VIRY.CZ

Pc se snaží prolomit hesla root, administrator, admin, guest....

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrator at 2010-02-03 14:20:38
Systém Microsoft Windows XP Professional Service Pack 3
System drive C: has 2 GB (16%) free of 10 GB
Total RAM: 502 MB (27% free)

HijackThis download failed

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
AcroIEHlprObj Class - C:\Program Files\Adobe\ActiveX\AcroIEHelper.dll [2005-09-24 63136]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"TabletWizard"=C:\WINNT\help\SplshWrp.exe [2008-04-14 16384]
"TabletTip"=C:\Program Files\Common Files\microsoft shared\ink\tabtip.exe [2008-04-14 271872]
"ATSwpNav"=C:\Program Files\Fingerprint Sensor\ATSwpNav -run []
"igfxhkcmd"=C:\WINNT\system32\hkcmd.exe [2005-11-03 77824]
"igfxpers"=C:\WINNT\system32\igfxpers.exe [2005-11-03 118784]
"IndicatorUtility"=C:\Program Files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe [2006-04-20 90112]
""= []
"FjStrtAp"=C:\Program Files\Fujitsu\Utils\FjStrtAp.exe [2006-05-05 20480]
"AGRSMMSG"=C:\WINNT\AGRSMMSG.exe [2006-06-29 89541]
"LtMoh"=C:\Program Files\ltmoh\Ltmoh.exe [2005-05-18 188416]
"NGClient"=C:\Program Files\SYMANTEC\Ghost\ngctw32.exe [2001-12-01 651119]
"SSRPM Enrollment Wizard"=C:\Program Files\Tools4ever\SSRPM\Enrollment Wizard\SSRPMEnroll.exe [2008-03-31 605184]
"SunJavaUpdateSched"=C:\Program Files\Java\j2re1.4.2_10\bin\jusched.exe [2005-10-10 32881]
"AVG8_TRAY"=C:\PROGRA~1\AVG\AVG8\avgtray.exe [2009-12-15 2043160]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINNT\system32\ctfmon.exe [2008-04-14 15360]
"MSMSGS"=C:\Program Files\Messenger\msmsgs.exe [2008-04-14 1695232]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader\reader_sl.exe
Bluetooth Manager.lnk - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\avgrsstarter]
C:\WINNT\system32\avgrsstx.dll [2009-08-03 11952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
C:\WINNT\system32\igfxdev.dll [2005-11-03 135168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\loginkey]
C:\Program Files\Common Files\Microsoft Shared\Ink\loginkey.dll [2008-04-14 47104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\TabBtnWL]
C:\WINNT\system32\TabBtnWL.dll [2002-08-29 11776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tpgwlnotify]
C:\WINNT\system32\tpgwlnot.dll [2008-04-14 32256]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
C:\WINNT\system32\WgaLogon.dll [2007-02-15 236928]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=1
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"DisableCAD"=0

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=145

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"ToggleCommentPosition"=
"HonorAutoRunSetting"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Grisoft\AVG7\avginet.exe"="C:\Program Files\Grisoft\AVG7\avginet.exe:*:Enabled:avginet.exe"
"C:\Program Files\Grisoft\AVG7\avgamsvr.exe"="C:\Program Files\Grisoft\AVG7\avgamsvr.exe:*:Enabled:avgamsvr.exe"
"C:\Program Files\Grisoft\AVG7\avgcc.exe"="C:\Program Files\Grisoft\AVG7\avgcc.exe:*:Enabled:avgcc.exe"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\AVG\AVG8\avgemc.exe"="C:\Program Files\AVG\AVG8\avgemc.exe:*:Enabled:avgemc.exe"
"C:\Program Files\AVG\AVG8\avgupd.exe"="C:\Program Files\AVG\AVG8\avgupd.exe:*:Enabled:avgupd.exe"

======List of files/folders created in the last 1 months======

2010-02-03 14:20:39 ----D---- C:\Program Files\trend micro
2010-02-03 14:20:38 ----D---- C:\rsit
2010-01-25 12:01:19 ----HDC---- C:\WINNT\$NtUninstallKB978207$

======List of files/folders modified in the last 1 months======

2010-02-03 14:20:39 ----RD---- C:\Program Files
2010-02-03 14:20:38 ----D---- C:\WINNT\Prefetch
2010-02-03 14:18:25 ----D---- C:\temp
2010-02-03 14:18:18 ----D---- C:\WINNT
2010-02-03 13:54:52 ----A---- C:\WINNT\ModemLog_GT EDGE Wireless Modem.txt
2010-02-03 08:23:58 ----AD---- C:\MOBILIS
2010-02-03 08:22:08 ----D---- C:\WINNT\security
2010-02-03 08:21:56 ----A---- C:\WINNT\unins000.exe
2010-02-02 14:05:36 ----A---- C:\WINNT\smscfg.ini
2010-02-02 14:05:04 ----SHD---- C:\WINNT\CSC
2010-02-02 14:03:40 ----D---- C:\WINNT\system32\drivers
2010-02-02 12:10:18 ----A---- C:\WINNT\SchedLgU.Txt
2010-02-01 15:29:11 ----D---- C:\Program Files\VNCPP
2010-02-01 15:27:57 ----A---- C:\WINNT\sporic.txt
2010-01-25 12:42:51 ----D---- C:\WINNT\system32
2010-01-25 12:01:56 ----HD---- C:\WINNT\inf
2010-01-25 12:01:27 ----RSHDC---- C:\WINNT\system32\dllcache
2010-01-25 12:00:43 ----HD---- C:\WINNT\$hf_mig$
2010-01-25 12:00:39 ----D---- C:\WINNT\system32\CatRoot2
2010-01-18 15:49:26 ----SHD---- C:\WINNT\Installer
2010-01-18 15:49:26 ----SHD---- C:\Config.Msi
2010-01-18 15:49:21 ----D---- C:\Program Files\PowerArchiver
2010-01-15 08:17:18 ----SHD---- C:\RECYCLER
2010-01-12 13:58:09 ----A---- C:\WINNT\ODBC.INI
2010-01-12 13:57:15 ----D---- C:\WINNT\Temp
2010-01-12 13:55:26 ----D---- C:\Documents and Settings
2010-01-06 14:53:01 ----SHD---- C:\System Volume Information
2010-01-06 14:53:01 ----D---- C:\WINNT\system32\Restore

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AvgLdx86;AVG AVI Loader Driver x86; C:\WINNT\System32\Drivers\avgldx86.sys [2009-08-03 335240]
R1 AvgMfx86;AVG On-access Scanner Minifilter Driver x86; C:\WINNT\System32\Drivers\avgmfx86.sys [2009-08-03 27784]
R1 AvgTdiX;AVG8 Network Redirector; C:\WINNT\System32\Drivers\avgtdix.sys [2009-05-07 108552]
R1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver; C:\WINNT\system32\DRIVERS\dwvkbd.sys [2007-02-15 26624]
R1 intelppm;Intel Processor Driver; C:\WINNT\system32\DRIVERS\intelppm.sys [2008-04-14 36352]
R1 kbdhid;Keyboard HID Driver; C:\WINNT\system32\DRIVERS\kbdhid.sys [2008-04-14 14592]
R1 Tosrfcom;Bluetooth RFCOMM from TOSHIBA; C:\WINNT\System32\Drivers\tosrfcom.sys [2005-08-01 64896]
R2 irda;IrDA Protocol; C:\WINNT\system32\DRIVERS\irda.sys [2008-04-14 88192]
R3 AgereSoftModem;Agere Systems Soft Modem; C:\WINNT\system32\DRIVERS\AGRSM.sys [2006-06-29 1160320]
R3 Arp1394;1394 ARP Client Protocol; C:\WINNT\system32\DRIVERS\arp1394.sys [2008-04-14 60800]
R3 ATSWPDRV;AuthenTec TruePrint USB Driver (AES2500); C:\WINNT\system32\DRIVERS\ATSwpDrv.sys [2006-03-30 130432]
R3 CmBatt;Microsoft ACPI Control Method Battery Driver; C:\WINNT\system32\DRIVERS\CmBatt.sys [2008-04-14 13952]
R3 DwMirror;DwMirror; C:\WINNT\system32\DRIVERS\DamewareMini.sys [2007-02-07 2944]
R3 Fjbtndrv;Fujitsu Button Driver; C:\WINNT\system32\DRIVERS\FjBtnDrv.sys [2006-03-29 17920]
R3 FUJ02B1;Fujitsu FUJ02B1 Device Driver; C:\WINNT\system32\DRIVERS\FUJ02B1.sys [2001-08-01 5248]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%; C:\WINNT\System32\Drivers\FUJ02E1.sys [2004-10-18 5632]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver; C:\WINNT\system32\DRIVERS\FUJ02E3.sys [2004-01-17 4864]
R3 GTEDGWModem;Option NV GTEDGWModem; C:\WINNT\system32\DRIVERS\GTEDG.sys [2004-09-29 107904]
R3 GTEDGWWNIC;Option NV GTEDGWWNIC; C:\WINNT\system32\DRIVERS\GTEDGNet.sys [2004-09-29 52864]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINNT\system32\DRIVERS\HDAudBus.sys [2008-04-13 144384]
R3 hidpen;Wacom Serial Pen HID MiniDriver; C:\WINNT\system32\DRIVERS\hidpen.sys [2006-05-10 30976]
R3 ialm;ialm; C:\WINNT\system32\DRIVERS\ialmnt5.sys [2005-11-03 1353820]
R3 mouhid;Mouse HID Driver; C:\WINNT\system32\DRIVERS\mouhid.sys [2004-08-04 12160]
R3 NETw3x32;Ovladač adaptéru Intel(R) PRO/Wireless 3945ABG pro Windows XP 32 Bit; C:\WINNT\system32\DRIVERS\NETw3x32.sys [2006-09-27 1709696]
R3 NIC1394;1394 Net Driver; C:\WINNT\system32\DRIVERS\nic1394.sys [2008-04-14 61824]
R3 OptionWWSC;GT EDGE SIM Card Reader; C:\WINNT\system32\DRIVERS\GTEDGSC.sys [2004-09-29 21888]
R3 OZSCR;O2Micro SmartCardBus Smartcard Reader; C:\WINNT\system32\DRIVERS\ozscr.sys [2006-03-08 92550]
R3 prepdrvr;SMS Process Event Driver; \??\C:\WINNT\system32\CCM\prepdrv.sys []
R3 Rasirda;WAN Miniport (IrDA); C:\WINNT\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 SMCIRDA;SMC IrCC Miniport Device Driver; C:\WINNT\system32\DRIVERS\smcirda.sys [2001-08-17 35913]
R3 smsmdd;smsmdd; C:\WINNT\system32\DRIVERS\smsmdm.sys [2008-04-08 12448]
R3 STHDA;SigmaTel High Definition Audio CODEC; C:\WINNT\system32\drivers\sthda.sys [2006-02-21 1106952]
R3 tosporte;Bluetooth Port Driver from Toshiba; C:\WINNT\system32\DRIVERS\tosporte.sys [2006-02-10 47488]
R3 Tosrfbd;Bluetooth RFBUS from TOSHIBA; C:\WINNT\System32\Drivers\tosrfbd.sys [2006-04-13 108928]
R3 Tosrfbnp;Bluetooth RFBNEP from TOSHIBA; C:\WINNT\System32\Drivers\tosrfbnp.sys [2006-03-16 37632]
R3 Tosrfhid;Bluetooth RFHID from TOSHIBA; C:\WINNT\system32\DRIVERS\Tosrfhid.sys [2006-02-08 62848]
R3 tosrfnds;Bluetooth Personal Area Network from TOSHIBA; C:\WINNT\system32\DRIVERS\tosrfnds.sys [2005-01-06 18612]
R3 Tosrfusb;Bluetooth USB Controller; C:\WINNT\System32\Drivers\tosrfusb.sys [2006-02-24 40192]
R3 usbehci;Microsoft USB 2.0 Enhanced Host Controller Miniport Driver; C:\WINNT\system32\DRIVERS\usbehci.sys [2008-04-14 30208]
R3 usbhub;Microsoft USB Standard Hub Driver; C:\WINNT\system32\DRIVERS\usbhub.sys [2008-04-14 59520]
R3 usbuhci;Microsoft USB Universal Host Controller Miniport Driver; C:\WINNT\system32\DRIVERS\usbuhci.sys [2008-04-14 20608]
R3 yukonwxp;NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller; C:\WINNT\system32\DRIVERS\yk51x86.sys [2006-07-06 248832]
S2 GhPostConfig_Auto;GhostPostConfig - Auto Phase Driver; C:\WINNT\System32\drivers\ghpcw2k.sys [2001-11-30 323132]
S3 hidusb;Microsoft HID Class Driver; C:\WINNT\system32\DRIVERS\hidusb.sys [2008-04-14 10368]
S3 sdbus;sdbus; C:\WINNT\system32\DRIVERS\sdbus.sys [2008-04-14 79232]
S3 toshidpt;TOSHIBA Bluetooth HID port driver; C:\WINNT\system32\drivers\Toshidpt.sys [2005-07-11 3712]
S3 TosRfSnd;Bluetooth Audio Device (WDM) from TOSHIBA; C:\WINNT\system32\drivers\TosRfSnd.sys [2006-03-15 52864]
S3 usbccgp;Microsoft USB Generic Parent Driver; C:\WINNT\system32\DRIVERS\usbccgp.sys [2008-04-14 32128]
S3 usbstor;USB Mass Storage Driver; C:\WINNT\system32\DRIVERS\USBSTOR.SYS [2008-04-14 26368]
S3 WacomPen;Wacom Serial Pen HID Driver; C:\WINNT\system32\DRIVERS\wacompen.sys [2008-04-14 14208]
S4 IntelIde;IntelIde; C:\WINNT\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 avg8emc;AVG8 E-mail Scanner; C:\PROGRA~1\AVG\AVG8\avgemc.exe [2009-08-03 908056]
R2 avg8wd;AVG8 WatchDog; C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2009-08-03 297752]
R2 CcmExec;SMS Agent Host; C:\WINNT\system32\CCM\CcmExec.exe [2008-05-20 757792]
R2 Digitizer;Digitizer Service; C:\WINNT\System32\digtizer.exe [2006-05-25 61440]
R2 DWMRCS;DameWare Mini Remote Control; C:\WINNT\SYSTEM32\DWRCS.EXE [2007-09-21 224768]
R2 Irmon;Infrared Monitor; C:\WINNT\system32\svchost.exe [2008-04-14 14336]
R2 MDM;Machine Debug Manager; C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE [2003-06-19 322120]
R2 NGClient;Symantec Ghost Client Agent; C:\Program Files\SYMANTEC\Ghost\NGCTW32.EXE [2001-12-01 651119]
R2 O2Flash;O2Micro Flash Memory; c:\WINNT\system32\o2flash.exe [2005-09-13 57344]
R2 UPHClean;User Profile Hive Cleanup; C:\Program Files\UPHClean\uphclean.exe [2005-04-27 241725]
S3 aspnet_state;ASP.NET State Service; C:\WINNT\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2007-04-13 33632]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; c:\WINNT\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2007-04-13 68952]
S3 IDriverT;InstallDriver Table Manager; c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 ose;Office Source Engine; C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 smstsmgr;SMS Task Sequence Agent; C:\WINNT\system32\CCM\TSManager.exe [2008-05-20 249888]

-----------------EOF-----------------

ComboFix 10-02-01.03 - Administrator 03.02.2010 15:38:53.1.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1033.18.502.106 [GMT 1:00]
Spuštěný z: d:\viry\ComboFix.exe
AV: AVG Anti-Virus Network Edition *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\documents and settings\LocalService\Local Settings\Temporary Internet Files\MonitorCZPC4247.txt
c:\recycler\S-1-5-21-1025242178-739029929-3715539927-500
c:\recycler\S-1-5-21-1123561945-1532298954-682003330-500
c:\recycler\S-1-5-21-1318349084-3313447800-1534066825-500
c:\recycler\S-1-5-21-1358533704-403329366-1388743316-1013
c:\recycler\S-1-5-21-1358533704-403329366-1388743316-500
c:\recycler\S-1-5-21-1423911342-3178320525-1505883084-500
c:\recycler\S-1-5-21-1650813451-846223025-3690162604-500
c:\recycler\S-1-5-21-2044124432-2149312963-3431289570-1017
c:\recycler\S-1-5-21-2044124432-2149312963-3431289570-500
c:\recycler\S-1-5-21-2908361171-1122694106-3939648705-500
c:\recycler\S-1-5-21-34915839-4166839922-1558940862-500
c:\recycler\S-1-5-21-3949584246-2705338030-4141315303-500
c:\recycler\S-1-5-21-4021209732-3153676439-653560707-500
c:\recycler\S-1-5-21-788586765-609871332-365876299-500
c:\recycler\S-1-5-21-907737133-143122706-2577468724-500
c:\winnt\unins000.dat
c:\winnt\unins000.exe

----- BITS: Možné infikované stránky -----

hxxp://CZBKS117.pilsner.europe.gcn.local:80
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-01-03 do 2010-02-03 )))))))))))))))))))))))))))))))
.

2010-02-03 14:51 . 2010-02-03 14:51 53248 ----a-w- c:\temp\catchme.dll
2010-02-03 14:48 . 2010-02-03 14:48 16384 ----atw- c:\temp\Perflib_Perfdata_aa4.dat
2010-02-03 14:44 . 2010-02-03 14:44 16384 ----atw- c:\temp\Perflib_Perfdata_11e0.dat
2010-02-03 13:20 . 2010-02-03 13:20 -------- d-----w- c:\program files\trend micro
2010-02-03 13:20 . 2010-02-03 13:50 -------- d-----w- C:\rsit
2010-02-03 07:36 . 2010-01-11 07:15 2066200 ----a-w- c:\documents and settings\All Users\Application Data\avg8\update\backup\avgcorex.dll
2010-02-03 07:18 . 2010-02-03 07:34 -------- d-----w- c:\temp\WER7927.dir00
2010-01-25 15:04 . 2010-01-25 15:04 -------- d-----w- c:\documents and settings\df03czbk\Local Settings\Application Data\Adobe
2010-01-13 08:04 . 2010-01-13 08:04 43040 ----a-w- c:\documents and settings\df03czbk\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-01-12 13:25 . 2010-02-03 13:16 -------- d-----w- c:\temp\hsperfdata_df03czbk

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-03 14:17 . 2008-07-11 09:50 -------- d-----w- c:\program files\VNCPP
2010-01-18 14:49 . 2008-07-11 09:43 -------- d-----w- c:\program files\PowerArchiver
2010-01-14 09:24 . 2009-08-05 10:58 335836 ----a-w- c:\winnt\system32\Saris.scr
2010-01-12 12:57 . 2010-01-12 12:55 131 ----a-w- c:\documents and settings\df03czbk\Local Settings\Application Data\fusioncache.dat
2009-12-22 05:21 . 2004-08-04 12:00 667136 ----a-w- c:\winnt\system32\wininet.dll
2009-12-22 05:20 . 2004-08-04 12:00 81920 ----a-w- c:\winnt\system32\ieencode.dll
2009-12-08 07:30 . 2009-12-08 07:30 -------- d-----w- c:\program files\Common Files\Freedom Scientific
2009-12-08 07:30 . 2007-03-13 14:50 -------- d-----w- c:\program files\Common Files\soft602
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATSwpNav"="c:\program files\Fingerprint Sensor\ATSwpNav -run" [X]
"TabletWizard"="c:\winnt\help\SplshWrp.exe" [2008-04-14 16384]
"TabletTip"="c:\program files\Common Files\microsoft shared\ink\tabtip.exe" [2008-04-14 271872]
"igfxhkcmd"="c:\winnt\system32\hkcmd.exe" [2005-11-03 77824]
"igfxpers"="c:\winnt\system32\igfxpers.exe" [2005-11-03 118784]
"IndicatorUtility"="c:\program files\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2006-04-20 90112]
"FjStrtAp"="c:\program files\Fujitsu\Utils\FjStrtAp.exe" [2006-05-05 20480]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 89541]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2005-05-18 188416]
"NGClient"="c:\program files\SYMANTEC\Ghost\ngctw32.exe" [2001-12-01 651119]
"SSRPM Enrollment Wizard"="c:\program files\Tools4ever\SSRPM\Enrollment Wizard\SSRPMEnroll.exe" [2008-03-31 605184]
"SunJavaUpdateSched"="c:\program files\Java\j2re1.4.2_10\bin\jusched.exe" [2005-10-10 32881]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-12-15 2043160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winnt\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Reader\reader_sl.exe [2005-9-24 29696]
Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2006-4-7 1773568]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ToggleCommentPosition"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-08-03 06:28 11952 ----a-w- c:\winnt\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\loginkey]
2008-04-14 04:41 47104 ----a-w- c:\program files\Common Files\Microsoft Shared\Ink\loginkey.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TabBtnWL]
2002-08-29 02:41 11776 ----a-w- c:\winnt\system32\tabbtnwl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpgwlnotify]
2008-04-14 04:42 32256 ----a-w- c:\winnt\system32\tpgwlnot.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6129:TCP"= 6129:TCP:DameWare Mini Remote Control Service

R0 AvgRkx86;avgrkx86.sys;c:\winnt\system32\drivers\avgrkx86.sys [9.1.2009 9:25 12552]
R0 O2MDRDR;O2MDRDR;c:\winnt\system32\drivers\o2media.sys [28.4.2006 18:16 36768]
R0 O2SDRDR;O2SDRDR;c:\winnt\system32\drivers\o2sd.sys [27.4.2006 13:30 28544]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\winnt\system32\drivers\avgldx86.sys [9.1.2009 9:25 335240]
R1 AvgTdiX;AVG8 Network Redirector;c:\winnt\system32\drivers\avgtdix.sys [9.1.2009 9:25 108552]
R1 dwvkbd;DameWare Virtual Keyboard 32 bit Driver;c:\winnt\system32\drivers\dwvkbd.sys [15.2.2007 19:00 26624]
R2 avg8emc;AVG8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [9.1.2009 9:25 908056]
R2 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [9.1.2009 9:25 297752]
R2 NGClient;Symantec Ghost Client Agent;c:\program files\SYMANTEC\Ghost\ngctw32.exe [11.7.2008 9:52 651119]
R3 DwMirror;DwMirror;c:\winnt\system32\drivers\DamewareMini.sys [7.2.2007 19:00 2944]
R3 Fjbtndrv;Fujitsu Button Driver;c:\winnt\system32\drivers\FjBtnDrv.sys [13.3.2007 14:24 17920]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%;c:\winnt\system32\drivers\FUJ02E1.sys [18.10.2004 15:08 5632]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;c:\winnt\system32\drivers\fuj02e3.sys [17.1.2004 21:15 4864]
R3 GTEDGWModem;Option NV GTEDGWModem;c:\winnt\system32\drivers\GTEDG.sys [29.9.2004 8:07 107904]
R3 GTEDGWWNIC;Option NV GTEDGWWNIC;c:\winnt\system32\drivers\GTEDGNet.sys [29.9.2004 8:07 52864]
R3 hidpen;Wacom Serial Pen HID MiniDriver;c:\winnt\system32\drivers\hidpen.sys [13.3.2007 14:46 30976]
R3 OptionWWSC;GT EDGE SIM Card Reader;c:\winnt\system32\drivers\GTEDGSC.sys [29.9.2004 8:07 21888]
R3 OZSCR;O2Micro SmartCardBus Smartcard Reader;c:\winnt\system32\drivers\ozscr.sys [8.3.2006 7:44 92550]
S0 GhPostConfig;Ghost Post-Configuration Driver;c:\winnt\system32\drivers\ghpcw2k.sys [11.7.2008 9:52 323132]
S2 GhPostConfig_Auto;GhostPostConfig - Auto Phase Driver;c:\winnt\system32\drivers\ghpcw2k.sys [11.7.2008 9:52 323132]
S3 WacomPen;Wacom Serial Pen HID Driver;c:\winnt\system32\drivers\wacompen.sys [13.3.2007 15:11 14208]

--- Ostatní služby/ovladače v paměti ---

*Deregistered* - uphcleanhlp
.
.
------- Doplňkový sken -------
.
uStart Page = about:blank
uInternet Settings,ProxyServer = czpls020:8080
uInternet Settings,ProxyOverride = <local>
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
Trusted Zone: czpls106
Trusted Zone: czpls114
Trusted Zone: czpls132
Trusted Zone: czpls141
Trusted Zone: gcn.local\czpls119.pilsner.europe
Trusted Zone: gcn.local\CZPLS121.pilsner.europe
Trusted Zone: gcn.local\czpls408.pilsner.europe
Trusted Zone: gcn.local\CZPLS608.pilsner.europe
Trusted Zone: gcn.local\gesws400.pilsner.europe
Trusted Zone: gcn.local\gesws600.pilsner.europe
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

AddRemove-Mobilis Administrator Req._is1 - c:\winnt\unins000.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-03 15:51
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(1412)
c:\winnt\system32\SSRPMGINA.dll
c:\program files\SYMANTEC\Ghost\ginastub.dll

- - - - - - - > 'explorer.exe'(5060)
c:\program files\windows journal\nbmaptip.dll
c:\winnt\IME\SPGRMR.DLL
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\winnt\System32\SCardSvr.exe
c:\winnt\System32\digtizer.exe
c:\winnt\SYSTEM32\DWRCS.EXE
c:\winnt\system32\igfxext.exe
c:\winnt\system32\igfxsrvc.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\winnt\system32\o2flash.exe
c:\program files\UPHClean\uphclean.exe
c:\winnt\system32\CCM\CcmExec.exe
c:\progra~1\AVG\AVG8\avgam.exe
c:\program files\AVG\AVG8\avgcsrvx.exe
c:\program files\AVG\AVG8\avgcsrvx.exe
c:\winnt\system32\msiexec.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\program files\Common Files\Microsoft Shared\Ink\KeyboardSurrogate.exe
c:\winnt\SYSTEM32\WISPTIS.EXE
c:\winnt\SYSTEM32\DWRCST.exe
c:\winnt\System32\tabbtnu.exe
c:\program files\Common Files\Microsoft Shared\Ink\TCServer.exe
c:\program files\Fingerprint Sensor\ATSwpNav.exe
c:\winnt\AGRSMMSG.exe
c:\winnt\system32\igfxsrvc.exe
c:\program files\Fujitsu\Utils\FjDspMon.exe
c:\program files\Fujitsu\Utils\fjevents.exe
c:\winnt\system32\igfxext.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
c:\program files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
.
**************************************************************************
.
Celkový čas: 2010-02-03 15:56:20 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-02-03 14:56

Před spuštěním: 1 540 333 568 bytes free
Po spuštění: 1 515 556 864

- - End Of File - - 44A442817A5D4438D732E179A3BE632D

Koukám, že většina informací, co jsem sepsal se nezobrazila.
Jde o to, že různá PC na síti se snaží prolomit hesla. Podle logů z DC dokážu takové PC identifikovat a Combofixem proskenovat. Pak již toto PC neútočí. Ale po objeví se jiné. Těmto problémům předcházelo prolomení FW do sítě. AVG ani NOD nic na PC nenajdou. Z RSITu se mi zdá, že je vše OK. V logu z Combofixu taky. Již s tímto bojuji 3tí den, zatím bez úspěchu. Zkouší to i neexistující účty.
Může se někdo zkušenější podívat na ty logy?

Hezké odpoledne

Kolik máte pc v síti? Měli by se postupně odvirovat a ty čisté zatím nepřipojovat k síti, aby se nenakazily. Také po odvirování zěmňte všechna hesla.
Zde ještě použijte mbam a pak napište, jak to s tímto počítačem vypadá. Postupně bychom pročistily ostatní

Stahněte MBAM z mého podpisu
-Nainstalujte,dejte úplný sken

NIC NEMAZAT

-MBAM má občas falešné detekce,proto budeme mazat až po kontrole logu.
-Log zkopírujte sem.

Používáte flešky mezi pc v síti, externí disky?

Otestujte na www.virustotal.com
c:\winnt\system32\Saris.scr

Tyto stránky znáte?
rusted Zone: gcn.local\czpls119.pilsner.europe

Kolik máme PC v síti? Přesně nevím, cca 2500.

Ano používáme.

Nepřipojovat je do sítě není možné. A hlavně, jsme geograficky rozlezlý, počet PC patří jen naší doméně, která je součástí doménového lesa, takže celkem počet neumím odhadnout, ale pár desítek tisíc to bude

Mbam zkusím, zítra na nějakém postiženém PC. Plus tedy pošlu i všechny logy, jeli třeba.

Ten screensaver je čistý.
Server CZBVS119 je sccm server pro lokalitu Brno.

Děkuji moc za radu. Forum podpořím, neb pokud se povede, ušetří to dost peněz

Jo a ten Combofix byl nutnost. Zatím mám jen jednu recidivu a to na stanici, která má lokálního administrátora osm jedniček. Teda měla, náprava již proběhla.

Tak to se omlouvám, myslela jsem že jde o pár počítačů

.
Předpokládám že z combofixem umíte zacházet.
U pc, kde jste používal combofix, nevšiml jste si stejných souborů, které mazal?
Podle množství složek c:\recycler bych řekla, že pachatel mohl být právě v těchto složkách.
Mrkněte na logy, jestli combofix mazal složky Recycler.

Omlouvám se, že až teď odpovídám. Stejné soubory maže a to
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
což jsou soubory pro BITS, porovnával jsem je s nenakaženým PC a nejsou stejné. Dál jsem se tedy zaměřil na tyto soubory, pomocí scriptu jsem je smazal na všech PC. Vytvoří se sice znovu, ale již korektní. Dále jsem odstanil složky recycler, od té doby se nic dalšího neobjevilo.

MBAM nic nenašel.
TAKŽE strašně moc děkuji za nakopnutí správným směrem. Pokud pojedete do Plzně, jedna nejmenovaná společnost vyrábějící pivo Vás ráda obdaruje......

Myslím, že je to již podruhé, co jste mi pomohla. Veliký dík.
Jan Lukáš

Pozor, recycler se šíří přes flešky. Ale recycler je i systémový koš

. Pokud ho smažete, vytvoří se znovu.
Není zač, pokud by se objevili problémy, ozvěte se

.
A děkuju, ale cestu do Plzně nemám

VIRY.CZ

Problém s pokusy o prolomení hesla

Problém s pokusy o prolomení hesla

Re: Problém s pokusy o prolomení hesla

Re: Problém s pokusy o prolomení hesla

Re: Problém s pokusy o prolomení hesla

Re: Problém s pokusy o prolomení hesla

Re: Problém s pokusy o prolomení hesla

Re: Problém s pokusy o prolomení hesla

Re: Problém s pokusy o prolomení hesla