Prosim o kontrolu Vyřešeno
Re: Prosim o kontrolu
Pc je o neco rychlejsi a zad se ze je dobry. Mel jsem strach ze tam je nekde vir. Protoze se nekdy po deseti minutach a nekdy treba po hodine sam resetuje. Musim zaklepat ze po vycisteni vsemi programy se sam uz neresetoval.
Re: Prosim o kontrolu
Bootkit removeru se nelíbí Tvůj Mbr, asi bych ho raději opravila. Ty máš jen jeden systém? Je to stolní pc nebo notebook? Používáš něco na šifrování dat?
Spust znovu combofix, mrkneme zda bude pořád měnit ten systémový soubor.
Spust znovu combofix, mrkneme zda bude pořád měnit ten systémový soubor.
Re: Prosim o kontrolu
Mam jenom jeden system. Je to stolni pocitac. Sifrovani dat nepouzivam.
Tady je ten log ale zase mi to napsalo ze sjistil pritomnost aktivity rootkitu a ze se musi restartovat.
Jestli to nepujde nejak opravit tak preinstaluju win. Mi to nebude vadit.
ComboFix 11-01-08.04 - Iri&Tom 09.01.2011 9:44.5.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3583.3235 [GMT 1:00]
Spuštěný z: c:\documents and settings\Iri&Tom\Plocha\ComboFix.exe
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-12-09 do 2011-01-09 )))))))))))))))))))))))))))))))
.
2011-01-06 18:52 . 2011-01-06 18:57 -------- d-----w- C:\ToolBar SD
2011-01-06 18:38 . 2011-01-06 18:38 -------- d-----w- C:\rsit
2011-01-06 15:56 . 2011-01-06 15:56 -------- d-----w- C:\NVIDIA
2011-01-04 10:07 . 2011-01-04 10:07 -------- d-----r- C:\MSOCache
2011-01-03 19:39 . 2011-01-04 09:18 -------- d-----w- C:\Filmy
2011-01-03 18:17 . 2011-01-06 14:53 -------- d-----w- C:\Hry
2011-01-03 17:58 . 2011-01-03 18:11 -------- d-----w- C:\Tvoje veci
2011-01-03 17:54 . 2011-01-03 17:55 -------- d-----w- C:\totalcmd
2011-01-03 17:11 . 2011-01-04 11:00 -------- d-----w- C:\Programy
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-16 18:55 . 2008-03-24 11:52 9623680 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-10-16 18:55 . 2008-03-24 11:52 6359552 ----a-w- c:\windows\system32\nv4_disp.dll
2010-10-16 18:55 . 2008-03-24 11:52 4882432 ----a-w- c:\windows\system32\nvcuda.dll
2010-10-16 18:55 . 2008-03-24 11:52 1462272 ----a-w- c:\windows\system32\nvapi.dll
2010-10-16 18:55 . 2008-03-24 11:52 14532608 ----a-w- c:\windows\system32\nvoglnt.dll
2010-10-16 11:04 . 2010-10-16 11:04 81920 ----a-w- c:\windows\system32\nvwddi.dll
2010-10-16 11:04 . 2010-10-16 11:04 277608 ----a-w- c:\windows\system32\nvmccs.dll
2010-10-16 11:04 . 2010-10-16 11:04 13851752 ----a-w- c:\windows\system32\nvcpl.dll
2010-10-16 11:04 . 2010-10-16 11:04 110696 ----a-w- c:\windows\system32\nvmctray.dll
2010-10-16 11:04 . 2010-10-16 11:04 156776 ----a-w- c:\windows\system32\nvsvc32.exe
2010-10-16 11:04 . 2010-10-16 11:04 145000 ----a-w- c:\windows\system32\nvcolor.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-07_15.38.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-03 21:15 . 2008-04-13 23:45 574976 c:\windows\system32\dllcache\ntfs.sys
+ 2011-01-07 16:41 . 2011-01-07 16:41 1094656 c:\windows\Installer\a062c.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2011-01-03 778240]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-08-25 1753192]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\Launcher.exe"=
"c:\\Program Files\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\NFS11.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
S4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
.
.
------- Doplňkový sken -------
.
mWindow Title =
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: imon.dll
FF - ProfilePath - c:\documents and settings\Iri&Tom\Data aplikací\Mozilla\Firefox\Profiles\7zotd51k.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-09 09:56
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'lsass.exe'(732)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Celkový čas: 2011-01-09 09:58:06
ComboFix-quarantined-files.txt 2011-01-09 08:57
ComboFix2.txt 2011-01-08 16:21
ComboFix3.txt 2011-01-07 22:08
ComboFix4.txt 2011-01-07 16:35
ComboFix5.txt 2011-01-09 08:26
Před spuštěním: Volných bajtů: 152 697 602 048
Po spuštění: Volných bajtů: 152 694 988 800
- - End Of File - - C1D5E6375EA661509E27C7B95EA8452A
Tady je ten log ale zase mi to napsalo ze sjistil pritomnost aktivity rootkitu a ze se musi restartovat.
Jestli to nepujde nejak opravit tak preinstaluju win. Mi to nebude vadit.
ComboFix 11-01-08.04 - Iri&Tom 09.01.2011 9:44.5.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3583.3235 [GMT 1:00]
Spuštěný z: c:\documents and settings\Iri&Tom\Plocha\ComboFix.exe
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-12-09 do 2011-01-09 )))))))))))))))))))))))))))))))
.
2011-01-06 18:52 . 2011-01-06 18:57 -------- d-----w- C:\ToolBar SD
2011-01-06 18:38 . 2011-01-06 18:38 -------- d-----w- C:\rsit
2011-01-06 15:56 . 2011-01-06 15:56 -------- d-----w- C:\NVIDIA
2011-01-04 10:07 . 2011-01-04 10:07 -------- d-----r- C:\MSOCache
2011-01-03 19:39 . 2011-01-04 09:18 -------- d-----w- C:\Filmy
2011-01-03 18:17 . 2011-01-06 14:53 -------- d-----w- C:\Hry
2011-01-03 17:58 . 2011-01-03 18:11 -------- d-----w- C:\Tvoje veci
2011-01-03 17:54 . 2011-01-03 17:55 -------- d-----w- C:\totalcmd
2011-01-03 17:11 . 2011-01-04 11:00 -------- d-----w- C:\Programy
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-16 18:55 . 2008-03-24 11:52 9623680 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-10-16 18:55 . 2008-03-24 11:52 6359552 ----a-w- c:\windows\system32\nv4_disp.dll
2010-10-16 18:55 . 2008-03-24 11:52 4882432 ----a-w- c:\windows\system32\nvcuda.dll
2010-10-16 18:55 . 2008-03-24 11:52 1462272 ----a-w- c:\windows\system32\nvapi.dll
2010-10-16 18:55 . 2008-03-24 11:52 14532608 ----a-w- c:\windows\system32\nvoglnt.dll
2010-10-16 11:04 . 2010-10-16 11:04 81920 ----a-w- c:\windows\system32\nvwddi.dll
2010-10-16 11:04 . 2010-10-16 11:04 277608 ----a-w- c:\windows\system32\nvmccs.dll
2010-10-16 11:04 . 2010-10-16 11:04 13851752 ----a-w- c:\windows\system32\nvcpl.dll
2010-10-16 11:04 . 2010-10-16 11:04 110696 ----a-w- c:\windows\system32\nvmctray.dll
2010-10-16 11:04 . 2010-10-16 11:04 156776 ----a-w- c:\windows\system32\nvsvc32.exe
2010-10-16 11:04 . 2010-10-16 11:04 145000 ----a-w- c:\windows\system32\nvcolor.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-07_15.38.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2004-08-03 21:15 . 2008-04-13 23:45 574976 c:\windows\system32\dllcache\ntfs.sys
+ 2011-01-07 16:41 . 2011-01-07 16:41 1094656 c:\windows\Installer\a062c.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2011-01-03 778240]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-08-25 1753192]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\Launcher.exe"=
"c:\\Program Files\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\NFS11.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
S4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
.
.
------- Doplňkový sken -------
.
mWindow Title =
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: imon.dll
FF - ProfilePath - c:\documents and settings\Iri&Tom\Data aplikací\Mozilla\Firefox\Profiles\7zotd51k.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-09 09:56
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'lsass.exe'(732)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
.
Celkový čas: 2011-01-09 09:58:06
ComboFix-quarantined-files.txt 2011-01-09 08:57
ComboFix2.txt 2011-01-08 16:21
ComboFix3.txt 2011-01-07 22:08
ComboFix4.txt 2011-01-07 16:35
ComboFix5.txt 2011-01-09 08:26
Před spuštěním: Volných bajtů: 152 697 602 048
Po spuštění: Volných bajtů: 152 694 988 800
- - End Of File - - C1D5E6375EA661509E27C7B95EA8452A
Re: Prosim o kontrolu
Tu aktivitu rootkitu občas paranoidně hlásí. Řekla bych že kvůli driveru od virtuálek.
Já už tam nic nevidím. Ale raději ještě vyčistíme ten bootovací sektor.
Použij na combofix ještě tento skript:
Mbr::
Já už tam nic nevidím. Ale raději ještě vyčistíme ten bootovací sektor.
Použij na combofix ještě tento skript:
Mbr::
Re: Prosim o kontrolu
Jaky skript? Je tam napsane jenom Mbr::
Re: Prosim o kontrolu
Mě nefungovalo code 
.
Ano, do pozn. bloku napíšeš pouze
Uložíš zase jako CFScript.txt a upustíš nad combofix. Log pak vlož zde.
.Ano, do pozn. bloku napíšeš pouze
Kód: Vybrat vše
Mbr::Uložíš zase jako CFScript.txt a upustíš nad combofix. Log pak vlož zde.
Re: Prosim o kontrolu
Tak tady je ten log. Te combofix trva nejak hlouho. Skoro pul hodiny.
ComboFix 11-01-08.04 - Iri&Tom 09.01.2011 14:13:49.6.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3583.3234 [GMT 1:00]
Spuštěný z: c:\documents and settings\Iri&Tom\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Iri&Tom\Plocha\CFScript.txt.txt
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
Nakažená kopie c:\windows\system32\drivers\ntfs.sys byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\ERDNT\cache\ntfs.sys
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-12-09 do 2011-01-09 )))))))))))))))))))))))))))))))
.
2011-01-06 18:52 . 2011-01-06 18:57 -------- d-----w- C:\ToolBar SD
2011-01-06 18:38 . 2011-01-06 18:38 -------- d-----w- C:\rsit
2011-01-06 15:56 . 2011-01-06 15:56 -------- d-----w- C:\NVIDIA
2011-01-04 10:07 . 2011-01-04 10:07 -------- d-----r- C:\MSOCache
2011-01-03 19:39 . 2011-01-04 09:18 -------- d-----w- C:\Filmy
2011-01-03 18:17 . 2011-01-06 14:53 -------- d-----w- C:\Hry
2011-01-03 17:58 . 2011-01-03 18:11 -------- d-----w- C:\Tvoje veci
2011-01-03 17:54 . 2011-01-03 17:55 -------- d-----w- C:\totalcmd
2011-01-03 17:11 . 2011-01-04 11:00 -------- d-----w- C:\Programy
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-16 18:55 . 2008-03-24 11:52 9623680 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-10-16 18:55 . 2008-03-24 11:52 6359552 ----a-w- c:\windows\system32\nv4_disp.dll
2010-10-16 18:55 . 2008-03-24 11:52 4882432 ----a-w- c:\windows\system32\nvcuda.dll
2010-10-16 18:55 . 2008-03-24 11:52 1462272 ----a-w- c:\windows\system32\nvapi.dll
2010-10-16 18:55 . 2008-03-24 11:52 14532608 ----a-w- c:\windows\system32\nvoglnt.dll
2010-10-16 11:04 . 2010-10-16 11:04 81920 ----a-w- c:\windows\system32\nvwddi.dll
2010-10-16 11:04 . 2010-10-16 11:04 277608 ----a-w- c:\windows\system32\nvmccs.dll
2010-10-16 11:04 . 2010-10-16 11:04 13851752 ----a-w- c:\windows\system32\nvcpl.dll
2010-10-16 11:04 . 2010-10-16 11:04 110696 ----a-w- c:\windows\system32\nvmctray.dll
2010-10-16 11:04 . 2010-10-16 11:04 156776 ----a-w- c:\windows\system32\nvsvc32.exe
2010-10-16 11:04 . 2010-10-16 11:04 145000 ----a-w- c:\windows\system32\nvcolor.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-07_15.38.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-01-07 16:41 . 2011-01-07 16:41 1094656 c:\windows\Installer\a062c.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2011-01-03 778240]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-08-25 1753192]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\Launcher.exe"=
"c:\\Program Files\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\NFS11.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
S4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
.
.
------- Doplňkový sken -------
.
mWindow Title =
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: imon.dll
FF - ProfilePath - c:\documents and settings\Iri&Tom\Data aplikací\Mozilla\Firefox\Profiles\7zotd51k.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-09 14:26
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'lsass.exe'(732)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
- - - - - - - > 'explorer.exe'(2284)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\program files\Eset\nod32krn.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
.
**************************************************************************
.
Celkový čas: 2011-01-09 14:30:15 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-01-09 13:30
ComboFix2.txt 2011-01-09 08:58
ComboFix3.txt 2011-01-08 16:21
ComboFix4.txt 2011-01-07 22:08
ComboFix5.txt 2011-01-09 12:54
Před spuštěním: Volných bajtů: 152 662 458 368
Po spuštění: Volných bajtů: 152 658 214 912
- - End Of File - - 4D2E0D4D5D0CEF394F8B07E2F3ED3F27
ComboFix 11-01-08.04 - Iri&Tom 09.01.2011 14:13:49.6.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3583.3234 [GMT 1:00]
Spuštěný z: c:\documents and settings\Iri&Tom\Plocha\ComboFix.exe
Použité ovládací přepínače :: c:\documents and settings\Iri&Tom\Plocha\CFScript.txt.txt
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
Nakažená kopie c:\windows\system32\drivers\ntfs.sys byla nalezena a vyléčena.
Obnovena kopie z - c:\windows\ERDNT\cache\ntfs.sys
.
((((((((((((((((((((((((( Soubory vytvořené od 2010-12-09 do 2011-01-09 )))))))))))))))))))))))))))))))
.
2011-01-06 18:52 . 2011-01-06 18:57 -------- d-----w- C:\ToolBar SD
2011-01-06 18:38 . 2011-01-06 18:38 -------- d-----w- C:\rsit
2011-01-06 15:56 . 2011-01-06 15:56 -------- d-----w- C:\NVIDIA
2011-01-04 10:07 . 2011-01-04 10:07 -------- d-----r- C:\MSOCache
2011-01-03 19:39 . 2011-01-04 09:18 -------- d-----w- C:\Filmy
2011-01-03 18:17 . 2011-01-06 14:53 -------- d-----w- C:\Hry
2011-01-03 17:58 . 2011-01-03 18:11 -------- d-----w- C:\Tvoje veci
2011-01-03 17:54 . 2011-01-03 17:55 -------- d-----w- C:\totalcmd
2011-01-03 17:11 . 2011-01-04 11:00 -------- d-----w- C:\Programy
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-16 18:55 . 2008-03-24 11:52 9623680 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-10-16 18:55 . 2008-03-24 11:52 6359552 ----a-w- c:\windows\system32\nv4_disp.dll
2010-10-16 18:55 . 2008-03-24 11:52 4882432 ----a-w- c:\windows\system32\nvcuda.dll
2010-10-16 18:55 . 2008-03-24 11:52 1462272 ----a-w- c:\windows\system32\nvapi.dll
2010-10-16 18:55 . 2008-03-24 11:52 14532608 ----a-w- c:\windows\system32\nvoglnt.dll
2010-10-16 11:04 . 2010-10-16 11:04 81920 ----a-w- c:\windows\system32\nvwddi.dll
2010-10-16 11:04 . 2010-10-16 11:04 277608 ----a-w- c:\windows\system32\nvmccs.dll
2010-10-16 11:04 . 2010-10-16 11:04 13851752 ----a-w- c:\windows\system32\nvcpl.dll
2010-10-16 11:04 . 2010-10-16 11:04 110696 ----a-w- c:\windows\system32\nvmctray.dll
2010-10-16 11:04 . 2010-10-16 11:04 156776 ----a-w- c:\windows\system32\nvsvc32.exe
2010-10-16 11:04 . 2010-10-16 11:04 145000 ----a-w- c:\windows\system32\nvcolor.exe
.
((((((((((((((((((((((((((((( SnapShot@2011-01-07_15.38.39 )))))))))))))))))))))))))))))))))))))))))
.
+ 2011-01-07 16:41 . 2011-01-07 16:41 1094656 c:\windows\Installer\a062c.msi
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2011-01-03 778240]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"SkyTel"="SkyTel.EXE" [2007-06-15 1826816]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2010-10-16 110696]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-10-16 13851752]
"nwiz"="c:\program files\NVIDIA Corporation\nView\nwiz.exe" [2010-08-25 1753192]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\Launcher.exe"=
"c:\\Program Files\\Electronic Arts\\Need for Speed(TM) Hot Pursuit\\NFS11.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
S4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys --> c:\windows\system32\Drivers\sptd.sys [?]
.
.
------- Doplňkový sken -------
.
mWindow Title =
IE: E&xportovat do aplikace Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: imon.dll
FF - ProfilePath - c:\documents and settings\Iri&Tom\Data aplikací\Mozilla\Firefox\Profiles\7zotd51k.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-09 14:26
Windows 5.1.2600 Service Pack 3 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
- - - - - - - > 'lsass.exe'(732)
c:\windows\system32\imon.dll
c:\program files\Eset\pr_imon.dll
- - - - - - - > 'explorer.exe'(2284)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Jiné spuštené procesy ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\RUNDLL32.EXE
c:\program files\Eset\nod32krn.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
.
**************************************************************************
.
Celkový čas: 2011-01-09 14:30:15 - počítač byl restartován
ComboFix-quarantined-files.txt 2011-01-09 13:30
ComboFix2.txt 2011-01-09 08:58
ComboFix3.txt 2011-01-08 16:21
ComboFix4.txt 2011-01-07 22:08
ComboFix5.txt 2011-01-09 12:54
Před spuštěním: Volných bajtů: 152 662 458 368
Po spuštění: Volných bajtů: 152 658 214 912
- - End Of File - - 4D2E0D4D5D0CEF394F8B07E2F3ED3F27
Re: Prosim o kontrolu
Hm a je to tam zas. Prosím tě, koukni se na disk C po složce qoobox, sbal ji do raru a pošli mi ji na http://www.leteckaposta.cz. Já ten vyměněný soubor otestuju.
-----
Soubor Mbr.exe si přesuň na plochu, pokud nemáš.
start-spustit
do okénka zkopíruj
ok
-restart počítače.
------
Znovu spusť bootkit remover a vlož sem výsledek
-----
Soubor Mbr.exe si přesuň na plochu, pokud nemáš.
start-spustit
do okénka zkopíruj
Kód: Vybrat vše
"%userprofile%\plocha\mbr" -fok
-restart počítače.
------
Znovu spusť bootkit remover a vlož sem výsledek
Re: Prosim o kontrolu
MBR je provedeno.
Re: Prosim o kontrolu
Ještě spust znovu ten bootkit remover, já zatím kuchnu qoobox
Bootkit Remover http://www.esagelab.com/files/bootkit_remover.rar
-spusť
- pak klikni do černého okna a zkopíruj sem výsledek, případně dej screen
Re: Prosim o kontrolu
Bootkit Remover
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
ATA_Read(): DeviceIoControl() ERROR 1
Boot sector MD5 is: ee7fe9f24bc949ea3a78cf7064fbe50b
Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown boot code
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Done;
Press any key to quit...
(c) 2009 eSage Lab
www.esagelab.com
Program version: 1.2.0.0
OS Version: Microsoft Windows XP Professional Service Pack 3 (build 2600)
System volume is \\.\C:
\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00
ATA_Read(): DeviceIoControl() ERROR 1
Boot sector MD5 is: ee7fe9f24bc949ea3a78cf7064fbe50b
Size Device Name MBR Status
--------------------------------------------
465 GB \\.\PhysicalDrive0 Unknown boot code
Unknown boot code has been found on some of your physical disks.
To inspect the boot code manually, dump the master boot sector:
remover.exe dump <device_name> [output_file]
To disinfect the master boot sector, use the following command:
remover.exe fix <device_name>
Done;
Press any key to quit...
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 5 hostů