PC s trvalým přenosem dat z a do sitě 2

[Jirkazjihu]

Ještě jednou k témuž tématu -
nepovedlo se mi spustit poslední krok - ToolsCleaner2 - po jeho natažení a spuštění se ohlásilo "Nelze najít Framedym.dll") a bylo...
Teď se po dni klidu se objevil trvalý pohyb na síti zase.
Vyjel jsem HJT log a Mbam log (ten nalezený problém je snad jen vypnutí kontroly AV SW v Centru zabezpečení)
Pokud máš chvíli - co Ty na to?
Jirka
**************************************************************************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:05:37, on 18.3.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\SolidWorks Corp\SolidWorks Flow Simulation\binCFW\StandAloneSlv.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Sybase\Shared\Sybase Central 4.3\win32\scjview.exe
C:\Program Files\Sybase\SQL Anywhere 9\win32\dbisqlg.exe
C:\WINDOWS\system32\ctfmon.exe
D:\scan\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.seznam.cz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [SybaseCentral43] "C:\Program Files\Sybase\Shared\Sybase Central 4.3\win32\scjview.exe" -preload
O4 - HKCU\..\Run: [DBISQL9] "C:\Program Files\Sybase\SQL Anywhere 9\win32\dbisqlg.exe" -preload
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8231923390
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9802396-A944-4F6E-8D78-4CBCA4930961}: NameServer = 194.228.2.1,194.228.2.61
O23 - Service: SW Distributed TS Coordinator Service (coordinatorservicehost) - Dassault Systemes SolidWorks Corp. - C:\Program Files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe
O23 - Service: Eset HTTP Server (ehttpsrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service (flexnet licensing service) - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Služba Google Update (gupdate1c9e014ecc10dd4) (gupdate1c9e014ecc10dd4) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Solver for Flow Simulation 2010 (remote solver for flow simulation 2010) - Mentor Graphics Corporation - C:\Program Files\SolidWorks Corp\SolidWorks Flow Simulation\binCFW\StandAloneSlv.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe
--
End of file - 4547 bytes
******************************************************************************
Malwarebytes' Anti-Malware 1.44
Verze databáze: 3839
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

18.3.2010 5:52:51
mbam-log-2010-03-18 (05-52-29).txt

Typ kontroly: Kompletní kontrola (C:\|D:\|)
Zkontrolované objekty: 220172
Uplynulý čas: 59 minute(s), 30 second(s)

Infikované procesy v paměti: 0
Infikované moduly v paměti: 0
Infikované klíče registru: 0
Infikované hodnoty registru: 0
Infikované datové položky registru: 1
Infikované adresáře: 0
Infikované soubory: 0

Infikované procesy v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované moduly v paměti:
(Nebyly nalezeny žádné škodlivé položky)

Infikované klíče registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované hodnoty registru:
(Nebyly nalezeny žádné škodlivé položky)

Infikované datové položky registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infikované adresáře:
(Nebyly nalezeny žádné škodlivé položky)

Infikované soubory:
(Nebyly nalezeny žádné škodlivé položky)
**************************************************************************************

[Reklama]

[alenka_v_říši_divů]

A zkoušel si nějakou analýzu datovýho přenosu?
Nástrojů je mrtě...

http://www.slunecnice.cz/sw/currports/

http://www.slunecnice.cz/sw/eset-sysinspector/

atd...

[Damned]

Stáhni si :Dr. Web CureIt nebo z http://www.majorgeeks.com/Dr.Web_CureIT_d4783.html dej update , po aktualizaci dej start.

Tlačítky dole můzeš soubor léčit, smazat, přesunout nebo přejmenovat.Pak napiš výsledek. Sken může trvat dlouho. Nalezenou infekci nejdříve léčit, potom teprve smazat. Pokud něco najde ve složce System Volume Information, tak smazat.
*****************************************************************************************************************************************
Spusť F-Secure Online Scanner

Tento skener je možno použít jen v prohlížeči Internet Explorer! Postupuj podle instrukcí na stránce F-Secure pro správnou instalaci.
Akceptuj licenci.
Po instalaci ActiveX, klikni na Full System Scan. Když je stahování skončeno, automaticky začne sken.
Vyčkej konce skenu, po jeho dobu neprováděj jiné operace ani neklikej myší. Když skončí sken, klikni na tlačítko Automatic clearing (recommended).
Poté klikni na tlačítko Show Report a zkopíruj a vlož sem .

[Jirkazjihu]

...přikládám log z F-secure
Po odstranění bugs v minulé seansi začínám mít u stávajícího provozu podezření na nevyžádaný provoz korektní aplikace (SolidWorks).
Zkouším odstřelit postupně jeho části, přesto se prosím podívej na ten log.
díky Jirka

**********************************************************************
Hlášení kontroly
Čtvrtek, Březen 18, 2010 12:09:38 - 12:45:36

Název počítače: BEJVL
Typ kontroly: Kontrolovat systém na přítomnost malwaru, spywaru a programů rootkit
Cíl: C:\ D:\
Nebyl nalezen žádný malware.
Statistika
Kontrolováno:

* Soubory: 42228
* Systém: 3343
* Nekontrolováno: 10

Akce:

* Vyléčeno: 0
* Přejmenováno: 0
* Odstraněno: 0
* Nevyčištěno: 0
* Odesláno: 0

Nekontrolované soubory:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\HSPERFDATA_ADMIN\1604
* C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\HSPERFDATA_ADMIN\1488
* C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\HSPERFDATA_ADMIN\3016
* C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\HSPERFDATA_ADMIN\1896

Možnosti
Moduly kontroly:

Možnosti kontroly:

* Kontrolovat určené soubory: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Používat pokročilou heuristiku

Copyright © 1998–2009 Podpora produktu | Odeslat vzorek viru společnosti F-Secure
Společnost F-Secure nepřejímá jakoukoli odpovědnost za materiály vytvořené nebo publikované třetími stranami, na které odkazují webové stránky společnosti F-Secure. Pokud odešlete na kterýkoli z našich serverů jakýkoli materiál (například pomocí e-mailu nebo prostřednictvím e-mailu F-Secure CGI), souhlasíte, že všechny vámi zpřístupněné materiály mohou být publikovány na webových stránkách společnosti F-Secure nebo tiskově publikovány, s výjimkou případu, kdy jednoznačně oznámíte svůj nesouhlas. Veřejné webové stránky společnosti F-Secure navštívíte klepnutím na následující odkazy. Současně bude váš přístup zaznamenán do našich osobních statistik přístupu pro název vaší domény. Tato informace nebude předávána třetím stranám. Tímto vyjadřujete svůj souhlas s tím, že ohledně odesílaných materiálů nepodniknete vůči nám jakékoli právní kroky. Odesláním materiálu opravňujete společnost F-Secure k tomu, že může začlenit jakékoli koncepty popsané v těchto materiálech bez dalších závazků, pokud výslovně neuvedete jinak.
********************************************************************************

[Damned]

Log je v pořádku.

Start-spustit-napiš: notepad a dej OK. Do něho vlož tento celý (bledě zelený) text:

Kód: Vybrat vše

dir \framedym.dll /a h /s > File.txt

uložho na Plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.

Vypni rezidentní štít antiviru (pokud máš tak i antispyware).
Stáhni si ComboFix (by sUBs)
nebo ComboFix (subs)
a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem tlačítka Ano
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

[Jirkazjihu]

včera konečně zpátky z cest..
přikládám logy (ten od framedyn je proklatě krátký)
****************************************
Svazek v jednotce C nem  § dnou jmenovku.
S‚riov‚ źˇslo svazku je F45B-B039.
****************************************
ComboFix 10-03-22.03 - admin 23.03.2010 15:43:26.3.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1023.519 [GMT 1:00]
Spuštěný z: c:\documents and settings\admin\Plocha\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Vytvořen nový Bod Obnovení
.

((((((((((((((((((((((((( Soubory vytvořené od 2010-02-23 do 2010-03-23 )))))))))))))))))))))))))))))))
.

2010-03-22 10:47 . 2009-11-11 13:50 311296 ----a-w- c:\windows\system32\TubeFinder.exe
2010-03-22 10:47 . 2009-06-19 17:51 119568 ----a-w- c:\windows\system32\VB6FR.DLL
2010-03-22 10:47 . 2009-06-19 17:51 101888 ----a-w- c:\windows\system32\VB6STKIT.DLL
2010-03-22 10:47 . 2009-06-19 17:51 9728 ----a-w- c:\windows\system32\PCCLPFR.DLL
2010-03-22 10:47 . 2009-06-19 17:51 141312 ----a-w- c:\windows\system32\MSCMCFR.DLL
2010-03-22 10:47 . 2009-06-19 17:51 32768 ----a-w- c:\windows\system32\CMDLGFR.DLL
2010-03-22 10:47 . 2010-03-22 10:47 -------- d-----w- c:\program files\Free FLV Converter
2010-03-16 12:39 . 2010-03-16 12:41 -------- d-----w- c:\program files\TECHNIK
2010-03-12 10:37 . 2008-04-14 03:22 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe
2010-03-12 10:37 . 2008-04-14 03:22 39424 ----a-w- c:\windows\system32\grpconv.exe
2010-03-11 05:24 . 2010-03-11 05:24 -------- d-sh--w- c:\documents and settings\admin\IECompatCache
2010-03-11 05:23 . 2010-03-11 05:23 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2010-03-11 05:23 . 2010-03-11 05:23 -------- d-sh--w- c:\documents and settings\admin\PrivacIE
2010-03-11 05:22 . 2010-03-11 05:22 -------- d-sh--w- c:\documents and settings\admin\IETldCache
2010-03-11 05:14 . 2010-03-11 05:14 -------- d-----w- c:\program files\MSXML 4.0
2010-03-11 05:09 . 2009-12-11 08:38 69120 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-03-11 05:09 . 2010-03-11 05:52 -------- d-----w- c:\windows\ie8updates
2010-03-11 05:09 . 2009-12-21 19:08 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-03-11 05:09 . 2009-12-21 19:08 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-03-11 05:09 . 2009-12-21 19:08 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-03-11 05:09 . 2009-12-21 19:08 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-03-11 05:09 . 2009-12-21 19:08 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-03-11 05:09 . 2009-12-21 19:08 11070464 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-03-11 05:07 . 2010-03-11 05:09 -------- dc-h--w- c:\windows\ie8
2010-03-10 16:11 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe
2010-03-10 16:10 . 2009-12-31 16:50 353792 -c----w- c:\windows\system32\dllcache\srv.sys
2010-03-10 16:09 . 2009-12-04 18:22 455424 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-03-10 16:08 . 2009-10-15 16:32 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2010-03-10 16:08 . 2009-10-15 16:32 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2010-03-10 15:58 . 2009-06-21 21:48 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2010-03-10 15:53 . 2009-02-06 10:10 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2010-03-10 15:53 . 2009-12-09 10:11 2191360 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2010-03-10 15:53 . 2009-03-06 14:23 284160 -c----w- c:\windows\system32\dllcache\pdh.dll
2010-03-10 15:53 . 2009-02-09 11:25 111104 -c----w- c:\windows\system32\dllcache\services.exe
2010-03-10 15:53 . 2009-02-09 10:56 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll
2010-03-10 15:53 . 2009-02-09 10:56 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll
2010-03-10 15:53 . 2009-02-09 10:56 684032 -c----w- c:\windows\system32\dllcache\advapi32.dll
2010-03-10 15:53 . 2009-06-25 08:27 729088 -c----w- c:\windows\system32\dllcache\lsasrv.dll
2010-03-10 15:53 . 2009-02-09 10:56 709632 -c----w- c:\windows\system32\dllcache\ntdll.dll
2010-03-10 15:53 . 2009-02-09 10:56 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2010-03-10 15:53 . 2009-12-09 10:11 2147328 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2010-03-10 15:53 . 2009-12-09 10:11 2025984 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
2010-03-10 15:52 . 2008-04-21 21:15 216576 -c----w- c:\windows\system32\dllcache\wordpad.exe
2010-03-10 15:50 . 2009-07-31 04:35 1172480 -c----w- c:\windows\system32\dllcache\msxml3.dll
2010-03-10 15:50 . 2008-10-15 16:38 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll
2010-03-10 15:50 . 2008-05-01 14:37 331776 -c----w- c:\windows\system32\dllcache\msadce.dll
2010-03-10 15:49 . 2008-04-11 19:06 691712 -c----w- c:\windows\system32\dllcache\inetcomm.dll
2010-03-10 15:47 . 2008-06-14 17:35 272128 -c----w- c:\windows\system32\dllcache\bthport.sys
2010-03-10 15:47 . 2008-05-08 14:02 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys
2010-03-10 15:46 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-03-10 15:39 . 2010-03-10 15:39 -------- d-----w- c:\windows\system32\cs
2010-03-10 15:39 . 2010-03-10 15:39 -------- d-----w- c:\windows\l2schemas
2010-03-10 15:38 . 2010-03-10 15:38 -------- d-----w- c:\windows\system32\bits
2010-03-10 15:32 . 2010-03-10 15:32 -------- d-----w- c:\windows\ServicePackFiles
2010-03-10 15:02 . 2004-08-17 14:43 701440 ------w- c:\windows\system32\drivers\ati2mtag.sys
2010-03-10 14:42 . 2009-10-23 15:28 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe
2010-03-10 14:42 . 2009-07-10 13:28 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2010-03-09 11:10 . 2010-03-09 11:10 -------- d-----w- c:\program files\Lavasoft
2010-03-09 11:10 . 2010-03-09 11:10 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2010-03-09 10:16 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-09 10:16 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-03-09 10:16 . 2010-03-09 10:18 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-03-08 15:19 . 2005-09-12 12:20 25264 ----a-w- c:\windows\system32\smrgdf.exe
2010-03-08 15:19 . 2006-12-20 11:39 1212416 ----a-w- c:\windows\system32\Incinerator.dll
2010-03-08 15:19 . 2006-03-28 00:54 41472 ----a-w- c:\windows\system32\iolobtdfg.exe
2010-03-08 15:18 . 2010-03-08 15:18 -------- d-----w- c:\program files\iolo
2010-03-08 15:17 . 2010-03-08 15:17 -------- d-----w- c:\temp\systemmechanic
2010-03-08 15:17 . 2010-03-08 15:17 -------- d-----w- c:\temp\CCleaner
2010-03-05 14:39 . 2010-03-05 14:39 -------- d-----w- c:\program files\Common Files\Macrovision Shared
2010-03-05 14:28 . 2010-03-05 14:28 -------- d-----w- c:\program files\AGEIA Technologies
2010-02-26 14:51 . 2010-02-26 14:51 -------- d-----w- c:\documents and settings\CURRENT_USER\Data aplikací
2010-02-26 14:51 . 2010-02-26 14:51 -------- d-----w- c:\documents and settings\CURRENT_USER

.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-11 05:56 . 2006-03-02 12:00 98178 ----a-w- c:\windows\system32\perfc005.dat
2010-03-11 05:56 . 2006-03-02 12:00 487186 ----a-w- c:\windows\system32\perfh005.dat
2010-03-10 15:40 . 2007-07-16 06:46 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-03-10 15:40 . 2007-07-16 06:46 2740 ----a-w- c:\windows\pchealth\helpctr\PackageStore\SkuStore.bin
2010-03-10 15:25 . 2007-09-12 05:44 -------- d-----w- c:\program files\Google
2010-03-09 15:11 . 2007-07-16 13:07 5112 ----a-w- c:\windows\GPCIDrv.sys
2010-03-09 15:09 . 2007-07-16 13:07 17962 ----a-w- c:\windows\system32\drivers\GVTDrv.sys
2010-03-08 11:29 . 2009-01-13 13:26 -------- d-----w- c:\program files\Common Files\SolidWorks Shared
2010-03-08 11:16 . 2007-08-20 05:37 -------- d-----w- c:\program files\AutoCAD 2007
2010-03-08 11:02 . 2009-01-13 13:13 -------- d-----w- c:\program files\Common Files\Manažer instalací SolidWorks
2010-03-08 10:55 . 2009-01-13 13:25 -------- d-----w- c:\program files\SolidWorks Corp
2010-02-15 06:19 . 2010-01-11 06:46 -------- d-----w- c:\program files\DVDVideoSoft
2009-12-31 16:50 . 2006-03-02 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys
.

(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SybaseCentral43"="c:\program files\Sybase\Shared\Sybase Central 4.3\win32\scjview.exe" [2004-10-13 102400]
"DBISQL9"="c:\program files\Sybase\SQL Anywhere 9\win32\dbisqlg.exe" [2004-10-19 131072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]
"nwiz"="nwiz.exe" [2006-08-11 1519616]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-08-11 86016]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-10-07 1461080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKLM\~\startupfolder\c:^documents and settings^all users^nabídka start^programy^po spuštění^místní vyhledávání.lnk]
path=c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\Místní vyhledávání.lnk
backup=c:\windows\pss\Místní vyhledávání.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\soundmaxpnp]
2005-05-18 08:00 925696 ----a-r- c:\program files\Analog Devices\Core\smax4pnp.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\GIGABYTE\\VGA Utility Manager\\G-VGA.exe"=
"c:\\Program Files\\Sybase\\Shared\\Sybase Central 4.3\\win32\\scjview.exe"=
"c:\\Program Files\\Sybase\\SQL Anywhere 9\\win32\\dbisqlg.exe"=
"c:\\Program Files\\FInventory\\FInventory.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [1.7.2008 8:04 35168]
R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [7.10.2009 9:16 472280]
R2 remote solver for flow simulation 2010;Remote Solver for Flow Simulation 2010;c:\program files\SolidWorks Corp\SolidWorks Flow Simulation\binCFW\StandAloneSlv.exe [23.11.2009 19:48 71464]
S2 gupdate1c9e014ecc10dd4;Služba Google Update (gupdate1c9e014ecc10dd4);c:\program files\Google\Update\GoogleUpdate.exe [29.5.2009 5:21 133104]
S3 coordinatorservicehost;SW Distributed TS Coordinator Service;c:\program files\SolidWorks Corp\SolidWorks\swScheduler\DTSCoordinatorService.exe [5.1.2010 14:50 87336]
S3 esihdrv;esihdrv;\??\c:\docume~1\admin\LOCALS~1\Temp\esihdrv.sys --> c:\docume~1\admin\LOCALS~1\Temp\esihdrv.sys [?]
S3 GPCIDrv;GPCIDrv;c:\windows\GPCIDrv.sys [16.7.2007 14:07 5112]
S3 GVTDrv;GVTDrv;c:\windows\system32\drivers\GVTDrv.sys [16.7.2007 14:07 17962]
S3 MA8630C;MA8630C;c:\windows\system32\drivers\MA8630C.sys [18.7.2007 6:08 23248]
S3 MA8630M;MA8630M;c:\windows\system32\drivers\MA8630M.sys [18.7.2007 6:08 25428]
S3 MA8630U;MA8630U;c:\windows\system32\drivers\MA8630U.sys [18.7.2007 6:08 50642]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\program files\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [23.9.2005 7:01 2799808]
.
Obsah adresáře 'Naplánované úlohy'

2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-29 04:21]

2010-03-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-05-29 04:21]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www.seznam.cz/
TCP: {D9802396-A944-4F6E-8D78-4CBCA4930961} = 194.228.2.1,194.228.2.61
FF - ProfilePath - c:\documents and settings\admin\Data aplikací\Mozilla\Firefox\Profiles\00ie86ms.default\
FF - prefs.js: browser.search.selectedEngine -
FF - prefs.js: browser.startup.homepage - hxxp://seznam.cz/
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- NASTAVENÍ FIREFOXU ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".cz");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
.
------- Asociace souborů -------
.
JSEFile=NOTEPAD.EXE %1
.scr=AutoCADScriptFile
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-23 15:47
Windows 5.1.2600 Service Pack 3 NTFS

skenování skrytých procesů ...

skenování skrytých položek 'Po spuštění' ...

skenování skrytých souborů ...

sken byl úspešně dokončen
skryté soubory: 0

**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------

[HKEY_USERS\S-1-5-21-117609710-1177238915-725345543-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- Knihovny navázané na běžící procesy ---------------------

- - - - - - - > 'explorer.exe'(2348)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Celkový čas: 2010-03-23 15:48:56
ComboFix-quarantined-files.txt 2010-03-23 14:48

Před spuštěním: Volných bajtů: 51 216 830 464
Po spuštění: Volných bajtů: 51 200 557 056

- - End Of File - - 1DE1361DE9D8CD61CA2BF8337E2278AA

[jaro3]

Zavři ostatní aplikace a prohlížeče, odpoj se od netu a fixni v HJT:
Návod

Kód: Vybrat vše

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 8231923390

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na Virustotal
c:\windows\system32\smrgdf.exe
c:\windows\system32\dllcache\services.exe
c:\windows\system32\services.exe
c:\windows\system32\iolobtdfg.exe

Pokud už byl soubor testován-klikni na otestovat znovu.
Až skončí test všech antivirů, vlož sem pak odkazy na stránky s výsledky.

[Jirkazjihu]

...trochu mi do pronásledování havěti zasahují moje pracovní povinnosti ...
provedl jsem popsané.
Virustotal v souboru smrgdf.exe objevil 0 infekcí
v souboru iolobtdfg.exe také 0 infekcí.
Ve zbylých 2 souborech se něco našlo, log mi nešel uložit - vytiskl jsem ho tedy do pdf a přikládám.

[jaro3]

Budeme muset oba soubory nahradit..

Start-spustit-napiš: notepad ,do něho vlož tento celý text:

Kód: Vybrat vše

dir \services.exe /a h /s > File.txt

uložit na plochu s názvem: find.bat (typ souboru- všechny soubory)
Najdi ho na ploše, poklepej na něj a počkej až se okno zavře a objeví se soubor.txt
Vlož sem potom celý text z tohoto souboru.

[Jirkazjihu]

...pomocí dir si chceš ty soubory SERRVICES.EXE najít u mě v PC jinde..
Já jsem to již zkoušel v Průzkumníku i TotalComaderu. Průzkumník (ani po uvolnění skrytých souborů) nenajde podadresář DLLCACHE, TotalComander ano. Ten našel oba výskyty těchto souborů.
Mohu vzít zaručeně čerstvé soubory (mají stejné jméno, stejnou velikost, jsou na stejném místě v instalaci Windows a pocházejí z dnešní nové instalace WIN XP SP3 na jiném PC - jsou tedy snad i čisté) a překopírovat je na jejich místo ?
(Zajímavé je, že před instalací SP3 měly soubory velikost 108xxxkB, po SP3 111xxx kB - asi se jich týkala nějaká záplata)
Jirka

[jaro3]

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Mě ukazují oba soubory v těch cestách 106kB.
Můžeš tedy jít do nouz. režimu a překopírovat ty soubory , pozor na omyl...

c:\windows\system32\dllcache\services.exe
c:\windows\system32\services.exe