VIRY.CZ

od začátku ledna mi pc stále něco chroupe,projel jsem ho nodem,spyware terminator,ccleaner,spybot sd,aj. ale stále mi zřejmě pomalu posílá data z mého pc.Když ho odpojím od sítě,tak se to za chvíli zklidní.Pokoušel jsem dát bod obnovení z doby kdy to nedělalo,ale píše mi to že to nejde,ať vyberu jiný bod obnovení.Mailem mi přišla časem nabídka,kde po mě chtěli mimo jiné,číslo mé platební karty a heslo,což je nesmysl.Vypadá to,že se mi někdo hrabe v pc. a zjistil na jaké stránky chodim a kde jsem se registroval.Také se mi při zapnutí pc.nezapíná automaticky nod,i když se mi ukáže,že hned po startu se aktualizoval,tak se ukončí.Posílám log na kontrolu a děkuji za pomoc.

hm
stiahni a uloz na plochu ComboFix

potom spust pod uctom s administratorskym opravnenim


akcia trva cca. 5-10 minut, niekedy i dlhsie -, Pocas scanu nespustaj ziadne ine aplikacie

Nie je dovod na paniku ak stroj bude restartovany
upozornenie: ak pouzivas antispyware s rezidentnim stitem, ten pred scanom vypni.

po restarte aplikacie vytvori log, ulozeny na C:\Combofix.txt (jeho obsah vloz sem)

ComboFix 10-01-26.02 - Ivo 27.01.2010 9:23.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.767.465 [GMT 1:00]
Spuštěný z: c:\documents and settings\Ivo\Plocha\ComboFix.exe
AV: Eset NOD32 Antivirus 2.51 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\_id.dat

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-27 do 2010-01-27 )))))))))))))))))))))))))))))))
.

2010-01-27 07:22 . 2010-01-27 07:22 -------- d-----w- C:\rsit
2010-01-21 13:53 . 2010-01-21 13:52 87104 ----a-w- c:\windows\system32\drivers\inspect.sys
2010-01-21 13:53 . 2010-01-21 13:52 25160 ----a-w- c:\windows\system32\drivers\cmdhlp.sys
2010-01-21 13:53 . 2010-01-21 13:52 171552 ----a-w- c:\windows\system32\guard32.dll
2010-01-21 13:53 . 2010-01-21 13:52 133064 ----a-w- c:\windows\system32\drivers\cmdguard.sys
2010-01-21 13:52 . 2010-01-21 13:52 -------- d-----w- c:\program files\COMODO
2010-01-21 12:07 . 2010-01-21 12:07 -------- d-----w- c:\documents and settings\NetworkService\Plocha
2010-01-21 12:07 . 2010-01-21 12:07 -------- d-----w- c:\documents and settings\Administrator\Dokumenty
2010-01-15 08:56 . 2010-01-21 13:42 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-13 07:25 . 2010-01-13 07:25 -------- d-----w- c:\documents and settings\LocalService\Plocha
2010-01-13 06:01 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-01-05 09:20 . 2010-01-05 09:20 604488 ----a-w- c:\windows\system32\TUProgSt.exe
2010-01-05 09:20 . 2009-07-15 09:48 29000 ----a-w- c:\windows\system32\uxtuneup.dll
2010-01-05 09:20 . 2010-01-05 09:20 361288 ----a-w- c:\windows\system32\TuneUpDefragService.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-27 07:01 . 2010-01-16 12:43 -------- d-----w- c:\program files\Ultimate Process Manager
2010-01-21 13:45 . 2009-07-31 11:53 -------- d-----w- c:\program files\Pando Networks
2010-01-21 12:07 . 2009-04-06 10:22 -------- d-----w- c:\program files\Spyware Terminator
2010-01-21 12:07 . 2010-01-16 08:52 -------- d-----w- c:\program files\Windows Live Safety Center
2010-01-21 12:06 . 2009-07-25 11:01 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-19 08:34 . 2009-04-14 11:26 142592 ----a-w- c:\windows\system32\drivers\sp_rsdrv2.sys
2010-01-05 09:58 . 2003-04-16 12:00 832512 ----a-w- c:\windows\system32\wininet.dll
2010-01-05 09:57 . 2009-02-23 14:47 78336 ----a-w- c:\windows\system32\ieencode.dll
2010-01-05 09:57 . 2003-04-16 12:00 17408 ----a-w- c:\windows\system32\corpol.dll
2010-01-05 09:20 . 2009-04-06 12:57 -------- d-----w- c:\program files\TuneUp Utilities 2009
2009-12-11 06:05 . 2003-04-16 12:00 94448 ----a-w- c:\windows\system32\perfc005.dat
2009-12-11 06:05 . 2003-04-16 12:00 461128 ----a-w- c:\windows\system32\perfh005.dat
2009-11-21 16:03 . 2003-04-16 12:00 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="c:\program files\Analog Devices\SoundMAX\Smtray.exe" [2002-06-26 90112]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2009-02-03 921600]
"CAP3ON"="c:\windows\system32\spool\drivers\w32x86\3\CAP3ONN.EXE" [2002-07-18 22528]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-27 61440]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Canon LASER SHOT LBP-1120 Status Window.LNK - c:\windows\system32\spool\drivers\w32x86\3\CAP3LAK.EXE [2009-2-11 30720]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2008-04-14 07:52 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2007-03-01 14:57 153136 ----a-w- c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2009-01-05 15:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-11-02 19:24 32768 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminator]
2010-01-19 08:34 2166784 ----a-w- c:\program files\Spyware Terminator\SpywareTerminatorShield.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpywareTerminatorUpdate]
2010-01-19 08:34 3037696 ----a-w- c:\program files\Spyware Terminator\SpywareTerminatorUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Documents and Settings\\All Users\\Data aplikací\\NexonUS\\NGM\\NGM.exe"=
"c:\\Nexon\\NEXON_EU_Downloader\\NEXON_EU_Downloader_Engine.exe"=
"c:\\Documents and Settings\\All Users\\Data aplikací\\NexonEU\\NGM\\NGM.exe"=
"c:\nexon\Combat Arms EU\CombatArms.exe"= c:\nexon\Combat Arms EU\CombatArms.exe:*Enabled:CombatArms.exe
"c:\nexon\Combat Arms EU\Engine.exe"= c:\nexon\Combat Arms EU\Engine.exe:*Enabled:Engine.exe
"c:\\Nexon\\Combat Arms EU\\NMService.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"58159:TCP"= 58159:TCP:Pando Media Booster
"58159:UDP"= 58159:UDP:Pando Media Booster

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [14.4.2009 12:26 142592]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [27.8.2009 16:05 92008]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2007-06-20 11:47 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
Obsah adresáře 'Naplánované úlohy'

2010-01-27 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2009-07-16 08:54]

2010-01-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-01-27 c:\windows\Tasks\User_Feed_Synchronization-{FF7DD33F-EE06-4E17-A4B7-A8707918C71E}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 17:36]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.atlas.cz/
IE: Crawler Search
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748450} - {CC963627-B1DC-40E0-B52A-CF21EE748450} - c:\translat\WEBIE.DLL
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748451} - {CC963627-B1DC-40E0-B52A-CF21EE748451} - c:\translat\WEBIE.DLL
IE: {{CC963627-B1DC-40E0-B52A-CF21EE748452} - {CC963627-B1DC-40E0-B52A-CF21EE748452} - c:\translat\WEBIE.DLL
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

MSConfigStartUp-SpybotSD TeaTimer - c:\program files\Spybot - Search & Destroy\TeaTimer.exe
AddRemove-HijackThis - c:\documents and settings\Ivo\Local Settings\Temporary Internet Files\Content.IE5\6K9A71X1\HijackThis.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-27 09:29
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(688)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(784)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Celkový čas: 2010-01-27 09:31:12
ComboFix-quarantined-files.txt 2010-01-27 08:31

Před spuštěním: Volných bajtů: 15 776 546 816
Po spuštění: Volných bajtů: 16 214 548 480

WindowsXP-KB310994-SP2-Home-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - C7B1B4BB8497C9396D642F6F63F42239

odinstaluj Spybot aj Terminator
+
AV: Eset NOD32 Antivirus 2.51
toto je sto rokov stare nainstaluj nejaky aktualny AV a vycisti nim PC + napis ci su este problemy

odinstaloval jsem vše,i nod 32 a nainstaloval nejnovější AVAST 5,dal kompletní kontrolu a nic to nenašlo,pc stále něco chroupe

prescanuj PC s MWAV - sice to trva dlho, ale bude jasnejsie

stáhl a spustil jsem MWAV,nepodařilo se mi tam dát češtinu,nebyla tam,tak jsem se řídil podle návodu na foru,2 hodiny to scenovalo,našlo to 7 kritických objektu a pak mi to samo vyplo počítač a jsem v p.....,mám to znovu scenovat,nebo najdu někde ty data?To že tam není čeština,je to tím že jsem stáhl novější verzi?

bud skus znovu MWAV alebo mozes AVPTool > oba maju rovnakeho krstneho otca >> Kaspersky

tak jsem to projel MWAV,našlo to toto,co s tím?
Object "CoreGuardAntivirus2009 Corrupted Adware/Spyware" found in File System! Action Taken: No Action Taken.
Object "CyberSitter Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Backdoor (IRCBot) Trojans Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "Backdoor (IRCBot) Trojans Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "AntiSpyware Pro XP Corrupted Adware/Spyware" found in File System! Action Taken: No Action Taken.
Object "My Web Search Spyware/Adware" found in File System! Action Taken: No Action Taken. "{FF1E3FE9-6BCE-47FB-A740-9872255C1435}". Action Taken: No Action Taken.
File C:\Documents and Settings\Ivo\Dokumenty\ophcrack-livecd-1.2.2.iso infected by "THREAT_TYPE_ARCHBOMB (DB)" Virus! Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1390067357-790525478-682003330-1004\Dc1.iso infected by "THREAT_TYPE_ARCHBOMB (DB)" Virus! Action Taken: No Action Taken.

C:\Documents and Settings\Ivo\Dokumenty\ophcrack-livecd-1.2.2.iso
ZMAZ
+
prescanuj PC s MBAM

V PC jsem to vymazal,projel MBAMem,nic to nenašlo,ale PC stále něco chroupe,asi se přeinstalaci nevyhnu Máte ještě nějaký nápad,co s tím?Jinak moc děkuji za pomoc.

no neviem, PC je cisty, ja by som kvoli nejakym zvukom nepreinstaluval ,,,
moze ist o legalne vyhladavanie aktualizacii niektorym s programov, c:\program files\Pando Networks moze tiez cosi osahavat ,,,
prip. nainstaluj firewall a tam by mali byt spojenia a cinnosti jasne

To neni kvuli zvukum,zpomalil se mi PC,celkem dlouho to chroupe i na netu nějaké stranky,přitom mám rychlost 16 Mb,vymazal jsem co se dalo a co jsem nepoužival,ale HDD pořád něco dělá,problikává mi kontrolka,to nedělalo.Ke všemu jsem si všiml,že se mi ztratily všechny ikony v pravo dole,vedle hodin a zůstala tam jen od nainstalovaného nového avastu.

Jo,aby jsem nezapoměl,firewall mám zaplý a pando v tomto PC nemám,neboli jsem ho v ovladacích panelich neviděl.V druhém PC ho mám,tam jsem ho našel.

OKi, kludne skus opravnu instalaciu - mozno, ze je trochu nahryznuty system ,,,
z AV hladiska nebolo objavene nic podstatne