache\0db040ce806bd00e.fb
c:\windows\system32\Cache\0db040ce806bd00e__exp__1376650857
c:\windows\system32\Cache\1a5087af713dc934.fb
c:\windows\system32\Cache\26c630d098e22dd5.fb
c:\windows\system32\Cache\272512937d9e61a4.fb
c:\windows\system32\Cache\272512937d9e61a4__exp__1386711995
c:\windows\system32\Cache\287204568329e189.fb
c:\windows\system32\Cache\28bc8f716fd76a47.fb
c:\windows\system32\Cache\28bc8f716fd76a47__exp__1386711994
c:\windows\system32\Cache\31a0997e9a5b5eb3.fb
c:\windows\system32\Cache\32c84fe32bb74d60.fb
c:\windows\system32\Cache\32c84fe32bb74d60__exp__1386711995
c:\windows\system32\Cache\3917078cb68ec657.fb
c:\windows\system32\Cache\40f53cb0657ed1ec.fb
c:\windows\system32\Cache\40f53cb0657ed1ec__exp__1372400909
c:\windows\system32\Cache\590ba23ce359fd0c.fb
c:\windows\system32\Cache\590ba23ce359fd0c__exp__1386711995
c:\windows\system32\Cache\610289e025a3ee9a.fb
c:\windows\system32\Cache\646284eae56ade2f.fb
c:\windows\system32\Cache\646284eae56ade2f__exp__1380795209
c:\windows\system32\Cache\651c5d3cdbfb8bd1.fb
c:\windows\system32\Cache\6c59ac5e7e7a3ad0.fb
c:\windows\system32\Cache\6c59ac5e7e7a3ad0__exp__1386711994
c:\windows\system32\Cache\6d03dad1035885d3.fb
c:\windows\system32\Cache\6d03dad1035885d3__exp__1386711995
c:\windows\system32\Cache\7c4d8a7b2960182e.fb
c:\windows\system32\Cache\7c4d8a7b2960182e__exp__1375258403
c:\windows\system32\Cache\935ee77178548e84.fb
c:\windows\system32\Cache\935ee77178548e84__exp__1386711994
c:\windows\system32\Cache\95f567698be8a182.fb
c:\windows\system32\Cache\ad10a52aff5e038d.fb
c:\windows\system32\Cache\ad10a52aff5e038d__exp__1386711994
c:\windows\system32\Cache\c1fa887b03019701.fb
c:\windows\system32\Cache\c1fa887b03019701__exp__1386711995
c:\windows\system32\Cache\c4d28dca2e7648be.fb
c:\windows\system32\Cache\c4d28dca2e7648be__exp__1386711994
c:\windows\system32\Cache\d201ef9910cd39de.fb
c:\windows\system32\Cache\d201ef9910cd39de__exp__1386711994
c:\windows\system32\Cache\d2e94710a5708128.fb
c:\windows\system32\Cache\d5a9f18bbb2860b2.fb
c:\windows\system32\Cache\d5a9f18bbb2860b2__exp__1384240948
c:\windows\system32\Cache\d79b9dfe81484ec4.fb
c:\windows\system32\Cache\f8dfbda1a7cda23c.fb
c:\windows\system32\Cache\f8dfbda1a7cda23c__exp__1369176841
c:\windows\system32\Cache\f998975c9cc711ee.fb
c:\windows\system32\Cache\f998975c9cc711ee__exp__1386711995
c:\windows\system32\roboot.exe
c:\windows\unin0405.exe
c:\windows\wininit.ini
c:\windows\XSxS
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2013-11-12 do 2013-12-12 )))))))))))))))))))))))))))))))
.
.
2013-12-11 18:43 . 2013-12-11 18:43 -------- d-----w- c:\windows\system32\wbem\Repository
2013-12-11 18:42 . 2013-12-12 11:34 -------- d-----w- c:\program files\Mozilla Thunderbird
2013-12-10 11:30 . 2013-12-11 18:42 -------- d-----w- c:\program files\TKexe
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-12-11 20:00 . 2012-04-10 07:46 692616 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-12-11 20:00 . 2011-05-18 06:13 71048 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-11-11 07:20 . 2013-02-07 11:44 37664 ----a-w- c:\windows\system32\drivers\avgtpx86.sys
2011-08-18 20:59 . 2011-06-22 19:31 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DrvMon.exe"="c:\windows\system32\DrvMon.exe" [2004-09-22 53248]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CognizanceTS"="c:\progra~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll" [2003-12-22 17920]
"MsgTranAgt"="c:\program files\ASUS\ATK Hotkey\MsgTranAgt.exe" [2008-08-18 117304]
"HControlUser"="c:\program files\ASUS\ATK Hotkey\HControlUser.exe" [2008-08-18 98304]
"ATKHOTKEY"="c:\program files\ASUS\ATK Hotkey\HControl.exe" [2008-08-29 223800]
"HControl"="c:\windows\ATK0100\HControl.exe" [2006-05-30 98304]
"RTHDCPL"="RTHDCPL.EXE" [2008-12-30 18082304]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\point32.exe" [2004-06-02 204800]
"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-08-27 59280]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2012-02-23 59240]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2013-04-04 958576]
"vProt"="c:\program files\AVG Secure Search\vprot.exe" [2013-11-11 2420248]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2012-07-04 3154464]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2008-4-14 596584]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe -startup [2009-3-4 66864]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\AutorunsDisabled\
EFI Hot Folders.lnk - c:\program files\Fiery\HotFolder\hffw.exe [2011-8-22 1458176]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
2007-02-07 00:30 74240 ----a-r- c:\program files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 03:22 1695232 ------w- c:\program files\Messenger\msmsgs.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"LightScribe Control Panel"=c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
"EFI Job Monitor"=c:\windows\system32\rundll32.exe c:\windows\System32\spool\DRIVERS\W32X86\3\efjm.dll,run
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime Alternative\qttask.exe" -atboottime
"NeroFilterCheck"=c:\program files\Common Files\Nero\Lib\NeroCheck.exe
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"AppleSyncNotifier"=c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\totalcmd\\TOTALCMD.EXE"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Common Files\\Nero\\Nero Web\\SetupX.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Program Files\\Logitech\\Logitech Harmony Remote Software 7\\HarmonyRemote.exe"=
"c:\\WINDOWS\\system32\\mstsc.exe"=
"c:\\Program Files\\Cutting Master 2 for CraftROBO 1.82\\Program\\App2.exe"=
"c:\\Program Files\\Common Files\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"d:\\Portable\\SkypePortable\\App\\Skype\\Phone\\Skype.exe"=
.
R1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx86.sys [7.2.2013 12:44 37664]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [14.5.2009 14:47 123760]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [14.5.2009 14:49 107280]
R2 602XML Updater;602Updater;c:\program files\Common Files\soft602\602updsvc\602updsvc.exe [10.10.2011 13:55 85344]
R2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe -k Cognizance [2.8.2007 12:00 14336]
R2 ASChannel;Local Communication Channel;c:\windows\System32\svchost.exe -k Cognizance [2.8.2007 12:00 14336]
R2 EFI ES1000;EFI ES1000;c:\program files\Common Files\EFI\EFI ES-1000 Service\ES1000Service.exe [22.8.2011 10:20 9216]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [4.7.2012 9:17 999704]
R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe -run --> c:\windows\system32\hasplms.exe -run [?]
R2 vToolbarUpdater17.1.2;vToolbarUpdater17.1.2;c:\program files\Common Files\AVG Secure Search\vToolbarUpdater\17.1.2\ToolbarUpdater.exe [11.11.2013 8:21 1734680]
R3 Pcouffin;Low level access layer for CD devices;c:\windows\system32\drivers\Pcouffin.sys [10.4.2013 22:30 39488]
S2 Skype C2C Service;Skype C2C Service;c:\documents and settings\All Users\Data aplikací\Skype\Toolbars\Skype C2C Service\c2c_service.exe [31.1.2013 10:38 3289208]
S2 SkypeUpdate;Skype Updater;d:\portable\SkypePortable\App\Skype\Updater\Updater.exe [5.9.2013 9:34 171680]
S3 ESHASRV;ESET SHA Service;c:\program files\ESET\ESET NOD32 Antivirus\EShaSrv.exe [4.7.2012 9:18 183944]
S4 gupdate1c9fb3c7e15feb0;Služba Google Update (gupdate1c9fb3c7e15feb0);c:\program files\Google\Update\GoogleUpdate.exe [2.7.2009 18:42 133104]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASBroker ASChannel
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\AutorunsDisabled\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2009-11-20 13:28 451872 -c--a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Obsah adresáře 'Naplánované úlohy'
.
2013-12-12 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-10 20:00]
.
2013-12-10 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2011-10-04 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-02 17:42]
.
2011-10-04 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-07-02 17:42]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=C8B40016EA7EBA4A&affID=122254&tt=070813_wc2&tsp=4972
uInternet Settings,ProxyOverride = <local>;*.local
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Send to &Bluetooth Device... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Send To Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
TCP: DhcpNameServer = 192.168.2.2
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - c:\program files\Common Files\AVG Secure Search\ViProtocolInstaller\17.1.2\ViProtocol.dll
FF - ProfilePath - c:\documents and settings\ferry\Data aplikací\Mozilla\Firefox\Profiles\h0lhswis.default\
FF - prefs.js: browser.search.selectedEngine - Delta Search
FF - prefs.js: browser.startup.homepage - hxxp://www1.delta-search.com/?babsrc=HP_ss&mntrId=C8B40016EA7EBA4A&affID=122254&tt=070813_wc2&tsp=4972
FF - ExtSQL: !HIDDEN! 2009-06-25 03:00; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
BHO-{95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
Toolbar-{95B7759C-8C7F-4BF1-B163-73684A933233} - (no file)
AddRemove-Adobe Photoshop 5.0 CZ - c:\windows\UNIN0405.EXE
AddRemove-Adobe Photoshop 7.0 CE - c:\windows\ISUN0405.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-12-12 13:14
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(932)
c:\windows\system32\Ati2evxx.dll
c:\program files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWLNPkg.dll
c:\program files\ASUS Security Center\ASUS Security Protect Manager\bin\ItMsg.dll
.
Celkový čas: 2013-12-12 13:15:38
ComboFix-quarantined-files.txt 2013-12-12 12:15
.
Před spuštěním: Volných bajtů: 61 590 708 224
Po spuštění: Volných bajtů: 63 989 198 848
.
- - End Of File - - 12F01F564C098356DD5247792CD9B179
413FC2A0C716421B3158746D63736515
Odvirování PC, zrychlení počítače, vzdálená pomoc prostřednictvím služby neslape.cz
ASUS NTB / xP Pro / Policie
Moderátor: Moderátoři
Pravidla fóra
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Pokud chcete pomoc, vložte log z FRST [návod zde] nebo RSIT [návod zde]
Jednotlivé thready budou po vyřešení uzamčeny. Stejně tak ty, které budou nečinné déle než 14 dní. Vizte Pravidlo o zamykání témat. Děkujeme za pochopení.
!NOVINKA!
Nově lze využívat služby vzdálené pomoci, kdy se k vašemu počítači připojí odborník a bližší informace o problému si od vás získá telefonicky! Více na www.neslape.cz
Re: ASUS NTB / xP Pro / Policie
Zdravim
:arrow:Co se tyce ComboFixu, ktery jste pouzil, tak na zaklade licence a pravidel fora ptam, umite s nim pracovat (spusteni, rozlusteni logu, napsani skriptu)?
Licencni podminky ComboFixu hovori jasne "Nikdy by nemel byt pouzit v prostredi bez dozoru zkusene osoby"
Nebezpeci CFka
:arrow:Co se tyce ComboFixu, ktery jste pouzil, tak na zaklade licence a pravidel fora ptam, umite s nim pracovat (spusteni, rozlusteni logu, napsani skriptu)?
Licencni podminky ComboFixu hovori jasne "Nikdy by nemel byt pouzit v prostredi bez dozoru zkusene osoby"
Nebezpeci CFka
- Je urcen primarne pro radce - jeho svevolnym pouzitim ztracite narok na podporu
- Maze stopy po haveti, takze v logu z RSIT neni nic videt
- Jeho log je treba dolustit, jelikoz neumi smazat vse - to ovsem tezko zvladnete pokud k tomu nejste vyskolen
- CF muze mit bug = sunda Vam system, pokud nevite kam co uklada, jak co obnovit, mate system v kytkam a ceka Vas reinstal
- CF taky bohuzel prozatim nekontroluje nektere dulezite knihovny (napr. hal.dll) - ty treba mazou nektere typy haveti (napr. angela) - smaze Vam po restartu hal.dll = nenajede Vam system a jste o radek vyse = reinstal
Re: ASUS NTB / xP Pro / Policie
Příště, než se do někoho obujete, se poptejte. Všiml jste si slovíčka Prosím?
ComboFix aktivně použil IT odborník...
Nicméně přikládám RSIT log. Virus POLICIE se dostal do compu přes ESET ENDPOINT s aktuální DB.
Pokud to pomůže, přikládám log s RSIT.
Počítač je funkční, nicméně nám nefunguje Obnova systému (?) na jakýkoliv starší registr (v Nouzovém režimu). Po restartu dostane hlášení o neúspěšnosti kvůli disku H (zde se mapujou ale flashdisky a jsou vypnuté ze sledování). Přikládám log z RSIT. Máme podezření, že compík není vyléčený.
Eset nic nenašel. Předem děkujeme za Váš čas.
ComboFix aktivně použil IT odborník...
Nicméně přikládám RSIT log. Virus POLICIE se dostal do compu přes ESET ENDPOINT s aktuální DB.
Pokud to pomůže, přikládám log s RSIT.
Počítač je funkční, nicméně nám nefunguje Obnova systému (?) na jakýkoliv starší registr (v Nouzovém režimu). Po restartu dostane hlášení o neúspěšnosti kvůli disku H (zde se mapujou ale flashdisky a jsou vypnuté ze sledování). Přikládám log z RSIT. Máme podezření, že compík není vyléčený.
Eset nic nenašel. Předem děkujeme za Váš čas.
- Přílohy
-
- log.zip
- (11.86 KiB) Staženo 59 x
Re: ASUS NTB / xP Pro / Policie
Jeste maly dotaz, jedna se o domaci ntb nebo nejaky pracovni\firemni???