Sukoku

Damned · Příspěvekod **Damned** » 30 zář 2009 19:26

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok).
Zkopíruj do něj následující celý text označený zeleně:

File::
d:\NTGLM7X.sys

Folder::
C:\_OTL
c:\program files\NOS

Driver::
SetupNTGLM7X;SetupNTGLM7X
SetupNTGLM7X
LVPrcInj01
catchme

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000000

RegNull::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe
a když se oba soubory překryjí, skript upusť.

- Automaticky se spustí ComboFix, oprava může trvat i déle než 10 minut. ! Nech ComboFix dokončit svou práci !
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT a popiš chování počítače
*****************************************************************************************************************************************
Červený soubor zkontroluj na Virustotalu a vlož sem odkaz na výsledek.
Pokud ho nenajdeš, dej si zobrazit skryté a systémové soubory. Pokud ti nabídne, že soubor už kontroloval,
nech ho zkontrolovat znovu, a počkej až se objeví "Dokončeno" a výsledek.Potom sem zkopíruj adresní řádek.
C:\WINDOWS\system32\inetsrv\inetinfo.exe

Reklama

atman · Příspěvekod **atman** » 01 říj 2009 11:43

Zdravím, včera se mi bohužel podařilo přehlédnout 2. stranu, tak že jestli je možné ještě pokračovat, tak tady jsou logy z ComboFixu a Hijackthisu a zkusím provést zbytek včerejší instrukce.....

ComboFix 09-09-30.05 - pk 01.10.2009 11:15.2.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.2047.1347 [GMT 2:00]
Spuštěný z: c:\documents and settings\pk\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\pk\Plocha\CFScript.txt
AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}

FILE ::
"d:\NTGLM7X.sys"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_OTL
c:\_otl\MovedFiles\09302009_095938.log
c:\program files\NOS
c:\windows\TEMP\logishrd\LVPrcInj01.dll

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CATCHME
-------\Legacy_SETUPNTGLM7X
-------\Service_catchme
-------\Service_SetupNTGLM7X

((((((((((((((((((((((((( Soubory vytvořené od 2009-09-01 do 2009-10-01 )))))))))))))))))))))))))))))))
.

2009-09-30 14:02 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-30 14:02 . 2009-09-30 14:42 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-09-30 14:02 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-30 13:06 . 2009-09-30 13:07 -------- d-----w- c:\program files\Malwarebytes
2009-09-30 12:11 . 2009-09-30 12:11 -------- d-----w- c:\program files\Trend Micro
2009-09-18 10:22 . 2009-09-18 10:22 -------- d-----w- c:\documents and settings\P ja\Data aplikacˇ
2009-09-18 10:22 . 2009-09-18 10:22 -------- d-----w- c:\documents and settings\P ja
2009-09-14 19:57 . 2009-06-21 21:48 153088 -c----w- c:\windows\system32\dllcache\triedit.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-01 09:26 . 2006-09-10 16:33 -------- d-----w- c:\program files\Symantec AntiVirus
2009-10-01 09:07 . 2007-11-17 13:52 -------- d-----w- c:\program files\Spyware Terminator
2009-09-30 17:16 . 2008-10-05 20:47 -------- d-----w- c:\program files\AmiBroker5
2009-09-30 13:17 . 2008-12-29 23:51 -------- d-----w- c:\program files\Domaci ucetnictvi
2009-09-30 13:13 . 2007-12-26 23:52 -------- d-----w- c:\program files\Logitech
2009-09-30 12:21 . 2009-09-30 12:21 12349 ----a-w- c:\program files\hijackthis.log
2009-09-12 20:09 . 2007-11-17 23:51 -------- d-----w- c:\program files\Google
2009-09-06 11:04 . 2006-04-20 09:32 -------- d-----w- c:\program files\Common Files\Adobe
2009-08-30 21:21 . 2009-08-30 21:21 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-08-12 09:04 . 2009-08-12 09:04 -------- d-----w- c:\program files\Midnight Racing
2009-08-05 09:01 . 2004-08-18 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 21:08 . 2009-08-04 21:08 -------- d-----w- c:\program files\Team17
2009-08-03 18:17 . 2006-11-12 22:03 215872 ----a-w- c:\windows\system32\drivers\truecrypt.sys
2009-08-03 18:15 . 2009-08-03 18:15 -------- d-----w- c:\program files\Posudky LPS
2009-08-03 18:15 . 2006-11-12 22:02 249856 ------w- c:\windows\Setup1.exe
2009-08-03 18:15 . 2006-11-12 22:02 73216 ----a-w- c:\windows\ST6UNST.EXE
2009-07-21 12:28 . 2009-07-21 12:28 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-07-17 19:04 . 2004-08-18 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 08:08 . 2004-08-18 12:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll
2009-04-15 20:04 . 2009-04-15 20:04 2130056 ----a-w- c:\program files\HfAsistentSetup.exe
2008-10-27 22:04 . 2008-10-27 22:04 5109211 ----a-w- c:\program files\jahoca-1.1.0.zip
2008-10-27 21:59 . 2008-10-27 21:59 203806 ----a-w- c:\program files\ucet.exe
2008-10-06 20:38 . 2008-10-06 20:38 4379384 ----a-w- c:\program files\AmiBroker500cz.exe
2008-10-05 19:43 . 2008-10-05 19:43 15878900 ----a-w- c:\program files\AB02-charting.wmv
2008-08-11 21:23 . 2008-08-11 21:22 11649024 ----a-w- c:\program files\t.pokor2.avi
2008-08-11 21:22 . 2008-08-11 21:22 8534016 ----a-w- c:\program files\t.pokor1.avi
2008-08-11 21:21 . 2008-08-11 21:20 19656482 ----a-w- c:\program files\Helena_af_Sandeberg_-Kim_Novak_badade_aldrig_i_Genesarets_sjoe.avi
2008-08-11 21:12 . 2008-08-11 21:12 5707792 ----a-w- c:\program files\Alessandra_Martines-Hasards_ou_co_ncidences.avi
2008-08-03 20:22 . 2008-08-03 20:22 3915395 ----a-w- c:\program files\divinechivalry.zip
2008-08-03 16:16 . 2008-08-03 16:15 72712192 ----a-w- c:\program files\jmoronic949-EcheguiVeronica02.avi
2008-08-03 15:43 . 2008-08-03 15:41 27839370 ----a-w- c:\program files\BrychKul.zip
2008-07-29 15:11 . 2008-07-29 15:11 1557364 ----a-w- c:\program files\A-Train.zip
2008-04-11 21:47 . 2008-04-11 21:47 4798134 ----a-w- c:\program files\typhoon_2001_r3992_install.exe
2008-03-28 23:21 . 2008-03-28 23:21 9936960 ----a-w- c:\program files\AB01-borco.wmv
2008-03-28 20:30 . 2008-03-28 20:29 1454656 ----a-w- c:\program files\Silverlight.exe
2008-03-28 20:27 . 2008-03-28 20:27 228424 ----a-w- c:\program files\ninja.exe
2008-03-19 10:22 . 2008-03-19 10:22 14773280 ----a-w- c:\program files\IE7-WindowsXP-x86-csy.exe
2008-03-19 10:19 . 2008-03-19 10:19 5838136 ----a-w- c:\program files\Firefox Setup 2.0.0.10.exe
2008-03-19 10:16 . 2008-03-19 10:16 6668456 ----a-w- c:\program files\Opera_9.26_International_Setup.exe
2008-02-20 21:39 . 2008-02-20 21:39 651896 ----a-w- c:\program files\Metacafe4Windows.exe
2008-02-20 20:34 . 2007-11-21 18:25 3552756 ----a-w- c:\program files\wd4setup.zip
2007-12-29 20:40 . 2007-12-29 20:40 559245 ----a-w- c:\program files\winampfull5511763cz.zip
2007-12-29 20:37 . 2007-12-29 20:37 595281 ----a-w- c:\program files\winampfull5501640cz.zip
2007-12-29 20:33 . 2007-12-29 20:33 563269 ----a-w- c:\program files\winamp5093fullpluginskincz.zip
2007-12-29 20:23 . 2007-12-29 20:23 8759168 ----a-w- c:\program files\winamp551_full_emusic-7plus_en-us.exe
2007-12-29 20:16 . 2007-12-29 20:16 765432 ----a-w- c:\program files\DVDShrink32015_CZ.zip
2007-12-29 20:14 . 2007-12-29 20:14 1094021 ----a-w- c:\program files\dvdshrink32setup.zip
2007-12-27 10:21 . 2007-12-27 10:18 22595368 ----a-w- c:\program files\SkypeSetup.exe
2007-12-02 19:17 . 2007-12-02 19:16 13413048 ----a-w- c:\program files\Google_Earth_BZXV.exe
2007-11-22 11:26 . 2007-11-21 21:25 4083130 ----a-w- c:\program files\AmiBroker480cz.exe
2007-11-22 11:16 . 2007-11-22 11:16 5414721 ----a-w- c:\program files\Amibroker_4[1].70.3_And_Crack_-_Working.zip
2006-07-11 23:22 . 2006-07-11 23:22 5814967 ----a-w- c:\program files\Jazzjackrabit.exe
.

((((((((((((((((((((((((((((( SnapShot@2009-09-30_16.13.22 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-10-01 09:26 . 2009-10-01 09:26 16384 c:\windows\temp\Perflib_Perfdata_1c0.dat
+ 2009-08-28 13:50 . 2009-10-01 09:26 225473 c:\windows\system32\inetsrv\MetaBase.bin
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-12-03 1205760]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2005-10-04 48752]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2005-11-15 85744]
"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016]
"SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-05-01 1817600]
"WinFastDTV"="c:\program files\WinFast\WFDTV\DTVSchdl.exe" [2007-10-09 90112]
"WinFast Schedule"="c:\program files\WinFast\WFDTV\WFWIZ.exe" [2007-10-01 413696]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2008-12-20 2656528]
"Start WingMan Profiler"="c:\program files\Logitech\Gaming Software\LWEMon.exe" [2009-01-21 92168]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2008-12-09 18063872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\pk\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

c:\documents and settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]
InterVideo WinCinema Manager.lnk - c:\program files\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-1-2 114688]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
Rychl‚ spuçtŘnˇ aplikace HP Image Zone.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-5-12 73728]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprestrt

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"c:\\Program Files\\Sierra\\Empire Earth\\Empire Earth.exe"=
"c:\\Program Files\\Sierra\\Empire Earth - The Art of Conquest\\EE-AOC.exe"=
"c:\\Program Files\\Firefly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\BitLord\\BitLord.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Games\\worms_2_resk0\\Worms_2\\Worms 2\\START.EXE"=
"c:\\Program Files\\Team17\\Worms 2\\Frontend.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [17.11.2007 15:53 141312]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [28.8.2009 13:05 102448]
R3 NmPar;PCI Parallel Port;c:\windows\system32\drivers\NmPar.sys [24.12.2008 5:40 80256]
R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [23.10.2007 21:58 9446]
S2 WF23880;WinFast TV2000/DV2000 WDM Video Capture.;c:\windows\system32\drivers\wf88vcap.sys [23.4.2006 19:18 193792]
S2 WF88XBAR;WinFast TV2000/DV2000 WDM Crossbar.;c:\windows\system32\drivers\WF88XBAR.sys [23.4.2006 19:18 9600]
S2 WFTUNE;WinFast TV2000/DV2000 WDM Tuner.;c:\windows\system32\drivers\wf88tune.sys [23.4.2006 19:19 37120]
S3 ASNDIS5;ASNDIS5 Protocol Driver;c:\windows\system32\ASNDIS5.sys [1.1.2003 14:33 16269]
S3 SavRoam;SAVRoam;c:\program files\Symantec AntiVirus\SavRoam.exe [15.11.2005 13:27 169200]
S3 W8100XP;Marvell Libertas 802.11b/g SoftAP Driver for Windows XP ;c:\windows\system32\drivers\mrv8ka51.sys [1.1.2003 14:33 258560]
.
.
------- Doplňkový sken -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.seznam.cz/
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
TCP: {97238F05-48FB-44FB-8453-458641A19D4D} = 208.67.222.222,208.67.220.220
TCP: {F2542C4A-A004-440D-B8C0-9D893DDB3DB1} = 208.67.222.222,208.67.220.220
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} -
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-01 11:26
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Common Files\Symantec Shared\ccSetMgr.exe
c:\program files\Symantec AntiVirus\DefWatch.exe
c:\windows\system32\inetsrv\inetinfo.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\Common Files\Microsoft Shared\VS7Debug\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\program files\Spyware Terminator\sp_rsser.exe
c:\program files\Symantec AntiVirus\Rtvscan.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\program files\Common Files\Symantec Shared\ccEvtMgr.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\program files\Common Files\LogiShrd\LQCVFX\COCIManager.exe
c:\program files\HP\Digital Imaging\bin\hpqimzone.exe
c:\program files\PC Connectivity Solution\ServiceLayer.exe
c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe
c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe
c:\program files\HP\Digital Imaging\bin\hpqste08.exe
.
**************************************************************************
.
Celkový čas: 2009-10-01 11:34 - počítač byl restartován
ComboFix-quarantined-files.txt 2009-10-01 09:34
ComboFix2.txt 2009-09-30 16:19

Před spuštěním: Volných bajtů: 97 182 371 840
Po spuštění: Volných bajtů: 97 163 829 248

216 --- E O F --- 2009-09-26 20:08

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:36:32, on 1.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe
C:\Program Files\WinFast\WFDTV\DTVSchdl.exe
C:\Program Files\WinFast\WFDTV\WFWIZ.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Logitech\Gaming Software\LWEMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [WinFastDTV] C:\Program Files\WinFast\WFDTV\DTVSchdl.exe
O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFDTV\WFWIZ.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [Start WingMan Profiler] C:\Program Files\Logitech\Gaming Software\LWEMon.exe /noui
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Rychlé spuštění aplikace HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 9674821640
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftup ... 1665392578
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{97238F05-48FB-44FB-8453-458641A19D4D}: NameServer = 208.67.222.222,208.67.220.220
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2542C4A-A004-440D-B8C0-9D893DDB3DB1}: NameServer = 208.67.222.222,208.67.220.220
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (file missing)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SF FrontLine Drivers Auto Removal (v1) (sfrem01) - Protection Technology (StarForce) - C:\WINDOWS\system32\sfrem01.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: USBest Service Zero (UTSCSI) - Unknown owner - C:\WINDOWS\system32\UTSCSI.EXE

--
End of file - 9930 bytes

atman · Příspěvekod **atman** » 01 říj 2009 12:04

Doufám, že adres. řádek bude tohle :blush:

http://www.virustotal.com/cs/analisis/a8b5051948f8877835741e1abce0ce73d5ff52caa6d13c951e80e17321d0e152-1254391078

Soubor inetinfo.exe přijatý 2009.10.01 09:57:58 (UTC)
Současný stav: Čekejte ... Ve frontě Čekání Testování Dokončeno NENALEZENO ZASTAVENO

Výsledek: 0/41 (0%)
Načítám informace ze serveru...
Váš soubor čeká ve frontě na pozici: 5.
Odhadovaný čas začátku mezi 80 a 114 sekundami.
Nezavírejte toto okno dokud nebude test dokončen.
Právě testující program byl je zastaven, probíhá čekání na program.
Za chvíli bude proveden další pokus o otestování souboru.
Pokud budete čekat déle než-li pět minut odešlete Váš soubor znovu.
Váš soubor je nyní testován pomocí VirusTotal,
výsledky budou zobrazeny po dokončení.
Formátované Vytisknout výsledky
Váš soubor není platný, nebo neexistuje.
Služba je pozastavena v tuto chvíli, váš soubor čeká na otestování (pozice: ) po nespecifikovanou dobu.

Nyní čekejte na odezvu webu (automatické obnovení), nebo napište email do pole a klikněte na "vyžádat" a systém Vám zašle email s výsledky až bude test hotov.
Email:

Antivirus Verze Poslední aktualizace Výsledek
a-squared 4.5.0.24 2009.10.01 -
AhnLab-V3 5.0.0.2 2009.09.30 -
AntiVir 7.9.1.27 2009.10.01 -
Antiy-AVL 2.0.3.7 2009.10.01 -
Authentium 5.1.2.4 2009.09.30 -
Avast 4.8.1351.0 2009.09.30 -
AVG 8.5.0.412 2009.10.01 -
BitDefender 7.2 2009.10.01 -
CAT-QuickHeal 10.00 2009.09.30 -
ClamAV 0.94.1 2009.10.01 -
Comodo 2481 2009.10.01 -
DrWeb 5.0.0.12182 2009.10.01 -
eSafe 7.0.17.0 2009.09.30 -
eTrust-Vet 31.6.6771 2009.10.01 -
F-Prot 4.5.1.85 2009.09.30 -
F-Secure 8.0.14470.0 2009.10.01 -
Fortinet 3.120.0.0 2009.10.01 -
GData 19 2009.10.01 -
Ikarus T3.1.1.72.0 2009.10.01 -
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.857 2009.09.30 -
Kaspersky 7.0.0.125 2009.10.01 -
McAfee 5757 2009.09.30 -
McAfee+Artemis 5757 2009.09.30 -
McAfee-GW-Edition 6.8.5 2009.10.01 -
Microsoft 1.5101 2009.10.01 -
NOD32 4472 2009.10.01 -
Norman 6.01.09 2009.09.30 -
nProtect 2009.1.8.0 2009.10.01 -
Panda 10.0.2.2 2009.09.30 -
PCTools 4.4.2.0 2009.09.30 -
Prevx 3.0 2009.10.01 -
Rising 21.49.22.00 2009.09.30 -
Sophos 4.45.0 2009.10.01 -
Sunbelt 3.2.1858.2 2009.09.30 -
Symantec 1.4.4.12 2009.10.01 -
TheHacker 6.5.0.2.024 2009.10.01 -
TrendMicro 8.950.0.1094 2009.10.01 -
VBA32 3.12.10.11 2009.09.30 -
ViRobot 2009.10.1.1967 2009.10.01 -
VirusBuster 4.6.5.0 2009.09.30 -
Rozšiřující informace
File size: 15872 bytes
MD5...: 07ad42303519a955560b5a19fe20b68f
SHA1..: 624027b9164d08597217594de62357633f45ecc5
SHA256: a8b5051948f8877835741e1abce0ce73d5ff52caa6d13c951e80e17321d0e152
ssdeep: 192:sL5Amx7ZqjF4xoknoc9Cisg3gTGTVy/npChCjGEuXr3kiJK1Pl5gmbLVu7tV
NLMH:uk4xkoVgTGVy/nYhKLMYyPGH3WGn

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x33e5
timedatestamp.....: 0x48025452 (Sun Apr 13 18:43:30 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2cf4 0x2e00 6.11 16491fe6e2661ed53d8d5fa35854d560
.data 0x4000 0x13c 0x200 0.97 367efca8270d391da9594d2f08daae1f
.rsrc 0x5000 0x864 0xa00 3.96 533a1507440124b06884426af3f382e0

( 6 imports )
> msvcrt.dll: __setusermatherr, _initterm, _adjust_fdiv, __initenv, __p__commode, __p__fmode, __set_app_type, _except_handler3, _controlfp, __getmainargs, _c_exit, _exit, _XcptFilter, exit, _cexit, _stricmp
> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, SetServiceStatus, RegisterServiceCtrlHandlerA, StartServiceCtrlDispatcherA, RegCloseKey
> KERNEL32.dll: GetCurrentThreadId, QueryPerformanceCounter, GetVersionExA, InitializeCriticalSection, SetErrorMode, DeleteCriticalSection, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetTickCount, SetLastError, lstrcmpiA, GetLastError, Sleep, SetEvent, CloseHandle, CreateEventA, GetModuleHandleA, CreateThread, GetCurrentProcessId, GetProcAddress, LoadLibraryA, LocalFree, LocalAlloc, FreeLibrary, LeaveCriticalSection, LoadLibraryExA, EnterCriticalSection
> USER32.dll: DispatchMessageA, MsgWaitForMultipleObjects, RegisterClassA, CreateWindowExA, GetMessageA, TranslateMessage, DefWindowProcA, wsprintfA
> ole32.dll: CoUninitialize, CoInitializeEx
> IisRTL.DLL: PuDeleteDebugPrintsObject, _PuInitiateDebug@0, PuCreateDebugPrintsObject, _PuUninitiateDebug@0, PuDbgPrint

( 0 exports )

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. V_echna pr_va vyhrazena.
product......: Internet Information Services
description..: Internet Information Services
original name: INETINFO.EXE
internal name: INETINFO.EXE
file version.: 5.1.2600.5512 (xpsp.080413-0852)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Damned · Příspěvekod **Damned** » 01 říj 2009 15:17

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad
a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager]
"BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\
00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,00,00

Ulož si ho jako na Plochu jako fix.reg a jako typ všechny soubory , najdi tento soubor na Ploše a poklepáním ho spusť. Budeš dotázán na přidání hodnoty do registru. Schval.
*****************************************************************************************************************************************
Jinak tam už nic nevidím.

Odinstaluj ComboFix.
ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix[mezera]/u

takže jestli nejsou problémy,tak vyčisti systém CCleanerem
a použij i T-Cleaner (nutné) smaže vše po Combu,SDFixu,Avengeru,MWAVu atd.-stáhneš->spustíš

(pozn.Pokud máš AVG, avast! nebo Aviru, před stažením T-Cleaneru a po dobu čištění deaktivuj AVG, avast! i Aviru (i rezidenty), následně T-Cleaner smaž a zapni si AVG,avast!, Aviru.)

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni select all found, pak klik empty selected.
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.

ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache,
cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer,
Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

Kdyby něco, tak se zastav.
Označ topic za vyřešený (zelená fajfka) a měj se. :bigups:

atman · Příspěvekod **atman** » 01 říj 2009 20:46

Děkuji moc za čas strávený s mými viry, jestli jsem něco dlužný, tak se ozvi, jinak určitě moc děkuji a doufám že budu mít chvíli klid. Škoda, že neznám takhle někoho v blízkém okolí, ke komu bych občas odnesl PC na kompletní poštelování. Mohl –li bych ale ještě mít pár dotazů, tak bych se rád zeptal na tohle :
- je velmi rizikové ponechat si prohlížeč IE nebo ho lépe vyměnit za Mozillu či alespoň přejít na poslední IE verse tuším 8 ?
- jak to, že ač používám Symantec antiVirus + Spyware Terminator, mi do PC vlezlo v podstatě vše co chtělo ? Mám tyhle programy vyhodit a najít si třeba tady na foru nějakou lepší kombinaci nebo by stačilo třeba občas projet PC ještě i Malwarebytes Anti-Malwarem ?
- zahlédl jsem v „ Přidat, odebrat“, že mám, dokonce ve vícero verzích, instalován Microsoft.NET Framework, který zabírá celkem stovky MB – je to k něčemu dobré nebo to lze „beztrestně odinstalovat?
Ještě jednou děkuji a máš můj obdiv, protože v tohle se vyznat musí být dost náročné . Zároveň mne ale docela děsí, jak je PC běžného uživatele naprosto bezmocné vůči tomu, který se vyzná ....

Sukoku Vyřešeno

Re: Sukoku Vyřešeno

Re: Sukoku

Re: Sukoku

Re: Sukoku

Re: Sukoku

Kdo je online