internet chodí špatně

[MMJJ]

Ahoj, prosím o radu - skončila mi zkušební verze esetu a dostala se mi do počítače pravděpodobně nějaká havěť. Internet nechodí, jak má - zamrzá a skáčou tam stránky, které nemají. Dá se s tím něco dělat? Díky. MJ

[Unlimited_Killer]

Vložte rovnou ComboFix log.

~~~

Vložte sem log z ComboFix.

Stáhněte a uložte na Plochu ComboFix, poté ho spusťte s administrátorským oprávněním.
Ještě před spuštěním vypněte rezidentní štít antiviru, či antispywaru.
Po spuštění se Vám zobrazí licenční podmínky, klikněte na 'Ano'. Budete také dotázán na instalaci konzole pro zotavení, klikněte na 'Ano'.
Celý sken bude trvat tak 5-10 minut, v závislosti na tom, kolika soubory se bude CF prodírat. Váš PC bude pravděpodobně restartován, tak se toho neděste. Než úplně skončí sken, nic nedělejte, hlavně neklikejte do spuštěného okna s ComboFixem.
Po skončení skenu na Vás vypadne log, který vkopírujete sem.

[MMJJ]

Díky, toto jsem vylogoval z Combofixu:

ComboFix 10-01-29.04 - MJ 29.01.2010 22:20:56.3.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.1014.652 [GMT 1:00]
Spuštěný z: c:\documents and settings\MJ\Plocha\ComboFix.exe
.
/wow section - STAGE 4
play.lnk není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\841ga2i0.exe

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-28 do 2010-01-29 )))))))))))))))))))))))))))))))
.

2010-01-28 15:53 . 2002-09-20 16:03 117760 ----a-w- c:\windows\system32\asfsip.dll
2010-01-28 15:46 . 2009-12-12 14:15 178176 ----a-w- c:\windows\system32\unrar.dll
2010-01-28 15:46 . 2010-01-28 15:47 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-01-24 09:48 . 2010-01-29 16:47 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-24 09:10 . 2007-10-12 14:14 1374232 ----a-w- c:\windows\system32\D3DCompiler_36.dll
2010-01-24 09:08 . 2004-07-09 03:26 47104 -c--a-w- c:\windows\system32\dllcache\wstdecod.dll
2010-01-24 09:05 . 2010-01-24 09:05 -------- d-----w- c:\windows\Logs
2010-01-24 09:04 . 2010-01-24 09:04 -------- d-----w- c:\program files\Winamp Detect
2010-01-22 20:31 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-22 20:31 . 2010-01-22 20:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-22 20:31 . 2010-01-07 15:07 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-22 18:44 . 2010-01-22 20:26 -------- d-----w- c:\program files\trend micro
2010-01-22 18:44 . 2010-01-22 18:44 -------- d-----w- C:\rsit
2010-01-22 06:51 . 2010-01-22 06:51 552 ----a-w- c:\windows\system32\d3d8caps.dat
2010-01-16 18:03 . 2010-01-16 18:03 -------- d-----w- c:\program files\profine
2010-01-07 16:39 . 2010-01-07 16:39 -------- d-----w- c:\program files\OpenOffice.org 3
2010-01-07 09:04 . 2010-01-07 09:04 -------- d-----w- c:\program files\Common Files\Skype
2010-01-07 09:04 . 2010-01-07 09:04 -------- d-----r- c:\program files\Skype

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-27 21:45 . 2009-12-14 18:57 737280 ----a-w- c:\windows\iun6002.exe
2010-01-27 21:39 . 2009-12-20 17:51 -------- d-----w- c:\program files\Winamp
2010-01-23 21:54 . 2009-12-30 19:26 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-07 09:05 . 2009-12-14 20:46 -------- d-----w- c:\program files\Google
2009-12-28 21:06 . 2009-12-28 21:06 -------- d-----w- c:\program files\QuickTime
2009-12-20 17:54 . 2009-12-20 17:54 -------- d-----w- c:\program files\Winamp Toolbar
2009-12-17 19:17 . 2009-12-14 13:45 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-17 18:52 . 2001-10-25 12:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2009-12-17 18:52 . 2001-10-25 12:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2009-12-17 18:51 . 2009-12-14 13:45 -------- d-----w- c:\program files\Realtek
2009-12-17 18:48 . 2009-12-17 18:48 -------- d-----w- c:\program files\Setup Files
2009-12-17 18:45 . 2009-12-17 18:45 -------- d-----w- c:\program files\MSI
2009-12-15 16:44 . 2009-12-15 16:44 -------- d-----w- c:\program files\Common Files\InstallShield
2009-12-14 20:48 . 2009-12-14 20:48 48 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-12-14 14:14 . 2009-12-14 14:14 -------- d-----w- c:\program files\ESET
2009-12-12 08:28 . 2009-12-12 07:36 2410 ----a-w- c:\windows\PCHealth\HelpCtr\PackageStore\SkuStore.bin
2009-12-12 08:07 . 2009-12-12 08:07 -------- d-----w- c:\program files\Microsoft.NET
2009-12-12 08:07 . 2009-12-12 08:07 -------- d-----w- c:\program files\Microsoft ActiveSync
2009-12-12 07:46 . 2009-12-11 20:48 -------- d-----w- c:\program files\microsoft frontpage
2009-12-12 07:37 . 2009-12-12 07:37 558142 ----a-w- c:\windows\java\Packages\KMWKFPBD.ZIP
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\X3DZ1NJL.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\O5RHZVFF.DAT
2009-12-12 07:37 . 2009-12-12 07:37 155995 ----a-w- c:\windows\java\Packages\JTR3LZLN.ZIP
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\WT7ZFHZJ.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\K1393R1F.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\HVXBR1B3.DAT
2009-12-12 07:37 . 2009-12-12 07:37 8738 ----a-w- c:\windows\PCHealth\HelpCtr\Config\Cntstore.bin
2009-12-12 07:37 . 2009-12-12 07:37 80007 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-12-12 07:34 . 2009-12-12 07:34 21812 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-10 17:00 . 2009-12-17 21:56 84512 ----a-w- c:\windows\SOUNDMAN.EXE
2009-12-10 17:00 . 2009-12-17 21:56 358944 ----a-w- c:\windows\vncutil.exe
2009-12-10 17:00 . 2009-12-17 21:56 1489440 ----a-w- c:\windows\RtlUpd.exe
2009-12-10 17:00 . 2009-12-17 21:56 9721888 ----a-w- c:\windows\RTLCPL.EXE
2009-12-10 17:00 . 2009-12-17 21:56 50208 ----a-w- c:\windows\system32\RtkCoInstXP.dll
2009-12-10 17:00 . 2009-12-17 21:56 129568 ----a-w- c:\windows\RtkAudioService.exe
2009-12-10 17:00 . 2009-12-17 21:56 18789920 ----a-w- c:\windows\RTHDCPL.EXE
2009-12-10 17:00 . 2009-12-17 21:56 2177568 ----a-w- c:\windows\MicCal.exe
2009-12-10 17:00 . 2009-12-17 21:56 2815520 ----a-w- c:\windows\ALCWZRD.EXE
2009-12-10 17:00 . 2009-12-17 21:56 64032 ----a-w- c:\windows\ALCMTR.EXE
2009-12-10 16:23 . 2009-12-17 21:56 6017568 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2009-11-24 16:40 . 2009-12-17 18:51 838176 ----a-w- c:\windows\RtlExUpd.dll
2009-11-18 06:17 . 2009-12-17 21:56 1395800 ----a-w- c:\windows\system32\drivers\Monfilt.sys
2009-11-18 06:16 . 2009-12-17 21:56 1691480 ----a-w- c:\windows\system32\drivers\Ambfilt.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "c:\program files\Winamp Toolbar\winamptb.dll" [2009-05-06 1262888]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E86A4C45-325F-412E-8CD8-7E4A534E836F}]
2002-09-20 16:03 117760 ----a-w- c:\windows\system32\asfsip.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-14 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-12-10 18789920]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-12-28 417792]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-01-12 37888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

c:\documents and settings\MJ\Nabˇdka Start\Programy\Po spuçtŘnˇ\
OpenOffice.org 3.0.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-1-15 393216]

S2 gupdate1ca8f788138d1b4;Služba Google Update (gupdate1ca8f788138d1b4);c:\program files\Google\Update\GoogleUpdate.exe [7.1.2010 10:05 133104]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.12.2009 22:56 1691480]
.
Obsah adresáře 'Naplánované úlohy'

2010-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-07 09:04]

2010-01-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-07 09:04]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: &Winamp Search - c:\documents and settings\All Users.WINDOWS\Data aplikací\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKCU-Run-841ga2i0 - c:\windows\system32\841ga2i0.exe
HKLM-Run-841ga2i0 - c:\windows\system32\841ga2i0.exe



**************************************************************************
skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory:

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(716)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(772)
c:\windows\System32\dssenh.dll
.
Celkový čas: 2010-01-29 22:25:32
ComboFix-quarantined-files.txt 2010-01-29 21:25
ComboFix2.txt 2010-01-23 21:20

Před spuštěním: Volných bajtů: 32 274 305 024
Po spuštění: Volných bajtů: 32 323 678 208

- - End Of File - - 4F69E02153C49249EAF7EC86ECFBD217

[Unlimited_Killer]

ComboFix jednoho šmejda odstranil, další zbytečnosti odstraníme manuálně.

~~~

Otevřete si Poznámkový blok a vkopírujte do něj

Kód: Vybrat vše

KillAll::

Folder::
c:\program files\Winamp Toolbar

File::
c:\documents and settings\MJ\Nabídka Start\Programy\Po spuštění\OpenOffice.org 3.0.lnk
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"=-
[-HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[-HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[-HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[-HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E86A4C45-325F-412E-8CD8-7E4A534E836F}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-

Extra::
DDS::
IE: &Winamp Search - c:\documents and settings\All Users.WINDOWS\Data aplikací\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

Reboot::

uložte to na Plochu jako CFScript.txt Pak jej myší přetáhněte nad ComboFix (musí být na Ploše) a pusťte (vizte obrázek).



ComboFix vykoná příkazy ze skriptu, PC může být opět restartován.
Po skončení mi sem vložte log, který na Vás po dočistění vybafne.

~~~

Otestujte na VirusTotal soubory:

Kód: Vybrat vše

c:\windows\system32\asfsip.dll

Jednoduše tam vkopírujete cesty, co jsem napsal do code, když Vám to napíše, že soubor byl testován, dejte otestovat znovu. Poté jsem vložíte linky (odkazy) na jednotlivé testy.

[MMJJ]

Toto mi vygeneroval Combo fix:
ComboFix 10-01-29.04 - MJ 29.01.2010 23:25:34.4.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.1014.659 [GMT 1:00]
Spuštěný z: c:\documents and settings\MJ\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\MJ\Plocha\CFScript.txt

FILE ::
"c:\documents and settings\MJ\Nabídka Start\Programy\Po spuštění\OpenOffice.org 3.0.lnk"
"c:\windows\Tasks\GoogleUpdateTaskMachineCore.job"
"c:\windows\Tasks\GoogleUpdateTaskMachineUA.job"
.
/wow section - STAGE 4
play.lnk není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu


((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users.WINDOWS\Data aplikací\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
c:\documents and settings\MJ\Nabídka Start\Programy\Po spuštění\OpenOffice.org 3.0.lnk
c:\program files\Winamp Toolbar
c:\program files\Winamp Toolbar\apopup.dll
c:\program files\Winamp Toolbar\install.log
c:\program files\Winamp Toolbar\msvcr71.dll
c:\program files\Winamp Toolbar\uninstall.exe
c:\program files\Winamp Toolbar\winamptb.dll
c:\program files\Winamp Toolbar\winampTbServer.exe
c:\program files\Winamp Toolbar\winamptbServerPS.dll
c:\program files\Winamp Toolbar\xprt5.dll
c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-28 do 2010-01-29 )))))))))))))))))))))))))))))))
.

2010-01-28 15:53 . 2002-09-20 16:03 117760 ----a-w- c:\windows\system32\asfsip.dll
2010-01-28 15:46 . 2009-12-12 14:15 178176 ----a-w- c:\windows\system32\unrar.dll
2010-01-28 15:46 . 2010-01-28 15:47 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-01-24 09:48 . 2010-01-29 22:14 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-24 09:10 . 2007-10-12 14:14 1374232 ----a-w- c:\windows\system32\D3DCompiler_36.dll
2010-01-24 09:08 . 2004-07-09 03:26 47104 -c--a-w- c:\windows\system32\dllcache\wstdecod.dll
2010-01-24 09:05 . 2010-01-24 09:05 -------- d-----w- c:\windows\Logs
2010-01-24 09:04 . 2010-01-24 09:04 -------- d-----w- c:\program files\Winamp Detect
2010-01-22 20:31 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-22 20:31 . 2010-01-22 20:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-22 20:31 . 2010-01-07 15:07 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-22 18:44 . 2010-01-22 20:26 -------- d-----w- c:\program files\trend micro
2010-01-22 18:44 . 2010-01-22 18:44 -------- d-----w- C:\rsit
2010-01-22 06:51 . 2010-01-22 06:51 552 ----a-w- c:\windows\system32\d3d8caps.dat
2010-01-16 18:03 . 2010-01-16 18:03 -------- d-----w- c:\program files\profine
2010-01-07 16:39 . 2010-01-07 16:39 -------- d-----w- c:\program files\OpenOffice.org 3
2010-01-07 09:04 . 2010-01-07 09:04 -------- d-----w- c:\program files\Common Files\Skype
2010-01-07 09:04 . 2010-01-07 09:04 -------- d-----r- c:\program files\Skype

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-27 21:45 . 2009-12-14 18:57 737280 ----a-w- c:\windows\iun6002.exe
2010-01-27 21:39 . 2009-12-20 17:51 -------- d-----w- c:\program files\Winamp
2010-01-23 21:54 . 2009-12-30 19:26 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-07 09:05 . 2009-12-14 20:46 -------- d-----w- c:\program files\Google
2009-12-28 21:06 . 2009-12-28 21:06 -------- d-----w- c:\program files\QuickTime
2009-12-17 19:17 . 2009-12-14 13:45 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-17 18:52 . 2001-10-25 12:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2009-12-17 18:52 . 2001-10-25 12:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2009-12-17 18:51 . 2009-12-14 13:45 -------- d-----w- c:\program files\Realtek
2009-12-17 18:48 . 2009-12-17 18:48 -------- d-----w- c:\program files\Setup Files
2009-12-17 18:45 . 2009-12-17 18:45 -------- d-----w- c:\program files\MSI
2009-12-15 16:44 . 2009-12-15 16:44 -------- d-----w- c:\program files\Common Files\InstallShield
2009-12-14 20:48 . 2009-12-14 20:48 48 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-12-14 14:14 . 2009-12-14 14:14 -------- d-----w- c:\program files\ESET
2009-12-12 08:28 . 2009-12-12 07:36 2410 ----a-w- c:\windows\PCHealth\HelpCtr\PackageStore\SkuStore.bin
2009-12-12 08:07 . 2009-12-12 08:07 -------- d-----w- c:\program files\Microsoft.NET
2009-12-12 08:07 . 2009-12-12 08:07 -------- d-----w- c:\program files\Microsoft ActiveSync
2009-12-12 07:46 . 2009-12-11 20:48 -------- d-----w- c:\program files\microsoft frontpage
2009-12-12 07:37 . 2009-12-12 07:37 558142 ----a-w- c:\windows\java\Packages\KMWKFPBD.ZIP
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\X3DZ1NJL.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\O5RHZVFF.DAT
2009-12-12 07:37 . 2009-12-12 07:37 155995 ----a-w- c:\windows\java\Packages\JTR3LZLN.ZIP
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\WT7ZFHZJ.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\K1393R1F.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\HVXBR1B3.DAT
2009-12-12 07:37 . 2009-12-12 07:37 8738 ----a-w- c:\windows\PCHealth\HelpCtr\Config\Cntstore.bin
2009-12-12 07:37 . 2009-12-12 07:37 80007 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-12-12 07:34 . 2009-12-12 07:34 21812 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-10 17:00 . 2009-12-17 21:56 84512 ----a-w- c:\windows\SOUNDMAN.EXE
2009-12-10 17:00 . 2009-12-17 21:56 358944 ----a-w- c:\windows\vncutil.exe
2009-12-10 17:00 . 2009-12-17 21:56 1489440 ----a-w- c:\windows\RtlUpd.exe
2009-12-10 17:00 . 2009-12-17 21:56 9721888 ----a-w- c:\windows\RTLCPL.EXE
2009-12-10 17:00 . 2009-12-17 21:56 50208 ----a-w- c:\windows\system32\RtkCoInstXP.dll
2009-12-10 17:00 . 2009-12-17 21:56 129568 ----a-w- c:\windows\RtkAudioService.exe
2009-12-10 17:00 . 2009-12-17 21:56 18789920 ----a-w- c:\windows\RTHDCPL.EXE
2009-12-10 17:00 . 2009-12-17 21:56 2177568 ----a-w- c:\windows\MicCal.exe
2009-12-10 17:00 . 2009-12-17 21:56 2815520 ----a-w- c:\windows\ALCWZRD.EXE
2009-12-10 17:00 . 2009-12-17 21:56 64032 ----a-w- c:\windows\ALCMTR.EXE
2009-12-10 16:23 . 2009-12-17 21:56 6017568 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2009-11-24 16:40 . 2009-12-17 18:51 838176 ----a-w- c:\windows\RtlExUpd.dll
2009-11-18 06:17 . 2009-12-17 21:56 1395800 ----a-w- c:\windows\system32\drivers\Monfilt.sys
2009-11-18 06:16 . 2009-12-17 21:56 1691480 ----a-w- c:\windows\system32\drivers\Ambfilt.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-01-29_21.24.37 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-29 22:29 . 2010-01-29 22:29 16384 c:\windows\temp\Perflib_Perfdata_170.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-12-10 18789920]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-01-12 37888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

S2 gupdate1ca8f788138d1b4;Služba Google Update (gupdate1ca8f788138d1b4);c:\program files\Google\Update\GoogleUpdate.exe [7.1.2010 10:05 133104]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.12.2009 22:56 1691480]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: WikiKomentáře Google... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

AddRemove-Winamp Toolbar - c:\program files\Winamp Toolbar\uninstall.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-29 23:29
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(792)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(2744)
c:\windows\System32\msi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\RTHDCPL.EXE
c:\windows\System32\wdfmgr.exe
c:\program files\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Celkový čas: 2010-01-29 23:31:59 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-01-29 22:31
ComboFix2.txt 2010-01-29 21:25
ComboFix3.txt 2010-01-23 21:20

Před spuštěním: Volných bajtů: 32 246 034 432
Po spuštění: Volných bajtů: 32 299 622 400

- - End Of File - - 247EF9490FFA18533899AC0DC3B62B86

[MMJJ]

Toto je odkaz na výsledky z Virus total:

http://www.virustotal.com/cs/analisis/4 ... 1264804577

[Unlimited_Killer]

To jsem nečekal.

~~~

Spusťte Poznámkový blok [Start > Spustit > notepad > Enter].
Do něho vkopírujte následující text:

Kód: Vybrat vše

del "c:\windows\system32\asfsip.dll"

Uložte ho například na Plochu jako del.bat [vizte obrázek] a dvojklikem jej spusťte.

Po použití tento soubor smažte.

~~~

Otestujte na VirusTotal soubory:

Kód: Vybrat vše

c:\windows\system32\unrar.dll

Jednoduše tam vkopírujete cesty, co jsem napsal do code, když Vám to napíše, že soubor byl testován, dejte otestovat znovu. Poté jsem vložíte linky (odkazy) na jednotlivé testy.

[MMJJ]

Mám problém s otevřením souboru del. Nejde mi otevřít, klikám na něj a na zlomek vteřiny se objeví černé okno, které hned zmizí.

[Unlimited_Killer]

Tak to má být. Pokračujte k dalšímu kroku. A rovnou dodejte nový ComboFix log.

[MMJJ]

Dobré ráno, zde je nový log z ComboFixu:

ComboFix 10-01-29.07 - MJ 30.01.2010 9:58.5.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.1.1250.420.1029.18.1014.695 [GMT 1:00]
Spuštěný z: c:\documents and settings\MJ\Plocha\ComboFix.exe
.
/wow section - STAGE 4
play.lnk není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
Malware není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu
play.lnk není názvem vnitřního ani vnějšího příkazu


((((((((((((((((((((((((( Soubory vytvořené od 2009-12-28 do 2010-01-30 )))))))))))))))))))))))))))))))
.

2010-01-28 15:46 . 2009-12-12 14:15 178176 ----a-w- c:\windows\system32\unrar.dll
2010-01-28 15:46 . 2010-01-28 15:47 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-01-24 09:48 . 2010-01-29 22:14 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-01-24 09:10 . 2007-10-12 14:14 1374232 ----a-w- c:\windows\system32\D3DCompiler_36.dll
2010-01-24 09:08 . 2004-07-09 03:26 47104 -c--a-w- c:\windows\system32\dllcache\wstdecod.dll
2010-01-24 09:05 . 2010-01-24 09:05 -------- d-----w- c:\windows\Logs
2010-01-24 09:04 . 2010-01-24 09:04 -------- d-----w- c:\program files\Winamp Detect
2010-01-22 20:31 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-22 20:31 . 2010-01-22 20:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-22 20:31 . 2010-01-07 15:07 18520 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-01-22 18:44 . 2010-01-22 20:26 -------- d-----w- c:\program files\trend micro
2010-01-22 18:44 . 2010-01-22 18:44 -------- d-----w- C:\rsit
2010-01-22 06:51 . 2010-01-22 06:51 552 ----a-w- c:\windows\system32\d3d8caps.dat
2010-01-16 18:03 . 2010-01-16 18:03 -------- d-----w- c:\program files\profine
2010-01-07 16:39 . 2010-01-07 16:39 -------- d-----w- c:\program files\OpenOffice.org 3
2010-01-07 09:04 . 2010-01-07 09:04 -------- d-----w- c:\program files\Common Files\Skype
2010-01-07 09:04 . 2010-01-07 09:04 -------- d-----r- c:\program files\Skype

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-27 21:45 . 2009-12-14 18:57 737280 ----a-w- c:\windows\iun6002.exe
2010-01-27 21:39 . 2009-12-20 17:51 -------- d-----w- c:\program files\Winamp
2010-01-23 21:54 . 2009-12-30 19:26 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-07 09:05 . 2009-12-14 20:46 -------- d-----w- c:\program files\Google
2009-12-28 21:06 . 2009-12-28 21:06 -------- d-----w- c:\program files\QuickTime
2009-12-17 19:17 . 2009-12-14 13:45 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-12-17 18:52 . 2001-10-25 12:00 46016 ----a-w- c:\windows\system32\perfc005.dat
2009-12-17 18:52 . 2001-10-25 12:00 309716 ----a-w- c:\windows\system32\perfh005.dat
2009-12-17 18:51 . 2009-12-14 13:45 -------- d-----w- c:\program files\Realtek
2009-12-17 18:48 . 2009-12-17 18:48 -------- d-----w- c:\program files\Setup Files
2009-12-17 18:45 . 2009-12-17 18:45 -------- d-----w- c:\program files\MSI
2009-12-15 16:44 . 2009-12-15 16:44 -------- d-----w- c:\program files\Common Files\InstallShield
2009-12-14 20:48 . 2009-12-14 20:48 48 ---ha-w- c:\windows\system32\ezsidmv.dat
2009-12-14 14:14 . 2009-12-14 14:14 -------- d-----w- c:\program files\ESET
2009-12-12 08:28 . 2009-12-12 07:36 2410 ----a-w- c:\windows\PCHealth\HelpCtr\PackageStore\SkuStore.bin
2009-12-12 08:07 . 2009-12-12 08:07 -------- d-----w- c:\program files\Microsoft.NET
2009-12-12 08:07 . 2009-12-12 08:07 -------- d-----w- c:\program files\Microsoft ActiveSync
2009-12-12 07:46 . 2009-12-11 20:48 -------- d-----w- c:\program files\microsoft frontpage
2009-12-12 07:37 . 2009-12-12 07:37 558142 ----a-w- c:\windows\java\Packages\KMWKFPBD.ZIP
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\X3DZ1NJL.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\O5RHZVFF.DAT
2009-12-12 07:37 . 2009-12-12 07:37 155995 ----a-w- c:\windows\java\Packages\JTR3LZLN.ZIP
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\WT7ZFHZJ.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\K1393R1F.DAT
2009-12-12 07:37 . 2009-12-12 07:37 2678 ----a-w- c:\windows\java\Packages\Data\HVXBR1B3.DAT
2009-12-12 07:37 . 2009-12-12 07:37 8738 ----a-w- c:\windows\PCHealth\HelpCtr\Config\Cntstore.bin
2009-12-12 07:37 . 2009-12-12 07:37 80007 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-12-12 07:34 . 2009-12-12 07:34 21812 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-10 17:00 . 2009-12-17 21:56 84512 ----a-w- c:\windows\SOUNDMAN.EXE
2009-12-10 17:00 . 2009-12-17 21:56 358944 ----a-w- c:\windows\vncutil.exe
2009-12-10 17:00 . 2009-12-17 21:56 1489440 ----a-w- c:\windows\RtlUpd.exe
2009-12-10 17:00 . 2009-12-17 21:56 9721888 ----a-w- c:\windows\RTLCPL.EXE
2009-12-10 17:00 . 2009-12-17 21:56 50208 ----a-w- c:\windows\system32\RtkCoInstXP.dll
2009-12-10 17:00 . 2009-12-17 21:56 129568 ----a-w- c:\windows\RtkAudioService.exe
2009-12-10 17:00 . 2009-12-17 21:56 18789920 ----a-w- c:\windows\RTHDCPL.EXE
2009-12-10 17:00 . 2009-12-17 21:56 2177568 ----a-w- c:\windows\MicCal.exe
2009-12-10 17:00 . 2009-12-17 21:56 2815520 ----a-w- c:\windows\ALCWZRD.EXE
2009-12-10 17:00 . 2009-12-17 21:56 64032 ----a-w- c:\windows\ALCMTR.EXE
2009-12-10 16:23 . 2009-12-17 21:56 6017568 ----a-w- c:\windows\system32\drivers\RtkHDAud.sys
2009-11-24 16:40 . 2009-12-17 18:51 838176 ----a-w- c:\windows\RtlExUpd.dll
2009-11-18 06:17 . 2009-12-17 21:56 1395800 ----a-w- c:\windows\system32\drivers\Monfilt.sys
2009-11-18 06:16 . 2009-12-17 21:56 1691480 ----a-w- c:\windows\system32\drivers\Ambfilt.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-01-29_21.24.37 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-30 08:57 . 2010-01-30 08:57 32768 c:\windows\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
+ 2009-12-12 07:40 . 2010-01-30 08:57 32768 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
- 2009-12-12 07:40 . 2010-01-23 07:28 32768 c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
+ 2010-01-30 08:57 . 2010-01-30 08:57 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-12-12 07:40 . 2010-01-23 07:28 16384 c:\windows\system32\config\systemprofile\Cookies\index.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-12-14 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-12-10 18789920]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2010-01-12 37888]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]

S2 gupdate1ca8f788138d1b4;Služba Google Update (gupdate1ca8f788138d1b4);c:\program files\Google\Update\GoogleUpdate.exe [7.1.2010 10:05 133104]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [17.12.2009 22:56 1691480]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.google.com/
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} - hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-30 10:01
Windows 5.1.2600 Service Pack 1 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(716)
c:\windows\System32\ODBC32.dll

- - - - - - - > 'lsass.exe'(772)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(4084)
c:\windows\System32\msi.dll
.
Celkový čas: 2010-01-30 10:03:17
ComboFix-quarantined-files.txt 2010-01-30 09:03
ComboFix2.txt 2010-01-29 22:31
ComboFix3.txt 2010-01-29 21:25
ComboFix4.txt 2010-01-23 21:20

Před spuštěním: Volných bajtů: 32 284 573 696
Po spuštění: Volných bajtů: 32 260 194 304

- - End Of File - - 09DDFB7C341DF529C358852274150E18

[Unlimited_Killer]

Dobře, ještě otestovat na tom VT jeden soubor.

Poté nový RSIT log.

[MMJJ]

Ahoj, sorry, ale nevím, jaký soubor mám na VT otestovat.

[Unlimited_Killer]

Tento:

Kód: Vybrat vše

c:\windows\system32\unrar.dll

Poté nový RSIT log.

[MMJJ]

Ok, toto je odkaz na výsledky z VT:

http://www.virustotal.com/cs/analisis/f ... 1264941446

[Unlimited_Killer]

Nějaký špatný odkaz. Nechte soubor kompletně otestovat a až poté mi sem vkopírujte adresu z adresního řádku prohlížeče.