Kontrola Nodem 32..hlášky "Chyba při otev., soubor uzavřen

[Sinister]

Zeptám se těch problémů je víc nechci tě zatěžovat, např. nešel nahodit účet ICQ ač znám heslo(pozastaven)
nejde defragmentace ...
zeptám se...ted jsem zkusil přes slunečnici, např shrink 32...ten šel
ale na stránky avastu jsem se nepřihlásil,nejsem si jist jestli po přeinstalu windows není nutné někde něco povolit, nebo tak něco

[Reklama]

[Yelkinson]

zkus ho stahnout tady!

http://www.edisk.cz/stahnout-soubor/428 ... .75MB.html

[Sinister]

šlo to, mam na ploše

[Sinister]

Zapoměl jsem vypnout NOD, pak jsem to provedl ještě jednou po vypnutí NODU, mam též potom zkopírovat ?
po spuštění to zahlásilo, že detekoval přítomnost rootkitu a vyžádal si restart

ComboFix 08-10-01.06 - Oldies 2008-10-02 20:59:42.1 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.256 [GMT 2:00]
* Resident AV is active


VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\tdssserv.sys
C:\WINDOWS\system32\tdssadw.dll
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\tdsslog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssservers.dat

.
((((((((((((((((((((((((( Soubory vytvořené od 2008-09-02 do 2008-10-02 )))))))))))))))))))))))))))))))
.

2008-10-02 13:56 . 2008-10-02 13:56 <DIR> d-------- C:\Program Files\Trend Micro
2008-10-01 15:33 . 2008-10-01 15:33 <DIR> d-------- C:\Program Files\Common Files\Ahead
2008-10-01 15:33 . 2008-10-01 15:33 <DIR> d-------- C:\Program Files\Ahead
2008-10-01 15:33 . 2004-07-26 16:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-10-01 15:33 . 2004-07-26 16:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-10-01 15:33 . 2004-07-26 16:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-10-01 15:33 . 2004-07-26 16:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-10-01 15:33 . 2001-07-09 10:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-10-01 15:33 . 2004-03-02 16:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2008-10-01 15:33 . 2000-06-26 10:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-10-01 15:33 . 2004-03-02 16:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2008-10-01 15:24 . 2008-10-01 15:24 <DIR> d-------- C:\Program Files\Elaborate Bytes
2008-09-29 12:45 . 2008-09-29 12:45 <DIR> d-------- C:\Program Files\ICQ6Toolbar
2008-09-29 12:45 . <DIR> C:\Documents and Settings\Oldies\Data aplikací\ICQ
2008-09-29 08:40 . 2008-09-29 08:40 <DIR> d-------- C:\WINDOWS\Sun
2008-09-29 08:40 . 2008-09-29 08:41 <DIR> d-------- C:\Documents and Settings\Oldies\kbpki
2008-09-27 17:18 . 2008-09-27 17:18 <DIR> d---s---- C:\Documents and Settings\Oldies\UserData
2008-09-26 07:55 . 2008-09-29 11:58 8,192 --a------ C:\WINDOWS\system32\tdssserf1.dll
2008-09-25 22:17 . <DIR> C:\Documents and Settings\Lucka\Data aplikací\Mozilla
2008-09-25 22:16 . 2008-09-25 09:33 <DIR> d--h----- C:\Documents and Settings\Lucka\ćablony
2008-09-25 22:16 . 2008-09-25 11:24 <DIR> d-------- C:\Documents and Settings\Lucka\Plocha
2008-09-25 22:16 . 2008-09-25 11:24 <DIR> d--h----- C:\Documents and Settings\Lucka\Okolnˇ tisk rny
2008-09-25 22:16 . 2008-09-25 11:24 <DIR> d--h----- C:\Documents and Settings\Lucka\Okolnˇ sˇś
2008-09-25 22:16 . 2008-09-25 22:16 <DIR> dr------- C:\Documents and Settings\Lucka\Oblˇben‚ polo§ky
2008-09-25 22:16 . 2008-09-25 11:24 <DIR> dr------- C:\Documents and Settings\Lucka\Nabˇdka Start
2008-09-25 22:16 . 2008-09-25 22:16 <DIR> dr------- C:\Documents and Settings\Lucka\Dokumenty
2008-09-25 22:16 . <DIR> C:\Documents and Settings\Lucka\Data aplikací\Microsoft
2008-09-25 22:16 . <DIR> C:\Documents and Settings\Lucka\Data aplikací\Identities
2008-09-25 22:16 . <DIR> C:\Documents and Settings\Lucka\Data aplikací\ATI
2008-09-25 22:16 . 2008-09-25 22:17 <DIR> dr-h----- C:\Documents and Settings\Lucka\Data aplikacˇ
2008-09-25 22:16 . 2008-09-25 22:16 <DIR> d-------- C:\Documents and Settings\Lucka
2008-09-25 22:16 . 2004-08-17 15:49 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-09-25 22:14 . 2008-09-25 22:14 <DIR> d-------- C:\Program Files\Common Files\Adobe AIR
2008-09-25 22:14 . <DIR> C:\Documents and Settings\Oldies\Data aplikací\Macromedia
2008-09-25 22:14 . <DIR> C:\Documents and Settings\Oldies\Data aplikací\Adobe
2008-09-25 22:13 . 2008-09-25 22:13 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-09-25 20:20 . 2008-09-25 20:20 <DIR> d-------- C:\Program Files\Java
2008-09-25 20:20 . 2008-09-25 20:20 410,976 --a------ C:\WINDOWS\system32\deploytk.dll
2008-09-25 20:20 . 2008-09-25 20:20 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-25 20:19 . <DIR> C:\Documents and Settings\Oldies\Data aplikací\Sun
2008-09-25 10:59 . 2008-09-25 10:59 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-09-25 10:57 . 2008-07-03 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-09-25 10:56 . 2008-09-29 12:45 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-09-25 10:56 . 2008-09-25 10:57 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-09-25 10:56 . 2008-09-25 10:57 <DIR> d-------- C:\Program Files\ATI Technologies
2008-09-25 10:56 . 2008-09-25 10:56 <DIR> d-------- C:\ATI
2008-09-25 10:54 . <DIR> C:\Documents and Settings\Oldies\Data aplikací\Mozilla
2008-09-25 10:54 . 2008-09-25 10:54 0 --a------ C:\WINDOWS\nsreg.dat
2008-09-25 10:48 . <DIR> C:\Documents and Settings\Oldies\Data aplikací\MSN6
2008-09-25 10:43 . 2008-09-25 10:42 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-09-25 10:43 . 2008-09-25 10:42 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-09-25 10:43 . 2008-09-25 10:42 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-09-25 10:25 . 2008-10-02 20:59 <DIR> d-------- C:\Program Files\ESET
2008-09-25 10:16 . 2008-09-25 10:16 <DIR> d-------- C:\Documents and Settings\LocalService\Nabˇdka Start
2008-09-25 10:15 . 2008-09-25 10:15 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2008-09-25 10:06 . 2008-09-25 10:06 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-25 10:04 . 2006-10-16 16:10 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-25 10:04 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002184_.tmp
2008-09-25 10:03 . 2008-09-25 10:08 <DIR> d-------- C:\WINDOWS\EHome

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-02 09:31 --------- d-s---w C:\Documents and Settings\Oldies\Data aplikací\Microsoft
2008-09-25 10:03 --------- d-s---w C:\WINDOWS\system32\config\systemprofile\Data aplikací\Microsoft
2008-09-25 10:03 --------- d-s---w C:\WINDOWS\system32\config\systemprofile\Data aplikací\Microsoft
2008-09-25 09:57 --------- d-----w C:\Program Files\Microsoft.NET
2008-09-25 09:46 --------- d-----w C:\Documents and Settings\Oldies\Data aplikací\ATI
2008-09-25 09:45 --------- d-----w C:\Documents and Settings\Vítek\Data aplikací\Identities
2008-09-25 09:45 --------- d-----w C:\Documents and Settings\Vítek\Data aplikací\ATI
2008-09-25 09:44 --------- d-s---w C:\Documents and Settings\Vítek\Data aplikací\Microsoft
2008-09-25 09:31 --------- d-----w C:\Program Files\MSBuild
2008-09-25 09:28 --------- d-----w C:\Program Files\Reference Assemblies
2008-09-25 09:08 --------- d-----w C:\Program Files\Realtek Sound Manager
2008-09-25 09:08 --------- d-----w C:\Program Files\AvRack
2008-09-25 09:07 --------- d-----w C:\Program Files\AMD
2008-09-25 07:56 --------- d-----w C:\Documents and Settings\Oldies\Data aplikací\Identities
2008-09-25 07:55 --------- d-s---w C:\Documents and Settings\NetworkService\Data aplikací\Microsoft
2008-09-25 07:55 --------- d-s---w C:\Documents and Settings\LocalService\Data aplikací\Microsoft
2008-09-25 07:36 558,142 ----a-w C:\WINDOWS\java\Packages\S1ZZBPZL.ZIP
2008-09-25 07:36 155,995 ----a-w C:\WINDOWS\java\Packages\LZBBHZHJ.ZIP
2008-09-25 07:36 --------- d-----w C:\Program Files\microsoft frontpage
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-14 16:52 80,840 ----a-w C:\WINDOWS\system32\ElbyVCD.dll
2008-07-04 03:48 9,490,432 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-07-04 03:25 421,888 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-07-04 03:23 309,248 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-07-04 03:14 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-07-04 03:14 184,320 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-07-04 03:14 143,360 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-07-04 03:13 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-07-04 03:13 139,264 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-07-04 03:12 561,152 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-07-04 03:10 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-07-04 03:06 253,952 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-07-04 03:00 3,786,144 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-07-04 02:55 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-07-04 02:49 2,140,672 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-07-04 02:34 48,640 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-07-04 02:30 348,160 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-07-04 02:29 32,768 ----a-w C:\WINDOWS\system32\atiadlxx.dll
2008-07-04 02:28 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-07-04 02:25 5,439,488 ----a-w C:\WINDOWS\system32\atioglxx.dll
2008-07-04 02:22 565,248 ----a-w C:\WINDOWS\system32\ati2cqag.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-17 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-09-25 949376]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2008-09-25 144792]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"VirtualCloneDrive"="C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2008-06-30 52168]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-17 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R2 JavaQuickStarterService;Java Quick Starter;C:\Program Files\Java\jre6\bin\jqs.exe [2008-09-25 147456]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-03 69120]

*Newly Created Service* - CATCHME
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -

HKCU-Run-ICQ - C:\Program Files\ICQ6\ICQ.exe


.
------- Doplňkový sken -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.seznam.cz/
O8 -: E&xportovat do aplikace Microsoft Office Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-02 21:01:17
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\TDSSserv]
"imagepath"="\systemroot\system32\drivers\TDSSserv.sys"
.
--------------------- Knihovny navázané na běžící procesy ---------------------

PROCES: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
Celkový čas: 2008-10-02 21:01:58
ComboFix-quarantined-files.txt 2008-10-02 19:01:56

Před spuštěním: Volněch bajt…: 36,532,563,968
Po spuštění: Volněch bajt…: 36,756,398,080

189

[Sinister]

Nechal jsem disc C projet NODEM 32, nalezl asi 6 Trojanů,
po této akci již funguje tebou zadaný odkaz, nicméně během diagnostiky vyběhly některé hlášky o těch nepřístupných souborech

[jaro3]

Stáhni si Malwarebytes' Anti-Malware
http://www.besttechie.net/tools/mbam-setup.exe

Nainstaluj a spusť ho
- na konci instalace se ujisti že máš zvoleny/zatrhnuty obě možnosti:
Update Malwarebytes' Anti-Malware (Aktualizace Malwarebytes' Anti-Malware) a Launch Malwarebytes' Anti-Malware (Spustit aplikaci Malwarebytes' Anti-Malware), pokud jo tak klikni na tlačítko Finish
- pokud bude nalezena aktualizace, tak se stáhne a nainstaluje
- program se po té spustí a nech vybranou možnost Perform Quick Scan (Provést rychlý sken) a klikni na tlačítko Scan (Skenovat)
- po proběhnutí programu se ti objeví hláška tak klikni na OK a pak na tlačítko Show Results
- pak zvol možnost Save Logfile a ulož si log na plochu
- po té klikni na tlačítko Exit, objeví se ti hláška tak zvol Ano
(zatím nic nemaž!).
Vlož sem pak obsah toho logu.
Zítra budem pokračovat, možná bude třeba další log z CF.

[Sinister]

Zde je ten výpis, a děkuju moc za tvuj čas

Malwarebytes' Anti-Malware 1.28
Verze databáze: 1225
Windows 5.1.2600 Service Pack 2

2.10.2008 22:48:45
mbam-log-2008-10-02 (22-48-45).txt

Typ skenu: Rychlý sken
Objektu skenováno: 48429
Uplynulý cas: 3 minute(s), 6 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
(Žádné zákerné položky nebyly zjišteny)

[memphisto]

ty uzamčené soubory se mi taky v logu při kontrole ukazují (jen u NOD 32, u Eset Smart Security už ne). není to nic nenormálního (teda doufám ) PC mám ale čisté

[jaro3]

Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

File::
C:\WINDOWS\system32\tdssserf1.dll
C:\WINDOWS\002184_.tmp

Registry::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\TDSSserv]

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.
Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
Nevím , zda je to vše, chybí sekce drivers, možná budeme muset použít ještě SDFix...zatím ty logy jak je výše.
Edit : Pokud by Ti po skriptu nenajela pracovní plocha tak: stlač trojkombinaci Ctrl+Alt+Del, vyber soubor-nová úloha-zadej explorer.exe -OK.

[Sinister]

Ahoj, všechny kroky jsem provedl až když jsem překryl ikonu textového souboru přes ikonu Combo fixu zahlásilo to, že CFScript s zdá být nesprávně hláskovaný

[Sinister]

tak po 3. se zadařilo, ComboFix si vynutil restart a jednou na mě řval NOD

(omlouvám s e, zítra budu až večer)


ComboFix 08-10-03.01 - Oldies 2008-10-03 22:50:11.3 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.217 [GMT 2:00]
Spuštěný z: C:\Documents and Settings\Oldies\Plocha\ComboFix.exe
Použité ovládací přepínače :: C:\Documents and Settings\Oldies\Plocha\CFScript.txt
* Vytvořen nový Bod Obnovení
* Resident AV is active


VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!

FILE ::
C:\WINDOWS\002184_.tmp
C:\WINDOWS\system32\tdssserf1.dll
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\002184_.tmp

.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_TDSSserv


((((((((((((((((((((((((( Soubory vytvořené od 2008-09-03 do 2008-10-03 )))))))))))))))))))))))))))))))
.

2008-10-02 22:42 . 2008-10-02 22:43 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-10-02 22:42 . 2008-10-02 22:42 <DIR> d-------- C:\Documents and Settings\Oldies\Data aplikací\Malwarebytes
2008-10-02 22:42 . 2008-10-02 22:42 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\Malwarebytes
2008-10-02 22:42 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-02 22:42 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-02 21:49 . 2008-10-02 21:50 <DIR> d-------- C:\Program Files\ICQ6
2008-10-02 13:56 . 2008-10-02 13:56 <DIR> d-------- C:\Program Files\Trend Micro
2008-10-01 15:33 . 2008-10-01 15:33 <DIR> d-------- C:\Program Files\Common Files\Ahead
2008-10-01 15:33 . 2008-10-01 15:33 <DIR> d-------- C:\Program Files\Ahead
2008-10-01 15:33 . 2004-07-26 16:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll
2008-10-01 15:33 . 2004-07-26 16:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll
2008-10-01 15:33 . 2004-07-26 16:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll
2008-10-01 15:33 . 2004-07-26 16:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll
2008-10-01 15:33 . 2001-07-09 10:50 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-10-01 15:33 . 2004-03-02 16:37 125,184 --------- C:\WINDOWS\system32\drivers\imagesrv.sys
2008-10-01 15:33 . 2000-06-26 10:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll
2008-10-01 15:33 . 2004-03-02 16:37 5,504 --------- C:\WINDOWS\system32\drivers\imagedrv.sys
2008-10-01 15:24 . 2008-10-01 15:24 <DIR> d-------- C:\Program Files\Elaborate Bytes
2008-09-29 12:45 . 2008-10-02 21:49 <DIR> d-------- C:\Program Files\ICQ6Toolbar
2008-09-29 12:45 . 2008-09-29 12:46 <DIR> d-------- C:\Documents and Settings\Oldies\Data aplikací\ICQ
2008-09-29 12:45 . 2008-09-29 12:45 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\ICQ
2008-09-29 08:40 . 2008-09-29 08:40 <DIR> d-------- C:\WINDOWS\Sun
2008-09-29 08:40 . 2008-09-29 08:41 <DIR> d-------- C:\Documents and Settings\Oldies\kbpki
2008-09-27 17:18 . 2008-09-27 17:18 <DIR> d---s---- C:\Documents and Settings\Oldies\UserData
2008-09-25 22:16 . 2008-09-25 11:24 <DIR> d-------- C:\Documents and Settings\Lucka\Plocha
2008-09-25 22:16 . 2008-09-25 11:24 <DIR> d--h----- C:\Documents and Settings\Lucka\Okolní tiskárny
2008-09-25 22:16 . 2008-09-25 11:24 <DIR> d--h----- C:\Documents and Settings\Lucka\Okolní síť
2008-09-25 22:16 . 2008-09-25 22:16 <DIR> dr------- C:\Documents and Settings\Lucka\Oblíbené položky
2008-09-25 22:16 . 2008-09-25 09:33 <DIR> d--h----- C:\Documents and Settings\Lucka\Šablony
2008-09-25 22:16 . 2008-09-25 11:24 <DIR> dr------- C:\Documents and Settings\Lucka\Nabídka Start
2008-09-25 22:16 . 2008-09-25 22:16 <DIR> dr------- C:\Documents and Settings\Lucka\Dokumenty
2008-09-25 22:16 . 2008-09-25 22:16 <DIR> d-------- C:\Documents and Settings\Lucka\Data aplikací\ATI
2008-09-25 22:16 . 2008-09-25 22:17 <DIR> dr-h----- C:\Documents and Settings\Lucka\Data aplikací
2008-09-25 22:16 . 2008-09-25 22:16 <DIR> d-------- C:\Documents and Settings\Lucka
2008-09-25 22:16 . 2004-08-17 15:49 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-09-25 22:14 . 2008-09-25 22:14 <DIR> d-------- C:\Program Files\Common Files\Adobe AIR
2008-09-25 22:13 . 2008-09-25 22:13 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-09-25 20:20 . 2008-09-25 20:20 <DIR> d-------- C:\Program Files\Java
2008-09-25 20:20 . 2008-09-25 20:20 410,976 --a------ C:\WINDOWS\system32\deploytk.dll
2008-09-25 20:20 . 2008-09-25 20:20 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-25 10:59 . 2008-09-25 10:59 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-09-25 10:57 . 2008-07-03 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-09-25 10:56 . 2008-09-29 12:45 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-09-25 10:56 . 2008-09-25 10:57 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-09-25 10:56 . 2008-09-25 10:57 <DIR> d-------- C:\Program Files\ATI Technologies
2008-09-25 10:56 . 2008-09-25 10:56 <DIR> d-------- C:\ATI
2008-09-25 10:54 . 2008-09-25 10:54 0 --a------ C:\WINDOWS\nsreg.dat
2008-09-25 10:48 . 2008-09-25 10:52 <DIR> d-------- C:\Documents and Settings\Oldies\Data aplikací\MSN6
2008-09-25 10:48 . 2008-09-25 10:48 <DIR> d-------- C:\Documents and Settings\All Users\Data aplikací\MSN6
2008-09-25 10:43 . 2008-09-25 10:42 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-09-25 10:43 . 2008-09-25 10:42 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-09-25 10:43 . 2008-09-25 10:42 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-09-25 10:25 . 2008-10-02 20:59 <DIR> d-------- C:\Program Files\ESET
2008-09-25 10:16 . 2008-09-25 10:16 <DIR> d-------- C:\Documents and Settings\LocalService\Nabídka Start
2008-09-25 10:15 . 2008-09-25 10:15 <DIR> d---s---- C:\WINDOWS\system32\Microsoft
2008-09-25 10:06 . 2008-09-25 10:06 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-25 10:04 . 2006-10-16 16:10 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-09-25 10:03 . 2008-09-25 10:08 <DIR> d-------- C:\WINDOWS\EHome

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-25 09:57 --------- d-----w C:\Program Files\Microsoft.NET
2008-09-25 09:46 --------- d-----w C:\Documents and Settings\Oldies\Data aplikací\ATI
2008-09-25 09:45 --------- d-----w C:\Documents and Settings\Vítek\Data aplikací\ATI
2008-09-25 09:45 --------- d-----w C:\Documents and Settings\All Users\Data aplikací\ATI
2008-09-25 09:31 --------- d-----w C:\Program Files\MSBuild
2008-09-25 09:28 --------- d-----w C:\Program Files\Reference Assemblies
2008-09-25 09:08 --------- d-----w C:\Program Files\Realtek Sound Manager
2008-09-25 09:08 --------- d-----w C:\Program Files\AvRack
2008-09-25 09:07 --------- d-----w C:\Program Files\AMD
2008-09-25 07:36 558,142 ----a-w C:\WINDOWS\java\Packages\S1ZZBPZL.ZIP
2008-09-25 07:36 155,995 ----a-w C:\WINDOWS\java\Packages\LZBBHZHJ.ZIP
2008-09-25 07:36 --------- d-----w C:\Program Files\microsoft frontpage
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-14 16:52 80,840 ----a-w C:\WINDOWS\system32\ElbyVCD.dll
2008-07-04 03:48 9,490,432 ----a-w C:\WINDOWS\system32\atioglx2.dll
2008-07-04 03:25 421,888 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-07-04 03:23 309,248 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-07-04 03:14 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-07-04 03:14 184,320 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-07-04 03:14 143,360 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-07-04 03:13 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-07-04 03:13 139,264 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-07-04 03:12 561,152 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-07-04 03:10 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-07-04 03:06 253,952 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-07-04 03:00 3,786,144 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-07-04 02:55 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-07-04 02:49 2,140,672 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-07-04 02:34 48,640 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-07-04 02:30 348,160 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-07-04 02:29 32,768 ----a-w C:\WINDOWS\system32\atiadlxx.dll
2008-07-04 02:28 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-07-04 02:25 5,439,488 ----a-w C:\WINDOWS\system32\atioglxx.dll
2008-07-04 02:22 565,248 ----a-w C:\WINDOWS\system32\ati2cqag.dll
.

((((((((((((((((((((((((((((( snapshot@2008-10-02_21.01.44.81 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-10-20 18:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2008-10-03 20:52:54 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_388.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-08-17 1667584]
"ICQ"="C:\Program Files\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-09-25 949376]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2008-09-25 144792]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"VirtualCloneDrive"="C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2008-06-30 52168]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SoundMan"="SOUNDMAN.EXE" [2004-12-22 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-17 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\ICQ6\\ICQ.exe"=

R2 ICQ Service;ICQ Service;C:\Program Files\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 JavaQuickStarterService;Java Quick Starter;C:\Program Files\Java\jre6\bin\jqs.exe [2008-09-25 147456]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-03 69120]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-03 22:52:37
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------

PROCES: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ESET\nod32krn.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\ComboFix\pv.cfexe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Celkový čas: 2008-10-03 22:54:14 - počítač byl restartován [Oldies]
ComboFix-quarantined-files.txt 2008-10-03 20:54:11
ComboFix2.txt 2008-10-02 19:10:14
ComboFix3.txt 2008-10-02 19:01:59

Před spuštěním: Volných bajtů: 36 573 118 464
Po spuštění: Volných bajtů: 36,601,790,464

191

[jaro3]

Tak si ještě jednou zopakujeme script ,viz výše, tentokrát toto:

Kód: Vybrat vše

Driver::
TDSSserv

Ještě se podívej , co je toto:
C:\Documents and Settings\Oldies\kbpki
Pošli nový log z CF +HJT.