Napadený PC - Combofix

[jaro3]

Spybot - Search & Destroy nech vypnutou rez. Ochranu , nebo odinstaluj . Už Ti běží rez. Ochrana antispywaru u Avastu 5.
Pokud tam máš jen tu složku , tak jí smaž:
c:\program files\Spybot - Search & Destroy

Fixni ještě v HJT:

Kód: Vybrat vše

O3 - Toolbar: (no name) - {D5D47440-0750-463D-BAEF-A47D02414806} - (no file)

Ještě jeden script v CF:

Kód: Vybrat vše

File::
c:\windows\system32\perfc009.dat
c:\windows\system32\perfc009.dat
c:\windows\Temp\Perflib_Perfdata_7a4.dat
c:\windows\Temp\Perflib_Perfdata_4a4.dat
c:\windows\Temp\Perflib_Perfdata_350.dat
c:\windows\system32\perfh009.dat
c:\windows\system32\perfh009.dat

Driver::
LLRING0
gupdate


Pak oba logy , z CF+HJT.

Abys mohl využít 4GB RAM bude třeba nainstalovat win7 x64..

[Reklama]

[Tholus]

ComboFix 10-09-26.04 - James 27.09.2010 18:10:39.4.4 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3326.2964 [GMT 2:00]
Spuštěný z: c:\documents and settings\James\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\James\Plocha\CFScript.txt
AV: avast! Antivirus *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FILE ::
"c:\windows\system32\perfc009.dat"
"c:\windows\system32\perfh009.dat"
"c:\windows\Temp\Perflib_Perfdata_350.dat"
"c:\windows\Temp\Perflib_Perfdata_4a4.dat"
"c:\windows\Temp\Perflib_Perfdata_7a4.dat"
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Temp\Perflib_Perfdata_350.dat

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GUPDATE
-------\Service_gupdate
-------\Service_LLRING0


((((((((((((((((((((((((( Soubory vytvořené od 2010-08-27 do 2010-09-27 )))))))))))))))))))))))))))))))
.

2010-09-27 15:25 . 2010-09-27 15:38 -------- d-----w- c:\documents and settings\James\GTA San Andreas Auta
2010-09-26 14:21 . 2010-09-26 14:23 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-09-26 14:10 . 2010-09-26 14:10 0 ----a-w- c:\windows\nsreg.dat
2010-09-26 14:09 . 2010-09-27 13:32 -------- d-----w- C:\_Tom
2010-09-26 14:05 . 2010-09-26 14:05 -------- d-sh--w- c:\documents and settings\James\IECompatCache
2010-09-26 14:05 . 2010-09-26 14:05 -------- d-sh--w- c:\documents and settings\James\PrivacIE
2010-09-25 19:55 . 2010-09-25 19:57 -------- dc-h--w- c:\windows\ie8
2010-09-25 16:37 . 2010-09-25 16:37 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2010-09-22 16:16 . 2010-09-27 12:24 -------- d-----w- c:\program files\Steam
2010-09-19 16:18 . 2010-09-19 16:18 -------- d-----w- c:\windows\system32\URTTEMP
2010-09-14 06:19 . 2010-09-14 06:19 -------- d-----w- c:\program files\Electronic Arts
2010-09-13 17:31 . 2010-09-14 06:27 2434856 ----a-w- c:\windows\system32\pbsvc_bc2.exe
2010-09-07 13:51 . 2010-09-08 15:24 -------- d-----w- c:\program files\DRM-AC2-OFFLINE.Server-v0.4
2010-09-07 13:22 . 2010-09-08 15:23 -------- d-----w- c:\program files\Ubisoft
2010-09-05 10:31 . 2010-09-05 10:31 271360 ----a-w- c:\windows\system32\drivers\atksgt.sys
2010-09-05 10:31 . 2010-09-05 10:31 18048 ----a-w- c:\windows\system32\drivers\lirsgt.sys

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-27 16:21 . 2010-09-26 18:33 4724 ----a-w- c:\windows\system32\PerfStringBackup.TMP
2010-09-27 16:20 . 2010-01-16 08:54 16608 ----a-w- c:\windows\gdrv.sys
2010-09-25 08:43 . 2010-02-25 13:37 -------- d-----w- c:\program files\uTorrent
2010-09-15 11:27 . 2010-03-02 15:59 139128 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2010-09-15 11:27 . 2010-03-02 15:59 215128 ----a-w- c:\windows\system32\PnkBstrB.exe
2010-09-14 06:27 . 2010-03-02 15:59 75064 ----a-w- c:\windows\system32\PnkBstrA.exe
2010-09-08 15:15 . 2010-01-16 08:55 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-09-05 10:52 . 2010-01-16 08:55 -------- d-----w- c:\program files\Common Files\InstallShield
2010-09-05 10:48 . 2010-03-04 11:41 -------- d-----w- c:\program files\CCleaner
2010-08-23 15:51 . 2010-08-23 15:51 -------- d-----w- c:\program files\OpenOffice.org 3
2010-08-23 14:58 . 2010-08-23 14:57 -------- d-----w- c:\program files\WMV
2010-08-18 06:24 . 2010-02-20 15:59 -------- d-----w- c:\program files\NCSoft
.

((((((((((((((((((((((((((((( SnapShot@2010-09-26_13.12.36 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-09-27 16:20 . 2010-09-27 16:20 16384 c:\windows\Temp\Perflib_Perfdata_824.dat
+ 2001-10-25 14:00 . 2010-09-27 16:21 71002 c:\windows\system32\perfc009.dat
- 2001-10-25 14:00 . 2010-09-26 13:06 71002 c:\windows\system32\perfc009.dat
+ 2001-10-25 14:00 . 2010-09-27 16:21 440684 c:\windows\system32\perfh009.dat
- 2001-10-25 14:00 . 2010-09-26 13:06 440684 c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2009-01-13 18084864]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-05-20 98304]
"WheelMouse"="c:\program files\A4Tech\Mouse\Amoumain.exe" [2007-05-15 204800]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-02-11 2756488]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-06-16 221184]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Hry\\Metin2_CZ\\metin2.bin"=
"c:\\Hry\\Metin2_CZ\\metin2client.bin"=
"c:\\Program Files\\NCsoft\\Exteel (US)\\System\\Exteel.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Hry\\Battlefield 2\\BF2.exe"=
"c:\\Hry\\BioShock 2\\SP\\Builds\\Binaries\\Bioshock2.exe"=
"c:\\Hry\\BioShock 2\\MP\\Builds\\Binaries\\Bioshock2.exe"=
"c:\\Hry\\Mirror's Edge\\Binaries\\MirrorsEdge.exe"=
"c:\\Hry\\World of Warcraft\\Launcher.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Hry\\Battlefield 2142\\BF2142.exe"=
"c:\\Hry\\Grand Theft Auto IV\\GTAIV.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Hry\\Lotr\\Conquest.exe"=
"c:\\Program Files\\DRM-AC2-OFFLINE.Server-v0.4\\server.exe"=
"c:\\Program Files\\Ubisoft\\Ubisoft Game Launcher\\UbisoftGameLauncher.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed II\\AssassinsCreedIIGame.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed II\\AssassinsCreedII.exe"=
"c:\\Program Files\\Ubisoft\\Assassin's Creed II\\UPlayBrowser.exe"=
"c:\\Program Files\\Electronic Arts\\Battlefield Bad Company 2\\BFBC2Updater.exe"=
"c:\\Hry\\The Lord of the Rings Online\\lotroclient.exe"=
"c:\\Program Files\\Steam\\steamapps\\tobo456\\team fortress 2\\hl2.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [4.3.2010 12:55 162512]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [4.3.2010 12:55 19024]
R2 ES lite Service;ES lite Service for program management.;c:\program files\Gigabyte\EasySaver\essvr.exe [16.1.2010 10:55 68136]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [14.2.2010 14:36 691696]
.
.
------- Doplňkový sken -------
.
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\James\Data aplikací\Mozilla\Firefox\Profiles\seuqzfkd.default\
FF - prefs.js: browser.startup.homepage - www.google.com
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-27 18:20
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A5FFC76]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xba10cf28
\Driver\ACPI -> ACPI.sys @ 0xb9f7fcb8
\Driver\atapi -> atapi.sys @ 0xb9f11852
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8
ParseProcedure -> ntkrnlpa.exe @ 0x805827e8
NDIS: Realtek RTL8168C(P)/8111C(P) PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xb9e1dbb0
PacketIndicateHandler -> NDIS.sys @ 0xb9e2aa21
SendHandler -> NDIS.sys @ 0xb9e0887b
user & kernel MBR OK

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\:őwjY
*]
"DisplayName"="???\16?\11\09"
"DeviceDesc"="???\16?\11\09"
"ProviderName"="???\11?\17?\11??"
"MFG"="???????"
"ReinstallString"=".10.1000.8"
"DeviceInstanceIds"=multi:"d:\\chipset\\7-ser\\xp\\sbdrv\\smbus\\smbusati.inf\00"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(896)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll

- - - - - - - > 'explorer.exe'(2600)
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\RTHDCPL.EXE
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
c:\windows\system32\PnkBstrA.exe
.
**************************************************************************
.
Celkový čas: 2010-09-27 18:25:37 - počítač byl restartován
ComboFix-quarantined-files.txt 2010-09-27 16:25
ComboFix2.txt 2010-09-27 06:26
ComboFix3.txt 2010-09-26 15:38
ComboFix4.txt 2010-09-26 13:14

Před spuštěním: Volných bajtů: 149 415 272 448
Po spuštění: Volných bajtů: 149 406 334 976

- - End Of File - - F70238D1C9D9F507E53E60AEE8C2EFA8

---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:37, on 27.9.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\James\Plocha\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://search.centrum.cz/index.php?tool ... trum-1.0.0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [avast5] C:\PROGRA~1\ALWILS~1\Avast5\avastUI.exe /nogui
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 3633007859
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 4314 bytes

---

PC už se tváří celkem v pohodě, ani po pár restartech se to nezaseklo, ale když chci například z toho PC odeslat odpověď na toto fórum, tak mě to nepustí, jakoby spadne internet, přitom funguje.

[jaro3]

ComboFix se odinstaluje takto:
Start-Spustit a zadej ComboFix /Uninstall

vyčisti systém CCleanerem

a použij i T-Cleaner
smaže vše po Combu,MWAVu atd.-stáhneš>spustíš

pozn. před stažením T-Cleaneru a po dobu čištění deaktivuj AVG , Avast, či Microsoft Security Essentials následně T-Cleaner smaž a zapni si AVG , Avast či Microsoft Security Essentials


Odinstaluj:
DAEMON Tools Toolbar


Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod

Kód: Vybrat vše

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

Stahni AVPtool
-nainstaluj, nech provést sken všechn jednotek
-co najde nech léčit
-pak sem vlož log.

[Tholus]

Kde najdu ten log v AVPtool? Nemůžu ho najít.

[guest]

Máš to výše :

Stahni AVPtool

stačí na to kliknout.

[Tholus]

Já ale potřebuju ten log:

-pak sem vlož log.

[guest]

Možná C/AVPtool a v tom by měl být log - koukni tedy na disk C, případně kam si to stáhnul. Nebo použij Hledat, napiš AVPtool a systém už ho najde.

[jaro3]

Budeš to asi muset udělat znovu...

AVP Tool by Kaspersky.

Stáhni AVP Tools
na svojí plochu.

Zaškrtni :
Hidden startup objels
System Memory
Disk boot sectors
Dokumenty
My email
Počítač
Místní disk C
Místní disk D
Jednotka DVD-Rom (E)
Jednotka BD-ROM (G)

System Memory
Startup Objects
Disk Boot Sectors.
My Computer.
Also any other drives (Removable that you may have)

Pokračuj podle instrukcí.Na konci se objeví textový soubor , který si hned ulož (save log) na svojí plochu pod názvem KAS.txt .Poté sem vlož celý obsah toho logu.