PROSIM O KONTROLU LOGU

[sinner85]

zdravim..

s tim SDfixem je problem, protze kdyz dam v nouzaku stav nouze (bez prace v siti) nelognu se do systemu, ptze jsem v domene..

tak nevim..

no nicmene jsem mezitim zkousel opravu systemu, nasel jsem konecne i xp cd..nactou se ovladace atd..dam R jako opravit..pote vyskoci nabidka, na ktery OS se chci nalogovat..(na vyber je jen jeden) vyberu tedy moznost "1" stisknu enter..chce to po me admin pw..zadam admin pw..pak chvili cekam a objevi se jen C:\WINDOWS..a to je vse,..zadne kopirovani souboru..oprava neprobehne..tak opravdu nevim,..jak na to :((((

[Reklama]

[jaro3]

Myslím , že to děláš dobře, nevím proč to nejde.
Zkus ještě toto v nouzovém režimu:
Stáhni si ComboFix (by sUBs)

a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý

[sinner85]

tady to je :

ComboFix 08-12-01.01 - brt 2008-12-02 14:35:44.1 - NTFSx86 NETWORK
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1033.18.778 [GMT 1:00]
Spuštěný z: c:\documents and settings\BRT\Desktop\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
c:\windows\system32\drivers\npf.sys
c:\windows\system32\Packet.dll
c:\windows\system32\WanPacket.dll
c:\windows\system32\win32.dll
c:\windows\system32\wpcap.dll
c:\windows\winhelp.ini

----- BITS: Možné infikované stránky -----

hxxp://brno
.
((((((((((((((((((((((((((((((((((((((( Ovladače/Služby )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((((( Soubory vytvořené od 2008-11-02 do 2008-12-02 )))))))))))))))))))))))))))))))
.

2008-12-02 13:35 . 2008-11-06 02:03 <DIR> d-------- C:\SDFix
2008-12-02 09:49 . 2008-12-02 09:49 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-02 09:49 . 2008-12-02 09:49 <DIR> d-------- c:\documents and settings\BRT\Application Data\Malwarebytes
2008-12-02 09:49 . 2008-12-02 09:49 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-02 09:49 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-02 09:49 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-02 09:14 . 2008-12-02 09:14 <DIR> d-------- c:\program files\ESET
2008-12-02 09:14 . 2008-12-02 09:14 <DIR> d-------- c:\documents and settings\All Users\Application Data\ESET
2008-12-01 10:49 . 2008-12-01 11:06 <DIR> d-------- c:\program files\SNRWWW
2008-11-24 14:42 . 2008-11-24 14:42 <DIR> d-------- c:\program files\uTorrent
2008-11-24 14:42 . 2008-12-01 16:32 <DIR> d-------- c:\documents and settings\BRT\Application Data\uTorrent
2008-11-24 09:05 . 2008-11-24 09:05 <DIR> d-------- c:\windows\system32\EurotaxGlass
2008-11-21 11:46 . 2008-11-21 11:46 54,156 --ah----- c:\windows\QTFont.qfn
2008-11-21 11:46 . 2008-11-21 11:46 1,409 --a------ c:\windows\QTFont.for
2008-11-20 15:21 . 2008-11-20 15:21 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-20 15:21 . 2008-11-20 15:21 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-11-20 11:13 . 2008-11-26 10:36 <DIR> d-------- C:\AWI-CZ
2008-11-20 10:41 . 2008-11-20 10:41 <DIR> d-------- c:\documents and settings\BRT\Application Data\TuneUp Software
2008-11-20 10:40 . 2008-11-20 10:40 <DIR> d-------- c:\program files\TuneUp Utilities 2008
2008-11-20 10:40 . 2008-11-20 10:40 <DIR> d-------- c:\documents and settings\All Users\Application Data\TuneUp Software
2008-11-20 10:40 . 2008-11-20 10:41 306,432 --a------ c:\windows\system32\TuneUpDefragService.exe
2008-11-20 10:40 . 2007-12-20 10:41 29,440 --a------ c:\windows\system32\uxtuneup.dll
2008-11-20 10:13 . 2008-11-20 10:17 <DIR> d-------- c:\program files\CCleaner
2008-11-19 09:25 . 2008-11-19 09:25 <DIR> d-------- c:\documents and settings\BRT\Application Data\dvdcss
2008-11-18 07:50 . 2008-11-18 07:50 <DIR> d---s---- c:\documents and settings\BRT\UserData
2008-11-14 10:53 . 2008-11-14 10:53 <DIR> d-------- c:\program files\Makayama Interactive
2008-11-14 10:53 . 2004-02-05 20:53 389,120 --a------ c:\windows\system32\actskn43.ocx
2008-11-14 10:53 . 2004-11-01 12:38 57,344 --a------ c:\windows\system32\XButton.ocx
2008-11-14 09:27 . 2008-11-14 10:36 <DIR> d-------- c:\documents and settings\BRT\Application Data\vlc
2008-11-14 09:17 . 2008-11-14 09:17 <DIR> d-------- c:\program files\VideoLAN
2008-11-07 11:06 . 2008-11-07 11:08 <DIR> d-------- C:\CharTrans
2008-11-06 09:32 . 2008-11-06 09:32 <DIR> d-------- c:\program files\Trend Micro
2008-11-03 11:19 . 2008-11-03 12:07 <DIR> d-------- c:\program files\QIP

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-02 08:12 --------- d-----w c:\program files\Symantec
2008-12-01 09:54 --------- d-----w c:\program files\EurotaxFORECAST
2008-11-25 07:02 --------- d-----w c:\documents and settings\BRT\Application Data\AdobeUM
2008-11-24 08:10 --------- d-----w c:\program files\EurotaxGlass
2008-11-20 14:20 --------- d-----w c:\program files\Java
2008-11-20 09:39 --------- d-----w c:\program files\Common Files\Wise Installation Wizard
2008-11-20 09:31 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-13 12:37 --------- d-----w c:\program files\XLAB ISL Boot
2008-11-07 10:02 --------- d-----w c:\program files\Eurotax
2008-10-30 07:42 --------- d-----w c:\program files\Native Instruments
2008-10-30 07:41 --------- d-----w c:\program files\Winamp
2008-10-30 07:35 --------- d-----w c:\program files\Common Files\Adobe
2008-10-30 07:23 --------- d-----w c:\program files\Lavasoft
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-17 11:44 --------- d-----w c:\documents and settings\BRT\Application Data\LimeWire
2008-10-13 13:38 --------- d-----w c:\program files\Real
2008-10-13 13:34 --------- d-----w c:\program files\InterVideo
2008-10-08 14:31 --------- d-----w c:\documents and settings\BRT\Application Data\mIRC
2008-10-08 14:03 --------- d-----w c:\program files\mIRC
2008-10-06 14:17 --------- d-----w c:\program files\Crystal Decisions
2008-10-06 14:17 --------- d-----w c:\program files\Common Files\Crystal Decisions
2007-12-20 12:43 48,640 ----a-w c:\documents and settings\BRT\timeseal.exe
2005-10-20 13:24 24 ----a-w c:\program files\Server.ini
2008-11-07 12:49 27,976 ----a-w c:\program files\mozilla firefox\plugins\atgpcdec.dll
2008-11-07 12:49 125,848 ----a-w c:\program files\mozilla firefox\plugins\atgpcext.dll
2008-11-07 12:50 46,408 ----a-w c:\program files\mozilla firefox\plugins\atmccli.dll
2007-10-26 08:38 98,704 ----a-w c:\program files\mozilla firefox\plugins\ieatgpc.dll
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-12-21 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-12-21 126976]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"eabconfg.cpl"="c:\program files\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"Cpqset"="c:\program files\HPQ\Default Settings\cpqset.exe" [2004-11-19 233534]
"hpWirelessAssistant"="c:\program files\HPQ\HP Wireless Assistant\HP Wireless Assistant.exe" [2004-12-09 790528]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2004-08-04 143360]
"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-07-19 52896]
"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2006-11-27 126048]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-05-14 35328]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-20 136600]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 158208]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 c:\windows\system32\bthprops.cpl]
"AGRSMMSG"="AGRSMMSG.exe" [2005-04-13 c:\windows\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

c:\documents and settings\All Users\Start Menu\Programs\Startup\
BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2006-04-28 633856]
Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2005-03-29 569405]
Dienst-Manager.lnk - c:\program files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308]
Service Manager.lnk - c:\program files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 74308]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-515967899-73586283-682003330-2112\Scripts\Logon\0\0]
"Script"=printerScript.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-515967899-73586283-682003330-2112\Scripts\Logon\1\0]
"Script"=LogonScript.bat

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Acrobat Assistant.lnk]
backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^DVD Check.lnk]
backup=c:\windows\pss\DVD Check.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^BRT^Start Menu^Programs^Startup^LimeWire On Startup.lnk]
path=c:\documents and settings\BRT\Start Menu\Programs\Startup\LimeWire On Startup.lnk
backup=c:\windows\pss\LimeWire On Startup.lnkStartup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\egui]
--a------ 2008-06-10 18:52 1447168 c:\program files\ESET\ESET NOD32 Antivirus\egui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
--a------ 2004-09-23 20:41 860160 c:\program files\Analog Devices\SoundMAX\SMax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog]
--a------ 2004-12-08 17:44 184320 c:\program files\InterVideo\DVD Check\DVDCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WZCSVC"=2 (0x2)
"Symantec AntiVirus"=2 (0x2)
"SNDSrvc"=3 (0x3)
"SavRoam"=2 (0x2)
"DefWatch"=2 (0x2)
"MSSQLServerADHelper"=3 (0x3)
"MSSQLSERVER"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"PCSuiteTrayApplication"=c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" -osboot
"RemoteDesktopManager"=c:\documents and settings\BRT\Desktop\RemoteDesktopManager.exe /Silent
"IBS"="c:\program files\IBS expert\TAXexpert 3 CZ\taxcheck.exe" /verysilent

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 stwlfbus;stwlfbus;c:\windows\system32\DRIVERS\stwlfbus.sys [2003-04-27 8704]
R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2008-06-10 34312]
R3 IFXTPM;IFXTPM;c:\windows\system32\DRIVERS\IFXTPM.SYS [2004-09-02 32640]
R3 PSched;QoS Packet Scheduler;c:\windows\system32\DRIVERS\psched.sys [2004-08-04 69120]
R3 st3wolf;st3wolf;c:\windows\system32\DRIVERS\st3wolf.sys [2003-04-27 99360]
S2 ABBYY.Licensing.FineReader.Corporate.9.0;ABBYY FineReader 9.0 CE Licensing Service;"c:\program files\Common Files\ABBYY\FineReader\9.00\Licensing\CE\NetworkLicenseServer.exe" -service [2007-11-21 660768]
S3 EraserUtilDrv10730;EraserUtilDrv10730;\??\c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilDrv10730.sys [2007-08-15 112688]
S3 gtcdcmdm;GTRAN USB CDC Driver (PID 3196);c:\windows\system32\DRIVERS\gtusbmdm_gpc6400.sys []
S3 GTIPCI21;GTIPCI21;c:\windows\system32\DRIVERS\gtipci21.sys [2004-05-03 80384]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{06d2a631-0594-11dd-969b-0010c69b93e4}]
\Shell\AutoRun\command - y:\wd_windows_tools\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aebbc313-98f2-11dd-971f-0010c69b93e4}]
\Shell\AutoRun\command - i:\wd_windows_tools\WDSetup.exe
.
Obsah adresáře 'Naplánované úlohy'

2008-11-28 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2008\OneClick.exe [2007-12-21 15:17]
.
.
------- Doplňkový sken -------
.
FireFox -: Profile - c:\documents and settings\BRT\Application Data\Mozilla\Firefox\Profiles\6ouu5s6w.default\
FF -: plugin - c:\program files\Adobe\Acrobat 6.0\Acrobat\browser\nppdf32.dll
FF -: plugin - c:\program files\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\program files\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\npatgpc.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\npdeploytk.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-02 14:40:49
Windows 5.1.2600 Service Pack 2 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\program files\HPQ\Default Settings\cpqset.exe????????2?8?3?-??????? ?4?B?????????????hLC? ??????

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
Celkový čas: 2008-12-02 14:43:48 - počítač byl restartován [brt]
ComboFix-quarantined-files.txt 2008-12-02 13:43:25

Před spuštěním: 7,282,003,968 bytes free
Po spuštění: 7,176,253,440

217 --- E O F --- 2008-11-26 09:00:25


diky za kontrolu..

[sinner85]

tak jsem jeste vse projel tuneup-1click a ccleanerem, naslo to par veci, par registru..a jeste to v nouzaku projizdim nodem..oprava systemu se mi nepovedla :/ potom az skonci nod, zkusim se lognot na normal mode a projet to sdfixem..

[jaro3]

Dostaneš se už do normálního režimu?
Nemáš poškozený soubor boot.ini?
Koukni , zda toto znáš:
c:\program files\SNRWWW
C:\AWI-CZ
c:\documents and settings\BRT\Application Data\AdobeUM Adobe..tam koukni , co tam máš , je to většinou samý trojan....
c:\program files\Server.ini
Pokud něco neznáš :
otestuj na Virustotal
Ten poslední určitě..
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok.
Zkopíruj do něj následující celý text označený zeleně:
Poznámka: Nepoužij k označení skriptu funkci VYBRAT VŠE

Kód: Vybrat vše

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000000

Zvol možnost Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: CFScript.txt
Uložit jako typ: tak tam vyber Všechny soubory
Ulož soubor na plochu.
Ukonči všechna aktivní okna.

Uchop myší vytvořený skript CFScript.txt, přemísti ho nad stažený program ComboFix.exe a když se oba soubory překryjí, skript upusť.
- Automaticky se spustí ComboFix
- Vlož sem log, který vyběhne v závěru čistícího procesu + nový log z HJT
jj přesně tak , zkus odinstalovat Symantec/Norton, ale jsou s tím problémy, tady na fóru byl odkaz , myslím od memphista..

[sinner85]

ahoj, no vsechno znam..awi je redakcni program..server.jsem vytvarel je, kdyz sme rekonfigurovali server..SNRWWW moje slozka..stejne to tim virustotal projedu a pak hned zkusim normal mode spustit..a dam ti vedet..mam na to hodinu..pak leftuju job..diky

[jaro3]

Upravil jsem script ( smazána mezera). V těch výmazech(CF) je i logger Banker, tak jestli tam byly nějaké důležité informace....

[sinner85]

Ahoj,

tak nakonec jsem trapeni ukoncil smrti PC..format..a diky tomu jsme v praci dostal lepsi , takze to vlastne dobre dopadlo.. diky za snahu..nevim proste co to je za vir..ten VIRUSDEFENDER 2009..u dvou ruznych pc se mi ve FF3 znicehoonic otevrelo tohle okno s WINDOWSDEFENDER 2009 nebo tak nejak a do par hodin byl PC naprosto k nepouziti..zpomaleni,sekani, nenacitani exploreru atd atd.nesel otevrit spravce uloh, nefungoval bod oboveni, neslo se dostat do ovladacich panelu atd..nevim no.. ale i tak dik..

cau