Pomale otevirani adresaru - perfdisk.dll

[matthew72]

Asi jsem se ukliknul a nevim co jsem to poslal. wfytgwpp.sys v PC nemam!!

- bqdcqimy.sys je tady:

http://www.virustotal.com/cs/analisis/3 ... 1264422287

Pred chvili mi hlasil muj provider, ze :
Přistup k internetu je dočasně zablokován
Váš počítač je pravděpodobně napaden virem, který blokuje přístup k internetu ...Typ útoku synflood

Museli to rucne odblokovat. Nemuze to byt v souvislosti s nasim testovanim?

[Reklama]

[Damned]

Jestli až tak mapují tvé připojení,tak bych je vyměnil, zeptej se jich, jak se jim líbí tvé maily! Pochopil bych to, kdyby to trvalo déle a ne pár vteřin odesílání na VT.

Vypni rezidentní štít antiviru - vypni Kasperskyho celého!(pokud máš tak i antispyware).
Stáhni si ComboFix (by sUBs)
nebo ComboFix (subs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna.

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna [b]Notepad a dej Ok).
Zkopíruj do něj následující celý text označený zeleně:

File::
C:\WINNT\System32\drivers\bqdcqimy.sys
C:\WINNT\System32\drivers\wfytgwpp.sys

Driver::
bqdcqimy
wfytgwpp

Rootkit::
bqdcqimy
wfytgwpp



Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.


Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.


- Automaticky se spustí ComboFix, oprava může trvat i déle než 10 minut. ! Nech ComboFix dokončit svou práci !
- Vlož sem log, který vyběhne v závěru čistícího procesu

[matthew72]

ComboFix 10-01-24.05 - Martin 25.01.2010 15:05:28.4.1 - x86
Microsoft Windows 2000 Professional 5.0.2195.4.1250.420.1029.18.2047.1535 [GMT 1:00]
Spuštěný z: c:\documents and settings\Martin\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Martin\Plocha\CFScript.txt

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
"c:\winnt\System32\drivers\bqdcqimy.sys"
"c:\winnt\System32\drivers\wfytgwpp.sys"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\System32\drivers\bqdcqimy.sys

.
((((((((((((((((((((((((( Soubory vytvořené od 2009-12-25 do 2010-01-25 )))))))))))))))))))))))))))))))
.

2010-01-25 14:04 . 2010-01-25 14:04 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_3d4.dat
2010-01-15 12:26 . 2010-01-15 15:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-15 10:52 . 2010-01-15 11:23 -------- d-----w- c:\documents and settings\Martin\DoctorWeb
2010-01-15 08:40 . 2010-01-15 14:29 -------- d-----w- c:\program files\trend micro
2010-01-15 07:35 . 2008-07-17 06:40 107264 ----a-r- c:\winnt\system32\drivers\Rtnic.sys
2010-01-15 07:20 . 2010-01-15 07:20 -------- d-----w- c:\winnt\OPTIONS
2010-01-15 07:20 . 2010-01-15 07:20 -------- d-----w- c:\program files\Realtek
2010-01-15 07:18 . 2008-07-16 14:35 9728 ----a-r- c:\winnt\system32\RtNicProp32.dll
2009-12-29 12:37 . 2009-12-29 12:37 -------- d-----w- c:\winnt\system32\TVUAx

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-25 12:21 . 2010-01-25 12:21 16384 ----atw- c:\winnt\system32\Perflib_Perfdata_278.dat
2010-01-22 09:02 . 2004-06-17 15:03 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-15 10:30 . 2009-06-05 08:32 -------- d-----w- c:\program files\Lavasoft
2010-01-15 07:20 . 2004-06-17 15:03 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-14 09:40 . 2008-10-24 06:11 -------- d-----w- c:\program files\Google
2010-01-14 09:19 . 2004-09-06 14:48 -------- d-----w- c:\program files\Seznam DVD
2010-01-14 09:19 . 2008-03-17 07:26 -------- d-----w- c:\program files\QIP
2010-01-14 09:16 . 2004-07-03 18:47 -------- d-----w- c:\program files\Hewlett-Packard
2010-01-14 09:14 . 2006-03-20 12:14 -------- d-----w- c:\program files\Axis Communications
2010-01-14 09:14 . 2007-09-26 08:06 -------- d-----w- c:\program files\BitTorrent
2010-01-13 16:01 . 2009-11-19 13:56 -------- d---a-w- c:\program files\JDownloader
2010-01-13 12:44 . 2006-06-07 12:07 -------- d-----w- c:\program files\QuickTime
2009-12-23 11:05 . 2008-08-19 12:22 -------- d-----w- c:\program files\Kapesní slovník
2009-12-23 11:05 . 2009-12-23 10:06 -------- d-----w- c:\program files\HQ ONLINE TV
2009-12-22 08:41 . 2009-05-29 09:20 360584 ----a-w- c:\winnt\system32\drivers\avgtdix.sys
2009-12-22 08:41 . 2009-05-29 09:20 12464 ----a-w- c:\winnt\system32\avgrsstx.dll
2009-12-22 08:41 . 2006-10-12 14:11 28424 ----a-w- c:\winnt\system32\drivers\avgmfx86.sys
2009-12-22 08:41 . 2009-05-29 09:20 333192 ----a-w- c:\winnt\system32\drivers\avgldx86.sys
2009-12-22 08:41 . 2009-05-29 09:20 161800 ----a-w- c:\winnt\system32\drivers\avgrkx86.sys
2009-12-22 08:06 . 2009-05-29 09:20 -------- d-----w- c:\program files\AVG
2009-12-16 16:02 . 2009-12-16 16:02 579072 ----a-w- c:\winnt\system32\WININET.DLL
2009-12-16 13:46 . 2009-12-16 13:46 -------- d-----w- c:\program files\ZAV1
2009-12-15 10:10 . 2009-12-15 10:10 -------- d-----w- c:\program files\PowerISO
2009-12-11 09:20 . 2009-12-11 09:20 -------- d-----w- c:\program files\TeamViewer
2009-11-20 07:04 . 2009-11-20 07:04 288528 ----a-w- c:\winnt\AppPatch\aclayers.dll
2009-11-19 13:56 . 2009-11-19 13:56 411368 ----a-w- c:\winnt\system32\deploytk.dll
2004-06-17 14:54 . 2004-06-17 14:54 22034 ---h--w- c:\program files\folder.htt
.

------- Sigcheck -------

[-] 2003-02-01 10:09 . 9E1381B2DE2A23F8E4C22E814D55F475 . 52224 . . [9.0.1.56] . . c:\winnt\system32\mspmsnsv.dll
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [2002-08-26 20752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [2003-06-19 111888]
"PtiuPbmd"="Ptipbm.dll" [2003-01-21 98304]
"NvCplDaemon"="c:\winnt\system32\NvCpl.dll" [2008-05-26 8523776]
"nwiz"="nwiz.exe" [2008-05-26 1630208]
"HPDJ Taskbar Utility"="c:\winnt\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-09-01 176128]
"NvMediaCenter"="c:\winnt\system32\NvMcTray.dll" [2008-05-26 81920]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2009-12-23 2033432]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [2003-06-19 188688]
"ICQ Lite"="c:\progra~1\ICQLite\ICQLite.exe" [2006-05-07 3139164]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ActiveSync]
2006-11-13 14:49 16168 ----a-w- c:\winnt\system32\WcesWlgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-12-22 08:41 12464 ----a-w- c:\winnt\system32\avgrsstx.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Nabídka Start^Programy^Po spuštění^BTTray.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\BTTray.lnk
backup=c:\winnt\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Martin^Nabídka Start^Programy^Po spuštění^PowerReg Scheduler V3.exe]
path=c:\documents and settings\Martin\Nabídka Start\Programy\Po spuštění\PowerReg Scheduler V3.exe
backup=c:\winnt\pss\PowerReg Scheduler V3.exeStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Martin^Nabídka Start^Programy^Po spuštění^Svátky a narozeniny.lnk]
path=c:\documents and settings\Martin\Nabídka Start\Programy\Po spuštění\Svátky a narozeniny.lnk
backup=c:\winnt\pss\Svátky a narozeniny.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2009-12-11 14:57 948672 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2009-12-22 00:57 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
2003-02-06 23:03 114741 ----a-w- c:\winnt\system32\dla\tfswctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
2006-05-07 16:49 3139164 ----a-w- c:\program files\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
2001-07-09 09:50 155648 ----a-r- c:\winnt\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
2007-08-07 00:05 200704 ----a-w- c:\program files\PowerISO\PWRISOVM.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2006-06-07 12:10 98304 ----a-w- c:\program files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2003-10-31 18:42 32768 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-10-09 12:11 25623336 ----a-r- c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2003-12-13 00:50 33792 ----a-w- c:\program files\Winamp\winampa.exe

R0 AvgRkx86;avgrkx86.sys;c:\winnt\system32\drivers\avgrkx86.sys [29.5.2009 10:20 161800]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\winnt\system32\drivers\avgldx86.sys [29.5.2009 10:20 333192]
R1 AvgTdiX;AVG8 Network Redirector;c:\winnt\system32\drivers\avgtdix.sys [29.5.2009 10:20 360584]
R2 avg9emc;AVG E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [22.12.2009 9:41 906520]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [22.12.2009 9:41 285392]
R2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [8.12.2009 11:46 185640]
R3 NtApm;Ovladač rozhraní služby NT Apm/Legacy;c:\winnt\system32\drivers\NtApm.sys [17.6.2004 16:47 9136]
R3 usbhub20;Podpora rozbočovače sběrnice USB;c:\winnt\system32\drivers\usbhub20.sys [17.6.2004 16:46 49776]
S0 Lbd;Lbd;c:\winnt\system32\DRIVERS\Lbd.sys --> c:\winnt\system32\DRIVERS\Lbd.sys [?]
S2 I-DEAS 9 Open I-DEAS Server;I-DEAS 9 Open I-DEAS Server;i:\ideas\ms9\Iona\bin\orbixd.exe -b --> i:\ideas\ms9\Iona\bin\orbixd.exe -b [?]
S2 I-DEAS License Manager 9.0;I-DEAS License Manager 9.0;i:\ideas\ms9\sec\lmgrd.exe --> i:\ideas\ms9\sec\lmgrd.exe [?]
S3 usb_rndisy;USB RNDIS Adapter;c:\winnt\system32\drivers\usb8023y.sys [8.3.2006 8:57 14336]
S3 yukonw2k;NDIS5 Miniport Driver for Marvell Yukon Ethernet Controller;c:\winnt\system32\drivers\yk50x86.sys [9.11.2007 10:31 243712]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
uInternet Settings,ProxyServer = proxy.amtek.cz:3128
uInternet Settings,ProxyOverride = <local>
IE: &ICQ Toolbar Search - c:\program files\ICQToolbar\toolbaru.dll/SEARCH.HTML
LSP: %SystemRoot%\system32\msafd.dll
DPF: {1F831FA2-42FC-11D4-95A6-0080AD30DCE1} - file://c:\program files\AutoCAD 2002 Cz\InstFred.ocx
DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} - hxxp://picasaweb.google.cz/s/v/58.10/uploader2.cab
DPF: {4ADC518E-B607-11D4-B395-0001020F4519} - hxxps://ib24.csob.cz/Comp/signer.cab
DPF: {AE563723-B4F5-11D4-A415-00108302FDFD} - file://c:\program files\AutoCAD 2002 Cz\InstBanr.ocx
FF - ProfilePath - c:\documents and settings\Martin\Data aplikací\Mozilla\Firefox\Profiles\3w1nst7t.default\
FF - prefs.js: browser.startup.homepage - www.seznam.cz

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-25 15:09
Windows 5.0.2195 Service Pack 4 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(240)
c:\winnt\system32\iphlpapi.dll
c:\winnt\system32\MPRAPI.dll
c:\winnt\system32\DHCPCSVC.DLL
c:\winnt\system32\wzcdlg.dll
c:\winnt\system32\WZCSAPI.DLL
.
Celkový čas: 2010-01-25 15:10:57
ComboFix-quarantined-files.txt 2010-01-25 14:10

Před spuštěním: 8 650 358 784
Po spuštění: 8 624 087 040

- - End Of File - - B8C0DDF4BC68B8AF9D66F5D824ED33BF

[Damned]

Aktualizuj Dr. Weba, spusť úplný sken a pak mi řekni co našel.

[matthew72]

Jel desne dlouho a nenasel nic, jen hlasil trojana v T-Cleaner. Pripojovani je ale porad pomale.....:-(

[matthew72]

Takze je opravdu cas na to kladivo?