Prosím o kontrolu log súboru. Včera a dnes vždy keď sa pripojím na internet NOD mi hlási prítomnosť Win32/Adware Virtumonde.FP aplikácie. Vždy to nainfikuje .dll súbory vo Windows\System32.
Keď dám skontrolovať komplet PC NOD nič nenájde!
Ak viete prosím pomôžte!
Problém s Win32/Adware Virtumonde.FP... Vyriešené!
Moderátoři: Mods_senior, Security team
Pravidla fóra
Návod na použití programu HijackThis || Návod na vyčištění počítače CCleanerem || FAQ: Antiviry
Návod na použití programu HijackThis || Návod na vyčištění počítače CCleanerem || FAQ: Antiviry
Problém s Win32/Adware Virtumonde.FP... Vyriešené!
- Přílohy
-
- hijackthis.zip
- (3.32 KiB) Staženo 27 x
Naposledy upravil(a) JANíčOK dne 06 led 2008 17:32, celkem upraveno 4 x.
Stáhni si ComboFix (by sUBs) a ulož si ho na plochu.
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah
log ComboFix
Tu je celý log z ComboFixu:
ComboFix 07-12-31.4 - Ján Beňo 2008-01-01 11:17:26.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.507 [GMT 1:00]
Running from: C:\Documents and Settings\Ján Beňo\Plocha\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\FunWebProducts
C:\Program Files\FunWebProducts\ScreenSaver\Images\00C58936.urr
C:\Program Files\FunWebProducts\ScreenSaver\Images\00C6BEF7.urr
C:\Program Files\FunWebProducts\ScreenSaver\Images\00C6D241.dat
C:\Program Files\FunWebProducts\ScreenSaver\Images\101x135\00C6D241.jpg
C:\Program Files\FunWebProducts\ScreenSaver\Images\wrkparam.lst
C:\Program Files\MW
C:\Program Files\MW\TGATool2\TGATool2A.exe
C:\Program Files\MW\TGATool2\unins000.dat
C:\Program Files\MW\TGATool2\unins000.exe
C:\Program Files\MyWebSearch
C:\Program Files\MyWebSearch\bar\History\search2
C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat
C:\WINDOWS\system32\cbxwwwt.dll
.
((((((((((((((((((((((((( Files Created from 2007-12-01 to 2008-01-01 )))))))))))))))))))))))))))))))
.
2008-01-01 11:08 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-31 18:03 . 2007-12-31 18:16 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-12-31 18:02 . 2008-01-01 11:21 35,980 --ah----- C:\WINDOWS\system32\vsconfig.xml
2007-12-31 09:55 . 2007-12-31 10:05 <DIR> d-------- C:\NEW
2007-12-31 08:15 . 2007-12-31 08:15 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-08 19:56 . 2007-12-31 14:36 0 --a------ C:\FileOut.Cns
2007-12-08 19:56 . 2007-12-31 14:36 0 --a------ C:\FileIn.Cns
2007-12-02 16:50 . 2007-12-02 16:50 <DIR> d-------- C:\Program Files\ELIS
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-01 09:44 --------- d-----w C:\Program Files\Mozilla Thunderbird
2007-12-31 16:33 --------- d-----w C:\Program Files\CyberLink
2007-12-31 06:42 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-29 11:15 --------- d-----w C:\Program Files\AnyReader
2007-11-03 09:00 --------- d-----w C:\Program Files\Gertrudis Pro
2007-09-06 18:07 7,906 ----a-w C:\Program Files\irunin.bmp
2007-09-06 18:07 55,719 ----a-w C:\Program Files\irunin.dat
2007-09-06 18:07 18,226 ----a-w C:\Program Files\irunin.ini
2007-09-06 18:07 16,152 ----a-w C:\Program Files\irunin.lng
2007-09-02 13:39 15,792,436 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_02_14_04_53_full.dmp.zip
2007-09-02 06:32 17,827,220 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_22_52_05_full.dmp.zip
2007-09-01 20:50 18,144,769 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_21_44_17_full.dmp.zip
2007-09-01 20:50 18,098,218 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_21_22_43_full.dmp.zip
2007-09-01 18:43 18,114,202 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_11_15_52_full.dmp.zip
2007-09-01 07:31 18,935,240 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_31_18_48_01_full.dmp.zip
2007-08-31 15:27 17,965,913 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_31_16_56_17_full.dmp.zip
2007-08-30 19:12 18,073,229 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_30_20_53_52_full.dmp.zip
2007-08-30 19:11 19,038,364 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_30_19_42_54_full.dmp.zip
2007-08-30 17:49 17,903,906 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_30_19_07_18_full.dmp.zip
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 23:49 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 10:12 139264]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 16:51 57344]
"EPSON Stylus Photo RX620 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.exe" [2004-05-19 19:00 98304]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 13:12 90112 C:\WINDOWS\soundman.exe]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-02-07 10:57 949376]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-23 10:26 77824]
"FineReader7NewsReaderPro"="C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" [2003-12-10 00:19 278528]
"EPSON Stylus Photo RX620 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.exe" [2004-05-19 19:00 98304]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 20:05 344064]
"pdfFactory Pro Dispečér v2"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" [2005-03-29 21:40 483328]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-03-16 11:34 755480]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-17 23:49 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkp32]
winrkp32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2005-08-05 20:05 344064 --a------ C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpeedUpMyPC]
2006-12-06 16:59 4820992 --a------ C:\Program Files\Uniblue\SpeedUpMyPC\SpeedUpMyPC.exe
R2 MSSQL$AUTODESKVAULT;SQL Server (AUTODESKVAULT);"C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" [2007-02-13 07:08]
R2 pqeauto.database.dbmonitor.GMG;pqeauto.database.dbmonitor.GMG;C:\Program Files\BHPS\Gmg\bin\DBMonService.exe -sn"pqeauto.database.dbmonitor.GMG" []
R2 pqeauto.energy.mappermonitor;pqeauto.energy.mappermonitor;C:\Program Files\BHPS\Pmap1\bin\MapperMonService.exe -sn"pqeauto.energy.mappermonitor" []
R2 pqeauto.engine.tomcatmonitor.GMG;pqeauto.engine.tomcatmonitor.GMG;C:\Program Files\BHPS\Gmg\bin\TomcatMonService.exe [2007-07-31 16:02]
R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [2004-08-17 23:49]
R3 dsnpfd;DeskSoft Service;C:\WINDOWS\system32\DRIVERS\dsnpfd.sys [2007-03-15 11:09]
R3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 11:29]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-04 07:04]
S3 FlarionDTM;Flarion DTM Network Interface;C:\WINDOWS\system32\DRIVERS\FlrnDTM.sys [2005-05-26 13:06]
S3 SQLWriter;SQL Server VSS Writer;"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2006-04-14 09:04]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2004-06-24 02:54]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder
"2007-12-07 16:16:45 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-01 11:21:39
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus Photo RX620 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE /P31 "EPSON Stylus Photo RX620 Series" /M "Stylus Photo RX620" /EF "HKCU"??????????????????????????????4??????w|??w ?w?? ?p\O?dl?w?l?w?O?w???w?tf?????9??w?P?w8???????O??????????????????????????wx??w8???????9??w????????????[??w???????????????????????????????|?????????tf?????????????????sJ?wr??w???w8???????????*???????????3???`?%?????B???????4????h?w8???????????????????????????????T????h?w?????????????H??????????????-??w???????????????w????????8???????????`??
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-01 11:26:52 - machine was rebooted [J n Beĺo]
C:\qoobox\ComboFix-quarantined-files.txt 2008-01-01 10:26:45
ComboFix 07-12-31.4 - Ján Beňo 2008-01-01 11:17:26.2 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.507 [GMT 1:00]
Running from: C:\Documents and Settings\Ján Beňo\Plocha\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Program Files\FunWebProducts
C:\Program Files\FunWebProducts\ScreenSaver\Images\00C58936.urr
C:\Program Files\FunWebProducts\ScreenSaver\Images\00C6BEF7.urr
C:\Program Files\FunWebProducts\ScreenSaver\Images\00C6D241.dat
C:\Program Files\FunWebProducts\ScreenSaver\Images\101x135\00C6D241.jpg
C:\Program Files\FunWebProducts\ScreenSaver\Images\wrkparam.lst
C:\Program Files\MW
C:\Program Files\MW\TGATool2\TGATool2A.exe
C:\Program Files\MW\TGATool2\unins000.dat
C:\Program Files\MW\TGATool2\unins000.exe
C:\Program Files\MyWebSearch
C:\Program Files\MyWebSearch\bar\History\search2
C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat
C:\WINDOWS\system32\cbxwwwt.dll
.
((((((((((((((((((((((((( Files Created from 2007-12-01 to 2008-01-01 )))))))))))))))))))))))))))))))
.
2008-01-01 11:08 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-31 18:03 . 2007-12-31 18:16 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-12-31 18:02 . 2008-01-01 11:21 35,980 --ah----- C:\WINDOWS\system32\vsconfig.xml
2007-12-31 09:55 . 2007-12-31 10:05 <DIR> d-------- C:\NEW
2007-12-31 08:15 . 2007-12-31 08:15 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-08 19:56 . 2007-12-31 14:36 0 --a------ C:\FileOut.Cns
2007-12-08 19:56 . 2007-12-31 14:36 0 --a------ C:\FileIn.Cns
2007-12-02 16:50 . 2007-12-02 16:50 <DIR> d-------- C:\Program Files\ELIS
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-01 09:44 --------- d-----w C:\Program Files\Mozilla Thunderbird
2007-12-31 16:33 --------- d-----w C:\Program Files\CyberLink
2007-12-31 06:42 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-12-29 11:15 --------- d-----w C:\Program Files\AnyReader
2007-11-03 09:00 --------- d-----w C:\Program Files\Gertrudis Pro
2007-09-06 18:07 7,906 ----a-w C:\Program Files\irunin.bmp
2007-09-06 18:07 55,719 ----a-w C:\Program Files\irunin.dat
2007-09-06 18:07 18,226 ----a-w C:\Program Files\irunin.ini
2007-09-06 18:07 16,152 ----a-w C:\Program Files\irunin.lng
2007-09-02 13:39 15,792,436 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_02_14_04_53_full.dmp.zip
2007-09-02 06:32 17,827,220 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_22_52_05_full.dmp.zip
2007-09-01 20:50 18,144,769 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_21_44_17_full.dmp.zip
2007-09-01 20:50 18,098,218 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_21_22_43_full.dmp.zip
2007-09-01 18:43 18,114,202 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_09_01_11_15_52_full.dmp.zip
2007-09-01 07:31 18,935,240 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_31_18_48_01_full.dmp.zip
2007-08-31 15:27 17,965,913 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_31_16_56_17_full.dmp.zip
2007-08-30 19:12 18,073,229 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_30_20_53_52_full.dmp.zip
2007-08-30 19:11 19,038,364 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_30_19_42_54_full.dmp.zip
2007-08-30 17:49 17,903,906 -c--a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_08_30_19_07_18_full.dmp.zip
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 23:49 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 10:12 139264]
"OM_Monitor"="C:\Program Files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2006-05-16 16:51 57344]
"EPSON Stylus Photo RX620 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.exe" [2004-05-19 19:00 98304]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-10-04 13:12 90112 C:\WINDOWS\soundman.exe]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-02-07 10:57 949376]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-23 10:26 77824]
"FineReader7NewsReaderPro"="C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" [2003-12-10 00:19 278528]
"EPSON Stylus Photo RX620 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.exe" [2004-05-19 19:00 98304]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 20:05 344064]
"pdfFactory Pro Dispečér v2"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" [2005-03-29 21:40 483328]
"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-03-16 11:34 755480]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-17 23:49 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkp32]
winrkp32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
2005-08-05 20:05 344064 --a------ C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Uniblue SpeedUpMyPC]
2006-12-06 16:59 4820992 --a------ C:\Program Files\Uniblue\SpeedUpMyPC\SpeedUpMyPC.exe
R2 MSSQL$AUTODESKVAULT;SQL Server (AUTODESKVAULT);"C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" [2007-02-13 07:08]
R2 pqeauto.database.dbmonitor.GMG;pqeauto.database.dbmonitor.GMG;C:\Program Files\BHPS\Gmg\bin\DBMonService.exe -sn"pqeauto.database.dbmonitor.GMG" []
R2 pqeauto.energy.mappermonitor;pqeauto.energy.mappermonitor;C:\Program Files\BHPS\Pmap1\bin\MapperMonService.exe -sn"pqeauto.energy.mappermonitor" []
R2 pqeauto.engine.tomcatmonitor.GMG;pqeauto.engine.tomcatmonitor.GMG;C:\Program Files\BHPS\Gmg\bin\TomcatMonService.exe [2007-07-31 16:02]
R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [2004-08-17 23:49]
R3 dsnpfd;DeskSoft Service;C:\WINDOWS\system32\DRIVERS\dsnpfd.sys [2007-03-15 11:09]
R3 PAC207;Trust WB-1200p Mini Webcam;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-02-24 11:29]
R3 PSched;Plánovač paketů technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys [2004-08-04 07:04]
S3 FlarionDTM;Flarion DTM Network Interface;C:\WINDOWS\system32\DRIVERS\FlrnDTM.sys [2005-05-26 13:06]
S3 SQLWriter;SQL Server VSS Writer;"C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2006-04-14 09:04]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2004-06-24 02:54]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder
"2007-12-07 16:16:45 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-01 11:21:39
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
EPSON Stylus Photo RX620 Series = C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9HE.EXE /P31 "EPSON Stylus Photo RX620 Series" /M "Stylus Photo RX620" /EF "HKCU"??????????????????????????????4??????w|??w ?w?? ?p\O?dl?w?l?w?O?w???w?tf?????9??w?P?w8???????O??????????????????????????wx??w8???????9??w????????????[??w???????????????????????????????|?????????tf?????????????????sJ?wr??w???w8???????????*???????????3???`?%?????B???????4????h?w8???????????????????????????????T????h?w?????????????H??????????????-??w???????????????w????????8???????????`??
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-01 11:26:52 - machine was rebooted [J n Beĺo]
C:\qoobox\ComboFix-quarantined-files.txt 2008-01-01 10:26:45
Otevři si Poznámkový blok (Start -> Spustit... a napiš do okna Notepad a dej Ok)
Zkopíruj do něj následující text označený zeleně:
Pak dej Soubor -> Uložit jako... a nastav tyto parametry:
Název souboru: zde napiš: fix.reg
Uložit jako typ: tak tam vyber Všechny soubory
Ulož si daný soubor na plochu
Na ploše by se měl objevit soubor
fix.reg spusť ho vyskočí hláška kde odklikni Ano poté je další hláška kde odklikni OK
Dej sem nový log z HJT
Zkopíruj do něj následující text označený zeleně:
Kód: Vybrat vše
REGEDIT4
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkp32]Název souboru: zde napiš: fix.reg
Uložit jako typ: tak tam vyber Všechny soubory
Ulož si daný soubor na plochu
Na ploše by se měl objevit soubor
fix.reg spusť ho vyskočí hláška kde odklikni Ano poté je další hláška kde odklikni OKDej sem nový log z HJT
Všetko som urobil tak ako si napísal. Zasielam nový log z HJT. Zatiaľ veľmi pekne ďakujem!
- Přílohy
-
- hijackthis1.zip
- (3.24 KiB) Staženo 20 x
Jdi přes Start -> Spustit... a napiš do okna tento příkaz označený modře ComboFix /u (mezi comobofix a /u musí být mezera) a dej Ok.
Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunCasino.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunCasino.exe (file missing)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
po zaškrtnutí klikni na tlačítko Fix Checked
Máš tam starou verzi Javy tak proveď její update:
- Stáhni si poslení verzi Java Runtime Environment (JRE) 6 Update 3
- Posuň se dolů kde je napsáno Java Runtime Environment (JRE) 6 Update 3 a klikni na tlačítko Download
- Zatrhni možnost kde je napsáno: Accept License Agreement
- Stránka se ti znovu načte.
- Klikni na odkaz pro stažení: Windows Offline Installation, Multi-language a ulož si ho na disk
- Ukonči běžící programy které máš spuštěné, hlavě webový prohlížeč
- Jdi přes Start -> Ovládací panely -> Přidat nebo odebrat programy a odinstaluj všechny staré verze Javy
- Podívej se po položkách s názvem Java Runtime Environment (JRE or J2SE)
* příklady starých verzí v Přidat nebo odebrat programy:
- Odinstaluj postupně po sobě případné všechny staré verze Javy
- Po skončení odinstalovaní restartuj Pc.
- Pak už jen spusť instalaci poslední verze ze souboru jre-6u3-windows-i586-p.exe, který sis stáhl na začátku.
Máš ještě problémy?
Spusť znovu HijackThis a zaškrtni v něm okénka před řádky:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O9 - Extra button: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunCasino.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyCasino.com - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Program Files\PartyGaming\PartyCasino\RunCasino.exe (file missing)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
po zaškrtnutí klikni na tlačítko Fix Checked
Máš tam starou verzi Javy tak proveď její update:
- Stáhni si poslení verzi Java Runtime Environment (JRE) 6 Update 3
- Posuň se dolů kde je napsáno Java Runtime Environment (JRE) 6 Update 3 a klikni na tlačítko Download
- Zatrhni možnost kde je napsáno: Accept License Agreement
- Stránka se ti znovu načte.
- Klikni na odkaz pro stažení: Windows Offline Installation, Multi-language a ulož si ho na disk
- Ukonči běžící programy které máš spuštěné, hlavě webový prohlížeč
- Jdi přes Start -> Ovládací panely -> Přidat nebo odebrat programy a odinstaluj všechny staré verze Javy
- Podívej se po položkách s názvem Java Runtime Environment (JRE or J2SE)
* příklady starých verzí v Přidat nebo odebrat programy:
- J2SE Runtime Environment 5.0
J2SE Runtime Environment 5.0 Update 8
Java 2 Runtime Environment, SE v1.4.2
- Odinstaluj postupně po sobě případné všechny staré verze Javy
- Po skončení odinstalovaní restartuj Pc.
- Pak už jen spusť instalaci poslední verze ze souboru jre-6u3-windows-i586-p.exe, který sis stáhl na začátku.
Máš ještě problémy?
Od včera sa mi prestali skrývať ikonu v oznamovacej oblasti. Prikladám obrázok. Môže to mať niečo spoločné s Win32/Adware Virtumonde.FP, alebo čo je to?
- Přílohy
-
- oznamovacia_oblast.zip
- (33.82 KiB) Staženo 20 x
