Protokol z ESS4 - firewall - nevyřešeno Vyřešeno

[Fanthomas]

Díky moc Jaro za pomoc.
Měl jsem opravdu na mysli Windows Defender.

Ten IE tedy doinstaluju, mám tam dát už IE8 nebo stačí jen IE7?

[Reklama]

[jaro3]

Stačí IE7 .

[Fanthomas]

Ahoj Jaro,
takže to před čím jsi mě varoval se asi stalo a ten conficker je zpátky.

Nejde mi aktualizovat MbAM, nemůžu se dostat na některý stránky kvůli problémům v síti, po chvíli je zase vše OK.
ESS sice aktualizovat jde, ale jako vždy nic nenašel.. Přikládám ještě výpis z firewallu Můžeš se mi prosím mrknou na log. Mám založit nový příspěvek nebo to nechat tu?

Díky

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:18:19, on 15.6.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Hardcopy\hardcopy.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.centrum.cz/skinit/icq/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Windows Defender] "C:\Program Files\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Hardcopy.LNK = C:\Program Files\Hardcopy\hardcopy.exe
O4 - Startup: Windows Commander 32.lnk = C:\wincmd\WINCMD32.EXE
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 2271583734
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 4918 bytes

[Fanthomas]

Tak asi na 20 pokus se i to MbAM povedlo, ale taky nic nenašlo. Mezitím mi přibyli další 4 útoky z té jedné IP adresy

Malwarebytes' Anti-Malware 1.37
Verze databáze: 2283
Windows 5.1.2600 Service Pack 3

15.6.2009 17:42:34
mbam-log-2009-06-15 (17-42-34).txt

Typ skenu: Úplný sken (C:\|D:\|E:\|)
Objektu skenováno: 115985
Uplynulý cas: 14 minute(s), 57 second(s)

Infikované procesy pameti: 0
Infikované pametové moduly: 0
Infikované klíce registru: 0
Infikované hodnoty registru: 0
Infikované položky dat registru: 0
Infikované složky: 0
Infikované soubory: 0

Infikované procesy pameti:
(Žádné zákerné položky nebyly zjišteny)

Infikované pametové moduly:
(Žádné zákerné položky nebyly zjišteny)

Infikované klíce registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované hodnoty registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované položky dat registru:
(Žádné zákerné položky nebyly zjišteny)

Infikované složky:
(Žádné zákerné položky nebyly zjišteny)

Infikované soubory:
(Žádné zákerné položky nebyly zjišteny)

[jaro3]

Pamatují si Tvojí IP a zkouší to..
Můžeme jedině kouknout , zda Ti něco neproniklo do PC.

Stáhni si :Dr. Web CureIt
dej update , po aktualizaci dej start.
Tlacitky dole muzeš soubor léčit, smazat, přesunout nebo přejmenovat
+
Vypni rez. ochrany + firewall u ESET Smart Security

Stáhni si ComboFix (by sUBs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[Fanthomas]

Tady je ten výpis. Dr.Webem našel něco v System Volume Information, takže jsem vypnul obnovu a restartoval, jinak nic kromě T-Cleaneru. Jak se můžu Jaro ještě jinak proti těmto útokům bránit? Nechodím na žádný podezdřelý stránky a stejně se té havěti nemůžu zbavit. Nevím co si tak u mě můžou vzít.. Všechno kromě pinu k I-bankingu jim klidně dám :-)
Podle toho jak se choval dnes divně net, tak myslím že něco proniklo dovnitř. V době kdy byly ty útoky tak jsem se nemohl dostat skoro ani na Seznam.cz a ani sem na forum. Nenačítalo to některý stránky a Firefox pořád psal že se nemůže spojit se serverem. Pak to zase chvilku fungovalo. Navíc pak nebylo možné aktualizovat MbAM. Teď to zatím jede..


ComboFix 09-06-14.02 - Tomas 15.06.2009 19:16.12 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1023.528 [GMT 2:00]
Spuštěný z: c:\documents and settings\Tomas\Plocha\ComboFix.exe
AV: ESET Smart Security 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

VAROVÁNÍ - NA TOMTO POČÍTAČI NENÍ NAINSTALOVÁNA KONZOLA PRO ZOTAVENÍ !!
.

((((((((((((((((((((((((( Soubory vytvořené od 2009-05-15 do 2009-06-15 )))))))))))))))))))))))))))))))
.

2009-06-10 20:16 . 2009-06-10 20:16 -------- d-----w- c:\program files\Skype
2009-06-10 20:16 . 2009-06-10 20:16 -------- d-----w- c:\program files\Common Files\Skype
2009-06-03 16:35 . 2009-06-03 16:35 -------- d-----w- c:\program files\Windows Defender
2009-06-03 16:14 . 2009-06-03 16:14 -------- d-sh--w- c:\documents and settings\Tomas\PrivacIE
2009-06-03 16:13 . 2009-06-03 16:13 -------- d-sh--w- c:\documents and settings\Tomas\IETldCache
2009-06-03 16:09 . 2009-06-03 16:21 -------- d-----w- c:\windows\ie8updates
2009-06-03 16:09 . 2009-05-12 05:11 102912 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-06-03 16:09 . 2009-04-29 04:47 78336 -c--a-w- c:\windows\system32\dllcache\ieencode.dll
2009-06-03 16:09 . 2009-04-29 04:47 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-06-02 17:44 . 2008-04-14 03:22 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2009-06-02 17:44 . 2008-04-14 03:22 39424 ----a-w- c:\windows\system32\grpconv.exe
2009-05-22 21:13 . 2009-05-22 21:47 -------- d-----w- c:\program files\DAEMON Tools Lite
2009-05-22 21:10 . 2009-05-22 21:10 717296 ----a-w- c:\windows\system32\drivers\sptd.sys
2009-05-22 20:18 . 2009-05-22 20:18 -------- d-----w- c:\documents and settings\Tomas\DoctorWeb

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-27 19:32 . 2009-04-25 20:59 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-05-26 11:20 . 2009-04-25 20:59 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-26 11:19 . 2009-04-25 20:59 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-05-15 20:45 . 2009-05-15 20:45 -------- d-----w- c:\program files\ICQ6Toolbar
2009-05-15 20:45 . 2007-03-16 12:17 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-05-07 18:28 . 2009-05-07 18:28 -------- d-----w- c:\program files\CCleaner
2009-05-07 15:33 . 2004-08-18 12:00 346624 ----a-w- c:\windows\system32\localspl.dll
2009-04-30 06:50 . 2009-04-20 19:33 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-04-30 06:50 . 2009-04-30 06:50 -------- d-----w- c:\program files\Java
2009-04-29 04:47 . 2004-08-18 12:00 827392 ----a-w- c:\windows\system32\wininet.dll
2009-04-28 19:04 . 2009-04-28 19:01 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-04-28 18:36 . 2009-04-28 18:36 -------- d-----w- c:\program files\PDFCreator
2009-04-27 18:21 . 2009-02-13 08:08 -------- d-----w- c:\program files\Hardcopy
2009-04-19 19:52 . 2004-08-18 12:00 1847168 ----a-w- c:\windows\system32\win32k.sys
2009-04-19 19:04 . 2004-08-18 12:00 47206 ----a-w- c:\windows\system32\perfc005.dat
2009-04-19 19:04 . 2004-08-18 12:00 312970 ----a-w- c:\windows\system32\perfh005.dat
2009-04-15 14:54 . 2004-08-18 12:00 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2009-04-09 13:21 . 2009-04-09 13:21 55768 ----a-w- c:\windows\system32\drivers\epfwtdi.sys
2009-04-09 13:21 . 2009-04-09 13:21 33096 ----a-w- c:\windows\system32\drivers\epfwndis.sys
2009-04-09 13:21 . 2009-04-09 13:21 133000 ----a-w- c:\windows\system32\drivers\epfw.sys
2009-04-09 13:18 . 2009-04-09 13:18 107256 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2009-04-09 13:10 . 2009-04-09 13:10 113960 ----a-w- c:\windows\system32\drivers\eamon.sys
2009-03-30 19:00 . 2009-03-30 19:00 626688 ----a-w- c:\windows\system32\msvcr80.dll
2009-03-30 19:00 . 2009-03-30 19:00 548864 ----a-w- c:\windows\system32\msvcp80.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2007-09-13 22880040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-04-09 2029640]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-02-26 16125440]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Tomas\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Hardcopy.LNK - c:\program files\Hardcopy\hardcopy.exe [2009-2-13 1286656]
Windows Commander 32.lnk - c:\wincmd\WINCMD32.EXE [2007-10-18 1443328]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [9.4.2009 15:18 107256]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [9.4.2009 15:19 731840]
R2 WinDefend;Windows Defender;c:\program files\Windows Defender\MsMpEng.exe [3.11.2006 19:19 13592]
.
Obsah adresáře 'Naplánované úlohy'

2009-06-15 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Windows Defender\MpCmdRun.exe [2006-11-03 17:20]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.centrum.cz/skinit/icq/
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office\EXCEL.EXE/3000
FF - ProfilePath -

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-15 19:17
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\MessengerService]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows\CurrentVersion\Run]
@DACL=(02 0000)

[HKEY_USERS\S-1-5-20_Classes\Software\Microsoft\Windows NT\CurrentVersion\Network\Persistent Connections]
@DACL=(02 0000)
DUMPHIVE0.003 (REGF)

[HKEY_USERS\S-1-5-21-1460304000-3615762775-1979223112-1008\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:9c,99,cf,bd,01,69,ff,0e,a0,3b,3a,9f,bd,5f,ec,a5,c7,78,ea,72,f2,08,cd,
9c,2f,e0,a8,64,3a,b3,c7,89,ab,28,12,20,4b,30,d6,9e,29,3b,9b,4a,34,0b,71,6b,\
"??"=hex:6f,78,d6,80,a5,79,1f,fb,6f,a7,34,1e,1d,9f,8c,96
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'winlogon.exe'(1032)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(4008)
c:\program files\Hardcopy\HcDLL2_28_Win32.dll
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2009-06-15 19:17
ComboFix-quarantined-files.txt 2009-06-15 17:17

Před spuštěním: Volných bajtů: 87 257 198 592
Po spuštění: Volných bajtů: 87 244 816 384

138 --- E O F --- 2009-06-10 15:56

[jaro3]

Stáhni si Security Check by screen317 z některého odkazu
http://screen317.spywareinfoforum.org/SecurityCheck.exe
http://screen317.changelog.fr/SecurityCheck.exe

ulož si ho na plochu, poklepej na něj a postupuj podle instrukcí v černém okně. Potom se automaticky otevře pozn. Blok, bude mít název checkup.txt. Jeho obsah sem prosím zkopíruj.


Stáhni si a spusť DDS (by sUBs)
a ulož si ho na plochu.
- spusť ho, objeví se ti okno a tak do něho neklikej a počkej až program proběhne
- po ukončení své činnosti program vytvoří 2 logy a vyhodí ti informativní okno. To zavři přes OK
- vlož sem pak celý obsah logu z DDS

Bohužel dnes musím končit , omlouvám se .
Ještě zkus toto:
Proveď kontrolu a vlož sem log z Kaspersky Online Scanner!

-Ve vistě musíš prohlížeč otevřít jako administrátor. K užití skeneru je třeba stáhnout a nainstalovat programové soubory a databázi.
-V Linuxu skener neskenuje RAM, boot. sektor a MBR, takže nemůže detekovat nákazy v těchto místech.
-Skener detekuje nákazy, které jsou již v PC, takže se potom dají manuálně smazat.
-Před skenem je vhodné vypnout rez. ochranu antiviru a antispywaru.
Klikni na Accept, k potvrzení podmínek.
Pokud se Ti objeví okno zabezpečení prostředí java- dej přijmout.
- Začne se stahovat databáze a program.
- Po jeho skončení klikni vlevo na pod Scan na My computer
Začne sken Tvého PC.
Sken může trvat i několik hodin.. Po ukončení skenu klikni na Scan Report.
Poté zvol Save a název zvol: KAV.
Obsah mi sem prosím zkopíruj.
Zítra se ještě kouknu na ty zamčené klíče..

[Fanthomas]

Ty nemáš důvod se Jaro omlouvat, to spíš já, že tě okrádám o čas!!

Security check:

Results of screen317's Security Check version 0.98.4
Windows XP Service Pack 3
``````````````````````````````
Antivirus/Firewall Check:
``````````````````````````````
ESETSmartSecurity
``````````````````````````````
Anti-malware/Other Utilities Check:
``````````````````````````````
Spybot - Search & Destroy
Windows Defender
Malwarebytes' Anti-Malware
HijackThis 2.0.2
CCleaner (remove only)
Java(TM) 6 Update 13
[color=red]Out of date Java installed!
Adobe Flash Player 10
``````````````````````````````
Process Check:
objlist.exe by Laurent
``````````````````````````````
Windows Defender MSMpEng.exe
[color=red]Windows Defender MSASCui.exe is disabled!
Spybot SDHelper is disabled!
ESET ESET Smart Security ekrn.exe
ESET ESET Smart Security egui.exe
``````````````````````````````
DNS Vulnerability Check:
``````````````````````````````
[b]Request Timed Out (Check Internet connection?)[/b]

Scan took 15 seconds.
`````````End of Log```````````[/color]

Nevím jestli to má s tím co dělat, ale v tom okně po Security Check u těch položek *** Nelze najít název serveru atd. jsou zrovna ty 2 adresy, ze kterých dnes přicházely ty útoky.

DDS

DDS (Ver_09-05-14.01) - NTFSx86
Run by Tomas at 20:41:48,98 on po 15.06.2009
Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_13
Microsoft Windows XP Home Edition 5.1.2600.3.1250.420.1029.18.1023.524 [GMT 2:00]

AV: ESET Smart Security 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

============== Running Processes ===============

C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
C:\WINDOWS\system32\Ati2evxx.exe
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Hardcopy\hardcopy.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Tomas\Plocha\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.seznam.cz/
uURLSearchHooks: H - No File
BHO: Podpora odkazu pro Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [Skype] "c:\program files\skype\phone\Skype.exe" /nosplash /minimized
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [egui] "c:\program files\eset\eset smart security\egui.exe" /hide /waitservice
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\tomas\nabdka~1\programy\posput~1\hardcopy.lnk - c:\program files\hardcopy\hardcopy.exe
StartupFolder: c:\docume~1\tomas\nabdka~1\programy\posput~1\window~1.lnk - c:\wincmd\WINCMD32.EXE
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\micros~2\office\EXCEL.EXE/3000
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://go.microsoft.com/fwlink/?linkid=39204
DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windows ... 2271583734
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinsta ... s-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shoc ... wflash.cab
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: AtiExtEvent - Ati2evxx.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Microsoft AntiMalware ShellExecuteHook: {091eb208-39dd-417d-a5dd-7e2c2d8fb9cb} - c:\progra~1\wifd1f~1\MpShHook.dll

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\tomas\dataap~1\mozilla\firefox\profiles\ih5vf0wz.default\
FF - prefs.js: browser.search.selectedEngine - Seznam
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_result ... id=afex&q=

---- FIREFOX POLICIES ----
c:\program files\mozilla firefox\greprefs\all.js - pref("capability.policy.mailnews.XMLHttpRequest.channel", "noAccess");
c:\program files\mozilla firefox\greprefs\all.js - pref("capability.policy.mailnews.SOAPEncoding.schemaCollection", "noAccess");
c:\program files\mozilla firefox\greprefs\all.js - pref("capability.policy.default.XMLHttpRequest.channel", "noAccess");
c:\program files\mozilla firefox\greprefs\all.js - pref("security.checkloaduri", true);
c:\program files\mozilla firefox\greprefs\all.js - pref("bidi.characterset", 1);
c:\program files\mozilla firefox\defaults\pref\channel-prefs.js - pref("app.update.channel", "release");
c:\program files\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");

============= SERVICES / DRIVERS ===============

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-4-9 107256]
R2 ekrn;ESET Service;c:\program files\eset\eset smart security\ekrn.exe [2009-4-9 731840]
R2 WinDefend;Windows Defender;c:\program files\windows defender\MsMpEng.exe [2006-11-3 13592]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\drivers\psched.sys [2004-8-18 69120]

=============== Created Last 30 ================

2009-06-15 19:15 161,792 a------- c:\windows\SWREG.exe
2009-06-15 19:15 155,136 a------- c:\windows\PEV.exe
2009-06-15 19:15 98,816 a------- c:\windows\sed.exe
2009-06-10 22:16 <DIR> --d----- c:\program files\Skype
2009-06-03 18:14 <DIR> --dsh--- c:\documents and settings\tomas\PrivacIE
2009-06-03 18:13 <DIR> --dsh--- c:\documents and settings\tomas\IETldCache
2009-06-03 18:09 <DIR> --d----- c:\windows\ie8updates
2009-06-03 18:09 102,912 -c------ c:\windows\system32\dllcache\iecompat.dll
2009-06-03 18:09 78,336 ac------ c:\windows\system32\dllcache\ieencode.dll
2009-06-03 18:09 78,336 a------- c:\windows\system32\ieencode.dll
2009-06-02 19:44 39,424 ac------ c:\windows\system32\dllcache\grpconv.exe
2009-06-02 19:44 39,424 a------- c:\windows\system32\grpconv.exe
2009-05-22 23:16 <DIR> --d----- c:\docume~1\tomas\dataap~1\DAEMON Tools Pro
2009-05-22 23:13 <DIR> --d----- c:\docume~1\alluse~1\dataap~1\DAEMON Tools Lite
2009-05-22 23:13 <DIR> --d----- c:\program files\DAEMON Tools Lite
2009-05-22 23:10 717,296 a------- c:\windows\system32\drivers\sptd.sys
2009-05-22 23:10 <DIR> --d----- c:\docume~1\tomas\dataap~1\DAEMON Tools Lite
2009-05-22 22:18 <DIR> --d----- c:\documents and settings\tomas\DoctorWeb

==================== Find3M ====================

2009-05-26 13:20 40,160 a------- c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-26 13:19 19,096 a------- c:\windows\system32\drivers\mbam.sys
2009-05-07 17:33 346,624 a------- c:\windows\system32\localspl.dll
2009-04-30 08:50 410,984 a------- c:\windows\system32\deploytk.dll
2009-04-29 06:47 827,392 a------- c:\windows\system32\wininet.dll
2009-04-19 21:52 1,847,168 a------- c:\windows\system32\win32k.sys
2009-04-19 21:04 312,970 a------- c:\windows\system32\perfh005.dat
2009-04-19 21:04 47,206 a------- c:\windows\system32\perfc005.dat
2009-04-15 16:54 585,216 a------- c:\windows\system32\rpcrt4.dll
2009-03-30 21:00 626,688 a------- c:\windows\system32\msvcr80.dll
2009-03-30 21:00 548,864 a------- c:\windows\system32\msvcp80.dll
2009-01-11 20:32 47,360 a------- c:\docume~1\tomas\dataap~1\pcouffin.sys
2008-03-02 19:11 32 a------- c:\docume~1\alluse~1\dataap~1\ezsid.dat

============= FINISH: 20:42:11,71 ===============


Kaspersky online

Monday, June 15, 2009
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Monday, June 15, 2009 12:27:39
Records in database: 2345167
Scan settings
Scan using the following database extended
Scan archives yes
Scan mail databases yes
Scan area My Computer
C:\
D:\
E:\
F:\
G:\
Scan statistics
Files scanned 41026
Threat name 0
Infected objects 0
Suspicious objects 0
Duration of the scan 00:37:06

No malware has been detected. The scan area is clean.
The selected area was scanned.

[jaro3]

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:

Kód: Vybrat vše

R3 - URLSearchHook: (no name) - - (no file)

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.

Stáhni si program OTMoveIt3 (by OldTimer)
http://www.edisk.cz/stahni/07995/OTMove ... .39KB.html
a ulož si ho na disk C a spusť ho.
- Do levého sloupce (Paste Instructions for Items to be Moved) zkopíruj tyto cesty:
Poznámka: Nepoužij k označení funkci VYBRAT VŠE

Kód: Vybrat vše

:Processes
explorer.exe

:Services

:Reg

:Files

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]


- Po zkopírování klikni na tlačítko MoveIt! a vlož sem následně celý obsah z pravého sloupce, jinak uložený ve složce C:\_OTMoveIt\MovedFiles\, který bude informovat o výsledcích
- Je možné, že pokud nebudou moci být soubory odstraněny, budeš dotázán na restart počítače, v tom případě restart potvrď.
Měli bysme tím pročistit Mozzilu FF, asi používáš jen tento prohlížeč.
Jinak budeme pokračovat asi odpoledne.

[Fanthomas]

Takže tady to je Jaro. Jinak jsem si ještě všimnul, že se mi od včerejška nespouští automaticky Windows Defender i přesto že to je v možnostech nastavené.

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Tomas\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_32c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully

OTM by OldTimer - Version 2.1.0.1 log created on 06162009_165817

Files moved on Reboot...
File C:\WINDOWS\temp\Perflib_Perfdata_32c.dat not found!

Registry entries deleted on Reboot...

[jaro3]

Zkus ho přeinstalovat , momentálně jsem bohužel na odchodu , budu až zítra. Kontaktoval jsem fredika, kvůli těm útokům...

[Fanthomas]

Takže jsem ten Defender přeinstaloval a už pracuje jak má. Koukal jsem že fredik tu byl naposledny před 16 dny. Jinak dnes prozatím úspěch, zatím jen jeden detekovaný útok z Turecka :-)